Partilhar via

Tutorial: Configurar a sincronização de hash de senha como backup para os Serviços de Federação de Diretório do Azure

  • Artigo

Este tutorial orienta você pelas etapas para configurar a sincronização de hash de senha como backup e failover para os Serviços de Federação de Diretório do Azure (AD FS) no Microsoft Entra Connect. O tutorial também demonstra como definir a sincronização de hash de senha como o método de autenticação principal se o AD FS falhar ou ficar indisponível.

Nota

Embora essas etapas geralmente sejam tomadas em uma situação de emergência ou interrupção, recomendamos que você teste essas etapas e verifique seus procedimentos antes que ocorra uma interrupção.

Pré-requisitos

Este tutorial baseia-se em Tutorial: Usar federação para identidade híbrida em uma única floresta do Ative Directory. Concluir o tutorial é um pré-requisito para concluir as etapas neste tutorial.

Nota

Se não tiver acesso a um servidor Microsoft Entra Connect ou se o servidor não tiver acesso à Internet, pode contactar o Suporte da Microsoft para ajudar com as alterações à ID do Microsoft Entra.

Ativar a sincronização de hash de senha no Microsoft Entra Connect

No Tutorial: Usar federação para identidade híbrida em uma única floresta do Ative Directory, você criou um ambiente do Microsoft Entra Connect que está usando federação.

O primeiro passo para configurar o backup para federação é ativar a sincronização de hash de senha e configurar o Microsoft Entra Connect para sincronizar os hashes:

  1. Clique duas vezes no ícone do Microsoft Entra Connect que foi criado na área de trabalho durante a instalação.

  2. Selecione Configurar.

  3. Em Tarefas adicionais, selecione Personalizar opções de sincronização e, em seguida, selecione Seguinte.

    Screenshot that shows the Additional tasks pane, with Customize synchronization options selected.

  4. Digite o nome de usuário e a senha da conta de Administrador de Identidade Híbrida que você criou no tutorial para configurar a federação.

  5. Em Conectar seus diretórios, selecione Avançar.

  6. Em Filtragem de domínio e UO, selecione Avançar.

  7. Em Recursos opcionais, selecione Sincronização de hash de senha e, em seguida, selecione Avançar.

    Screenshot that shows the Optional features pane, with Password hash synchronization selected.

  8. Em Pronto para configurar, selecione Configurar.

  9. Quando a configuração estiver concluída, selecione Sair.

Está feito! Está feito. A sincronização de hash de senha ocorrerá agora e poderá ser usada como backup se o AD FS ficar indisponível.

Mudar para sincronização de hash de palavra-passe

Importante

  • Antes de mudar para a sincronização de hash de palavra-passe, crie uma cópia de segurança do seu ambiente AD FS. Você pode criar um backup usando a Ferramenta de Restauração Rápida do AD FS.

  • Leva algum tempo para que os hashes de senha sejam sincronizados com o Microsoft Entra ID. Pode levar até três horas até que a sincronização termine e você pode começar a autenticar usando os hashes de senha.

Em seguida, alterne para a sincronização de hash de senha. Antes de começar, considere em que condições deve fazer a mudança. Não faça a mudança por motivos temporários, como uma interrupção de rede, um pequeno problema do AD FS ou um problema que afete um subconjunto de seus usuários.

Se você decidir fazer a mudança porque a correção do problema levará muito tempo, conclua estas etapas:

  1. No Microsoft Entra Connect, selecione Configurar.
  2. Selecione Alterar início de sessão do utilizador e, em seguida, selecione Seguinte.
  3. Digite o nome de usuário e a senha da conta de Administrador de Identidade Híbrida que você criou no tutorial para configurar a federação.
  4. Em Login do usuário, selecione Sincronização de hash de senha e marque a caixa de seleção Não converter contas de usuário.
  5. Deixe a opção padrão Habilitar logon único selecionada e selecione Avançar.
  6. Em Habilitar logon único, selecione Avançar.
  7. Em Pronto para configurar, selecione Configurar.
  8. Quando a configuração estiver concluída, selecione Sair.

Os usuários agora podem usar suas senhas para entrar nos serviços do Azure e do Azure.

Iniciar sessão com uma conta de utilizador para testar a sincronização

  1. Em uma nova janela do navegador da Web, vá para https://myapps.microsoft.com.

  2. Inicie sessão com uma conta de utilizador que foi criada no seu novo inquilino.

    Para o nome de usuário, use o formato user@domain.onmicrosoft.com. Use a mesma senha que o usuário usa para entrar no Ative Directory local.

    Screenshot that shows a successful message when testing the sign-in.

Voltar à federação

Agora, volte para a federação:

  1. No Microsoft Entra Connect, selecione Configurar.

  2. Selecione Alterar início de sessão do utilizador e, em seguida, selecione Seguinte.

  3. Introduza o nome de utilizador e a palavra-passe da sua conta de Administrador de Identidade Híbrida.

  4. Em Início de sessão de utilizador, selecione Federação com AD FS e, em seguida, selecione Seguinte.

  5. Em Credenciais de Administrador de Domínio, introduza o nome de utilizador e a palavra-passe contoso\Administrador e, em seguida, selecione Seguinte.

  6. No farm do AD FS, selecione Avançar.

  7. No domínio Microsoft Entra, selecione o domínio e selecione Avançar.

  8. Em Pronto para configurar, selecione Configurar.

  9. Quando a configuração estiver concluída, selecione Avançar.

    Screenshot that shows the Configuration complete pane.

  10. Em Verificar conectividade de federação, selecione Verificar. Talvez seja necessário configurar os registros DNS (adicionar registros A e AAAA) para que a verificação seja concluída com êxito.

    Screenshot that shows the Verify federation connectivity dialog and the Verify button.

  11. Selecione Sair.

Redefinir a confiança do AD FS e do Azure

A tarefa final é redefinir a confiança entre o AD FS e o Azure:

  1. No Microsoft Entra Connect, selecione Configurar.

  2. Selecione Gerir federação e, em seguida, selecione Seguinte.

  3. Selecione Redefinir confiança do Microsoft Entra ID e, em seguida, selecione Avançar.

    Screenshot that shows the Manage federation pane, with Reset Microsoft Entra ID selected.

  4. Em Ligar ao ID do Microsoft Entra, introduza o nome de utilizador e a palavra-passe da sua conta de Administrador Global ou da sua conta de Administrador de Identidade Híbrida.

  5. Em Ligar ao AD FS, introduza o nome de utilizador e a palavra-passe contoso\Administrator e, em seguida, selecione Seguinte.

  6. Em Certificados, selecione Avançar.

  7. Repita as etapas em Entrar com uma conta de usuário para testar a sincronização.

Você configurou com êxito um ambiente de identidade híbrida que pode usar para testar e se familiarizar com o que o Azure tem a oferecer.

Próximos passos