Руководство. Настройка синхронизации хэша паролей в качестве резервного копирования для служб федерации Azure Directory

  • Статья

В этом руководстве описаны действия по настройке синхронизации хэша паролей в качестве резервной копии и отработки отказа для служб федерации Azure (AD FS) в Microsoft Entra Подключение. В этом руководстве также показано, как настроить синхронизацию хэша паролей в качестве основного метода проверки подлинности, если AD FS завершается сбоем или становится недоступным.

Примечание.

Хотя эти действия обычно выполняются в чрезвычайных ситуациях или сбоях, рекомендуется протестировать эти действия и проверить процедуры перед сбоем.

Необходимые компоненты

В этом руководстве описано руководство. Использование федерации для гибридного удостоверения в одном лесу Active Directory. Выполнение учебника является обязательным условием для выполнения действий, описанных в этом руководстве.

Примечание.

Если у вас нет доступа к серверу Microsoft Entra Подключение или серверу нет доступа к Интернету, вы можете связаться с служба поддержки Майкрософт, чтобы помочь с изменениями идентификатора Microsoft Entra.

Включение синхронизации хэша паролей в Microsoft Entra Подключение

В руководстве по использованию федерации для гибридного удостоверения в одном лесу Active Directory вы создали среду Microsoft Entra Подключение, использующую федерацию.

Первым шагом в настройке резервного копирования для федерации является включение синхронизации хэша паролей и настройка Microsoft Entra Подключение для синхронизации хэшей:

  1. Дважды щелкните значок Microsoft Entra Подключение, созданный на рабочем столе во время установки.

  2. Выберите Настроить.

  3. В разделе "Дополнительные задачи" выберите "Настройка параметров синхронизации" и нажмите кнопку "Далее".

    Screenshot that shows the Additional tasks pane, with Customize synchronization options selected.

  4. Введите имя пользователя и пароль для учетной записи гибридного удостоверения Администратор istrator, созданной в руководстве по настройке федерации.

  5. В Подключение каталогов нажмите кнопку "Далее".

  6. В области фильтрации домена и подразделения нажмите кнопку "Далее".

  7. В дополнительных функциях выберите синхронизацию хэша паролей и нажмите кнопку "Далее".

    Screenshot that shows the Optional features pane, with Password hash synchronization selected.

  8. На странице Готово к настройке нажмите кнопку Настроить.

  9. После завершения настройки нажмите кнопку "Выйти".

Вот и все! Ты все готово. Синхронизация хэша паролей будет происходить, и ее можно использовать в качестве резервной копии, если AD FS становится недоступной.

Переключение на синхронизацию хэша паролей

Важно!

  • Перед переходом на синхронизацию хэша паролей создайте резервную копию среды AD FS. Вы можете создать резервную копию с помощью средства быстрого восстановления AD FS.

  • Для синхронизации хэшей паролей с идентификатором Microsoft Entra занимает некоторое время. До завершения синхронизации может потребоваться до трех часов, и вы можете начать проверку подлинности с помощью хэшей паролей.

Затем переключитесь на синхронизацию хэша паролей. Прежде чем начать, рассмотрите условия, в которых следует выполнить переключение. Не используйте переключение для решения временных проблем, например сбоя сети, небольших проблем с AD FS или проблемы, которая влияет на группу пользователей.

Если вы решили сделать переключатель, так как устранение проблемы займет слишком много времени, выполните следующие действия:

  1. В Подключение Microsoft Entra выберите "Настроить".
  2. Выберите Смена имени пользователя для входа и нажмите кнопку Далее.
  3. Введите имя пользователя и пароль для учетной записи гибридного удостоверения Администратор istrator, созданной в руководстве по настройке федерации.
  4. Войдите в систему пользователя, выберите синхронизацию хэша паролей и выберите поле "Не преобразовывать учетные записи пользователей" проверка box.
  5. Оставьте флажок "Включить единый вход" по умолчанию и нажмите кнопку "Далее".
  6. В разделе "Включить единый вход" нажмите кнопку "Далее".
  7. На странице Готово к настройке нажмите кнопку Настроить.
  8. После завершения настройки нажмите кнопку "Выйти".

Теперь пользователи могут использовать пароли для входа в Azure и служб Azure.

Вход с помощью учетной записи пользователя для тестирования синхронизации

  1. В новом окне веб-браузера перейдите в раздел https://myapps.microsoft.com.

  2. Войдите с помощью учетной записи пользователя, созданной в новом клиенте.

    Для имени пользователя используйте формат user@domain.onmicrosoft.com. Используйте тот же пароль, что и пользователь, используемый для входа в локальная служба Active Directory.

    Screenshot that shows a successful message when testing the sign-in.

Переключение обратно на федерацию

Теперь переключитесь на федерацию:

  1. В Подключение Microsoft Entra выберите "Настроить".

  2. Выберите Смена имени пользователя для входа и нажмите кнопку Далее.

  3. Введите имя пользователя и пароль для учетной записи гибридного удостоверения Администратор istrator.

  4. Войдите в систему пользователя, выберите "Федерация с AD FS" и нажмите кнопку "Далее".

  5. В учетных данных домена Администратор istrator введите имя пользователя и пароль contoso\Администратор istrator, а затем нажмите кнопку "Далее".

  6. В ферме AD FS нажмите кнопку "Далее".

  7. В домене Microsoft Entra выберите домен и нажмите кнопку "Далее".

  8. На странице Готово к настройке нажмите кнопку Настроить.

  9. После завершения настройки нажмите кнопку "Далее".

    Screenshot that shows the Configuration complete pane.

  10. В разделе "Проверка подключения федерации" нажмите кнопку "Проверить". Возможно, потребуется настроить записи DNS (добавить записи A и AAAA) для успешной проверки.

    Screenshot that shows the Verify federation connectivity dialog and the Verify button.

  11. Щелкните Выход.

Сброс отношения доверия Azure и AD FS

Последняя задача — сбросить доверие между AD FS и Azure:

  1. В Подключение Microsoft Entra выберите "Настроить".

  2. Выберите " Управление федерацией" и нажмите кнопку "Далее".

  3. Выберите "Сброс доверия идентификатора записи Майкрософт" и нажмите кнопку "Далее".

    Screenshot that shows the Manage federation pane, with Reset Microsoft Entra ID selected.

  4. В Подключение идентификатору Microsoft Entra введите имя пользователя и пароль для учетной записи глобального Администратор istrator или учетной записи гибридного удостоверения Администратор istrator.

  5. В Подключение в AD FS введите имя пользователя и пароль contoso\Администратор istrator, а затем нажмите кнопку "Далее".

  6. В сертификатах нажмите кнопку "Далее".

  7. Повторите действия, описанные в разделе "Вход с помощью учетной записи пользователя" для проверки синхронизации.

Вы успешно настроили среду гибридных удостоверений, которую можно использовать для тестирования и ознакомления с предложением Azure.

Следующие шаги