Självstudie: Konfigurera synkronisering av lösenordshash som säkerhetskopiering för Azure Directory Federation Services

I den här självstudien går vi igenom stegen för att konfigurera synkronisering av lösenordshash som en säkerhetskopia och redundans för Azure Directory Federation Services (AD FS) i Microsoft Entra Connect. Självstudien visar också hur du anger synkronisering av lösenordshash som den primära autentiseringsmetoden om AD FS misslyckas eller blir otillgängligt.

Not

Även om de här stegen vanligtvis utförs i en nödsituation eller ett avbrott rekommenderar vi att du testar de här stegen och kontrollerar dina procedurer innan ett avbrott inträffar.

Förutsättningar

Den här självstudien bygger på Självstudie: Använda federation för hybrididentitet i en enda Active Directory-skog. Att slutföra självstudien är en förutsättning för att slutföra stegen i den här självstudien.

Not

Om du inte har åtkomst till en Microsoft Entra Connect-server eller om servern inte har internetåtkomst kan du kontakta Microsoft Support för att hjälpa till med ändringarna av Microsoft Entra ID.

Aktivera synkronisering av lösenordshash i Microsoft Entra Connect

I Självstudie: Använda federation för hybrididentitet i en enda Active Directory-skog skapade du en Microsoft Entra Connect-miljö som använder federation.

Det första steget när du konfigurerar säkerhetskopieringen för federation är att aktivera synkronisering av lösenordshash och ställa in Microsoft Entra Connect för att synkronisera hasharna:

1. Dubbelklicka på ikonen Microsoft Entra Connect som skapades på skrivbordet under installationen.

2. Välj Konfigurera.

3. I Ytterligare uppgifter väljer du Anpassa synkroniseringsalternativ och väljer sedan Nästa.

   

4. Ange användarnamnet och lösenordet för det hybrididentitetsadministratörskonto som du skapade i självstudien för att konfigurera federation.

5. I Anslut dina kataloger väljer du Nästa.

6. I Domän- och organisationsenhetsfiltrering väljer du Nästa.

7. I Valfria funktioner väljer du Synkronisering av lösenordshash och sedan Nästa.

   

8. I Redo att konfigurera väljer du Konfigurera.

9. När konfigurationen är klar väljer du Avsluta.

Det var allt! Du är klar. Synkronisering av lösenordshash sker nu och kan användas som en säkerhetskopia om AD FS blir otillgängligt.

Växla till synkronisering av lösenordshash

Viktig

• Innan du byter till synkronisering av lösenordshash skapar du en säkerhetskopia av AD FS-miljön. Du kan skapa en säkerhetskopia med hjälp av verktyget för snabb återställning i AD FS.

• Det tar lite tid innan lösenordshasherna synkroniseras med Microsoft Entra-ID. Det kan ta upp till tre timmar innan synkroniseringen är klar och du kan börja autentisera med hjälp av lösenordshasherna.

Växla sedan till synkronisering av lösenordshash. Innan du börjar bör du överväga under vilka villkor du ska göra växeln. Gör inte växeln av tillfälliga skäl, till exempel ett nätverksfel, ett mindre AD FS-problem eller ett problem som påverkar en delmängd av användarna.

Om du bestämmer dig för att göra växeln eftersom det tar för lång tid att åtgärda problemet utför du följande steg:

1. I Microsoft Entra Connect väljer du Konfigurera.
2. Välj Ändra användarinloggning och välj sedan Nästa.
3. Ange användarnamnet och lösenordet för det hybrididentitetsadministratörskonto som du skapade i självstudien för att konfigurera federation.
4. I Användarinloggning väljer du Synkronisering av lösenordshash och markerar sedan kryssrutan Konvertera inte användarkonton .
5. Låt standardinställningen Aktivera enkel inloggning vara markerad och välj Nästa.
6. I Aktivera enkel inloggning väljer du Nästa.
7. I Redo att konfigurera väljer du Konfigurera.
8. När konfigurationen är klar väljer du Avsluta.

Användare kan nu använda sina lösenord för att logga in på Azure- och Azure-tjänster.

Logga in med ett användarkonto för att testa synkroniseringen

1. I ett nytt webbläsarfönster går du till https://myapps.microsoft.com.

2. Logga in med ett användarkonto som skapades i din nya klientorganisation.

   För användarnamnet använder du formatet user@domain.onmicrosoft.com. Använd samma lösenord som användaren använder för att logga in på lokal Active Directory.

   

Växla tillbaka till federation

Växla nu tillbaka till federation:

1. I Microsoft Entra Connect väljer du Konfigurera.

2. Välj Ändra användarinloggning och välj sedan Nästa.

3. Ange användarnamnet och lösenordet för ditt hybrididentitetsadministratörskonto.

4. I Användarinloggning väljer du Federation med AD FS och sedan Nästa.

5. I autentiseringsuppgifter för domänadministratör anger du användarnamnet och lösenordet för contoso\Administrator och väljer sedan Nästa.

6. I AD FS-servergruppen väljer du Nästa.

7. I Microsoft Entra-domänen väljer du domänen och väljer Nästa.

8. I Redo att konfigurera väljer du Konfigurera.

9. När konfigurationen är klar väljer du Nästa.

   

10. I Verifiera federationsanslutning väljer du Verifiera. Du kan behöva konfigurera DNS-poster (lägga till A- och AAAA-poster) för att verifieringen ska slutföras.

    

11. Välj Avsluta.

Återställa AD FS- och Azure-förtroendet

Den sista uppgiften är att återställa förtroendet mellan AD FS och Azure:

1. I Microsoft Entra Connect väljer du Konfigurera.

2. Välj Hantera federation och välj sedan Nästa.

3. Välj Återställ Microsoft Entra ID-förtroende och välj sedan Nästa.

   

4. I Anslut till Microsoft Entra-ID anger du användarnamnet och lösenordet för ditt hybrididentitetsadministratörskonto.

5. I Anslut till AD FS anger du användarnamnet och lösenordet för contoso\Administrator och väljer sedan Nästa.

6. I Certifikat väljer du Nästa.

7. Upprepa stegen i Logga in med ett användarkonto för att testa synkroniseringen.

Du har konfigurerat en hybrididentitetsmiljö som du kan använda för att testa och bekanta dig med vad Azure har att erbjuda.

Nästa steg

• Granska Maskinvara och krav för Microsoft Entra Connect.
• Lär dig hur du använder Express-inställningar i Microsoft Entra Connect.
• Läs mer om synkronisering av lösenordshash med Microsoft Entra Connect.