共用方式為

教學課程:將密碼雜湊同步設定為 Azure 目錄同盟服務的備份

  • 發行項

本教學課程將逐步引導您完成步驟,以在 Microsoft Entra Connect 中將密碼雜湊同步設定為 Azure 目錄同盟服務 (AD FS) 的備份和容錯移轉。 本教學課程也會示範在 AD FS 失敗或無法使用時,如何將密碼雜湊同步設定為主要驗證方法。

注意

雖然這些步驟通常是在緊急或中斷的情況下採取,但建議您在發生中斷之前先測試這些步驟,並驗證您的流程。

必要條件

本教學課程以教學課程:在單一 Active Directory 樹系中使用同盟以處理混合式身分識別為基礎。 完成本教學課程是完成本教學課程步驟的必要條件。

注意

若無法存取 Microsoft Entra Connect 伺服器或伺服器沒有網際網路存取權,建議您連絡 Microsoft 支援服務以協助變更 Microsoft Entra ID。

在 Microsoft Entra Connect 中啟用密碼雜湊同步

教學課程:在單一 Active Directory 樹系中使用同盟以處理混合式身分識別中,您已建立使用同盟的 Microsoft Entra Connect 環境。

設定同盟備份的第一個步驟是開啟密碼雜湊同步,並設定 Microsoft Entra Connect 以同步處理雜湊:

  1. 按兩下在安裝期間建立在桌面上的Microsoft Entra Connect 圖示。

  2. 選取 [設定]

  3. 在 [其他工作] 中,選取 [自訂同步處理選項],然後選取 [下一步]

    螢幕擷取畫面,其中顯示 [其他工作] 窗格並已選取 [自訂同步處理選項]。

  4. 輸入在教學課程中您建立的混合式身分識別系統管理員帳戶的使用者名稱和密碼,以設定同盟。

  5. 在 [連線您的目錄] 中,選取 [下一步]

  6. 在 [網域和 OU 篩選] 中,選取 [下一步]

  7. 在 [選用功能] 中,選取 [密碼雜湊同步],然後選取 [下一步]

    螢幕擷取畫面,其中顯示 [選擇性功能] 窗格並已選取 [密碼雜湊同步]。

  8. 在 [準備好設定] 中,選取 [設定]

  9. 設定完成時,請選取 [結束]

介紹完畢, 大功告成。 密碼雜湊同步即將執行,如果 AD FS 無法使用,就可以作為備份。

切換成密碼雜湊同步

重要

  • 切換至密碼雜湊同步之前,請先建立 AD FS 環境的備份。 您可以使用 AD FS 快速還原工具來建立備份。

  • 密碼雜湊需要一些時間才能同步至 Microsoft Entra ID。 可能需要最多三個小時才能完成同步,之後您便可使用密碼雜湊開始驗證。

接下來,切換至密碼雜湊同步。 開始之前,請考慮您應該在哪個條件下進行切換。 不要為了暫存的原因 (例如網絡中斷、輕微的 AD FS 問題,或影響使用者子網路的問題) 進行切換。

如果由於修正問題的時間太長而決定進行切換,請執行下列步驟:

  1. 在 Microsoft Entra Connect 中,選取 [設定]
  2. 選取 [變更使用者登入],然後選取 [下一步]
  3. 輸入在教學課程中您建立的混合式身分識別系統管理員帳戶的使用者名稱和密碼,以設定同盟。
  4. 在 [使用者登入] 中,選取 [密碼雜湊同步],然後選取 [請勿轉換使用者帳戶] 核取方塊。
  5. 保留預設選取的 [啟用單一登入],然後選取 [下一步]
  6. 在 [啟用單一登入] 中,選取 [下一步]
  7. 在 [準備好設定] 中,選取 [設定]
  8. 設定完成時,請選取 [結束]

使用者現在已可使用其密碼來登入 Azure 和 Azure 服務。

以使用者帳戶登入來測試同步

  1. 在新的網頁瀏覽器視窗中,移至 https://myapps.microsoft.com

  2. 使用我們在新租用戶中建立的使用者帳戶來登入。

    針對使用者名稱,請使用 user@domain.onmicrosoft.com 格式。 使用與使用者登入內部部署的 Active Directory 時相同的密碼。

    測試登入時顯示成功訊息的螢幕擷取畫面。

切換回同盟

現在,切換回同盟:

  1. 在 Microsoft Entra Connect 中,選取 [設定]

  2. 選取 [變更使用者登入],然後選取 [下一步]

  3. 輸入混合式身分識別管理員帳戶的使用者名稱和密碼。

  4. 在 [使用者登入] 中,選取 [與 AD FS 同盟],然後選取 [下一步]

  5. 在 [網域管理員認證] 中,輸入 contoso\Administrator 使用者名稱與密碼,然後選取 [下一步]

  6. 在 [AD FS 伺服器陣列] 中,選取 [下一步]

  7. 在 [Microsoft Entra 網域] 中,選取網域,然後選取 [下一步]

  8. 在 [準備好設定] 中,選取 [設定]

  9. 設定完成時,選取 [下一步]

    顯示 [設定完成] 窗格的螢幕擷取畫面。

  10. 在 [驗證同盟連線] 中,選取 [驗證]。 您可能需要設定 DNS 記錄 (新增 A 和 AAAA 記錄),驗證才能順利完成。

    螢幕擷取畫面,其中顯示 [驗證同盟連線能力] 對話方塊和 [驗證] 按鈕。

  11. 選取 [結束]

重設 AD FS 與 Azure 的信任

最後一項工作是重設 AD FS 與 Azure 之間的信任:

  1. 在 Microsoft Entra Connect 中,選取 [設定]

  2. 選取 [管理同盟],然後選取 [下一步]

  3. 選取 [重設 Microsoft Entra ID 信任],然後選取 [下一步]

    螢幕擷取畫面,其中顯示 [管理同盟] 窗格並已選取 [重設 Microsoft Entra ID]。

  4. 在 [連線至 Microsoft Entra ID] 中,輸入混合式身分識別管理員帳戶的使用者名稱和密碼。

  5. 在 [連線至 AD FS] 中,輸入 contoso\Administrator 使用者名稱和密碼,然後選取 [下一步]

  6. 在 [證書] 中,選取 [下一步]

  7. 重複以使用者帳戶登入來測試同步中的步驟。

您已成功設定混合式身分識別環境,可用來測試及熟悉 Azure 的功能。

下一步