Udostępnij za pośrednictwem

Samouczek: konfigurowanie synchronizacji skrótów haseł jako kopii zapasowej dla usług Azure Directory Federation Services

  • Artykuł

W tym samouczku przedstawiono procedurę konfigurowania synchronizacji skrótów haseł jako kopii zapasowej i rozwiązania awaryjnego dla usług Azure Directory Federation Services (AD FS) w programie Microsoft Entra Connect. W tym samouczku pokazano również, jak ustawić synchronizację skrótów haseł jako podstawową metodę uwierzytelniania, jeśli usługi AD FS nie powiedzą się lub staną się niedostępne.

Uwaga

Chociaż te kroki zwykle są wykonywane w sytuacji awaryjnej lub awarii, zalecamy przetestowanie tych kroków i zweryfikowanie procedur przed wystąpieniem awarii.

Wymagania wstępne

Ten samouczek jest oparty na artykule Samouczek: używanie federacji do obsługi tożsamości hybrydowej w jednym lesie usługi Active Directory. Ukończenie samouczka jest wymaganiem wstępnym do wykonania kroków opisanych w tym samouczku.

Uwaga

Jeśli nie masz dostępu do serwera Microsoft Entra Connect lub serwer nie ma dostępu do Internetu, możesz skontaktować się z pomoc techniczna firmy Microsoft, aby uzyskać pomoc w zmianie identyfikatora Microsoft Entra.

Włączanie synchronizacji skrótów haseł w programie Microsoft Entra Connect

W Samouczku: użycie federacji dla tożsamości hybrydowej w pojedynczym lesie usługi Active Directory utworzyłeś środowisko Microsoft Entra Connect korzystające z federacji.

Pierwszym krokiem konfigurowania kopii zapasowej dla federacji jest włączenie synchronizacji skrótów haseł i ustawienie programu Microsoft Entra Connect w celu zsynchronizowania skrótów:

  1. Kliknij dwukrotnie ikonę Microsoft Entra Connect, która została utworzona na pulpicie podczas instalacji.

  2. Wybierz Konfiguruj.

  3. W obszarze Dodatkowe zadania wybierz pozycję Dostosuj opcje synchronizacji, a następnie wybierz pozycję Dalej.

    Zrzut ekranu przedstawiający okienko Dodatkowe zadania z wybraną opcją Dostosuj synchronizację.

  4. Wprowadź nazwę użytkownika i hasło dla konta utworzonego administratora tożsamości hybrydowej podczas samouczka, aby skonfigurować federację.

  5. W obszarze Połącz katalogi wybierz pozycję Dalej.

  6. W obszarze Filtrowanie domen i jednostek organizacyjnych wybierz pozycję Dalej.

  7. W obszarze Funkcje opcjonalne wybierz pozycję Synchronizacja skrótów haseł, a następnie wybierz pozycję Dalej.

    Zrzut ekranu przedstawiający okienko Funkcje opcjonalne z wybraną synchronizacją skrótów haseł.

  8. W obszarze Gotowe do skonfigurowania wybierz pozycję Konfiguruj.

  9. Po zakończeniu konfiguracji wybierz pozycję Zakończ.

I już! Wszystko jest gotowe. Synchronizacja skrótów haseł będzie teraz dostępna i może być używana jako kopia zapasowa, jeśli usługi AD FS staną się niedostępne.

Przełącz na synchronizację skrótów haseł

Ważne

  • Przed przejściem do synchronizacji skrótów haseł utwórz kopię zapasową środowiska usług AD FS. Kopię zapasową można utworzyć za pomocą narzędzia AD FS szybkiego przywracania.

  • Synchronizacja skrótów haseł z identyfikatorem Entra firmy Microsoft zajmuje trochę czasu. Zakończenie synchronizacji może potrwać do trzech godzin, zanim będziesz mógł rozpocząć uwierzytelnianie przy użyciu skrótów haseł.

Następnie przejdź do synchronizacji skrótów haseł. Przed rozpoczęciem należy rozważyć, w jakich warunkach należy włączyć przełącznik. Nie przechodź na inne rozwiązanie z przyczyn tymczasowych, takich jak awaria sieci, pomniejszy problem z usługami AD FS lub problem mający wpływ na część użytkowników.

Jeśli zdecydujesz się na przełączenie, ponieważ rozwiązanie problemu potrwa zbyt długo, wykonaj następujące kroki:

  1. W aplikacji Microsoft Entra Connect wybierz pozycję Konfiguruj.
  2. Wybierz pozycję Zmień logowanie użytkownika, a następnie wybierz pozycję Dalej.
  3. Wprowadź nazwę użytkownika i hasło dla konta Administratora Tożsamości Hybrydowej, które utworzyłeś w samouczku, aby skonfigurować federację.
  4. W obszarze Logowanie użytkownika wybierz pozycję Synchronizacja skrótów haseł, a następnie zaznacz pole wyboru Nie konwertuj kont użytkowników.
  5. Pozostaw wybraną opcję Włącz logowanie jednokrotne i wybierz pozycję Dalej.
  6. W obszarze Włącz logowanie jednokrotne wybierz pozycję Dalej.
  7. W obszarze Gotowe do skonfigurowania wybierz pozycję Konfiguruj.
  8. Po zakończeniu konfiguracji wybierz pozycję Zakończ.

Użytkownicy mogą teraz używać swoich haseł do logowania się do platformy Azure i usług platformy Azure.

Zaloguj się przy użyciu konta użytkownika, aby przetestować synchronizację

  1. W nowym oknie przeglądarki internetowej przejdź do strony https://myapps.microsoft.com.

  2. Zaloguj się przy użyciu konta użytkownika utworzonego w nowej dzierżawie.

    W przypadku nazwy użytkownika użyj formatu user@domain.onmicrosoft.com. Użyj tego samego hasła, którego użytkownik używa do logowania się do usługi Active Directory w siedzibie firmy.

    Zrzut ekranu przedstawiający komunikat informujący o pomyślnym zakończeniu testowania logowania.

Przełącz się z powrotem do federacji

Teraz przełącz się z powrotem do federacji:

  1. W aplikacji Microsoft Entra Connect wybierz pozycję Konfiguruj.

  2. Wybierz pozycję Zmień logowanie użytkownika, a następnie wybierz pozycję Dalej.

  3. Wprowadź nazwę użytkownika i hasło dla konta administratora tożsamości hybrydowej.

  4. W obszarze Logowanie użytkownika wybierz pozycję Federacja z usługami AD FS, a następnie wybierz przycisk Dalej.

  5. W sekcji Poświadczenia administratora domeny wprowadź nazwę użytkownika i hasło contoso\Administrator, a następnie wybierz Dalej.

  6. W farmie usług AD FS wybierz przycisk Dalej.

  7. W domenie Microsoft Entra wybierz domenę i wybierz przycisk Dalej.

  8. W obszarze Gotowe do skonfigurowania wybierz pozycję Konfiguruj.

  9. Po zakończeniu konfiguracji wybierz przycisk Dalej.

    Zrzut ekranu przedstawiający panel Konfiguracja zakończona.

  10. W Weryfikacja łączności federacyjnej wybierz Weryfikuj. Aby weryfikacja zakończyła się pomyślnie, może być konieczne skonfigurowanie rekordów DNS (dodawanie rekordów A i AAAA).

    Zrzut ekranu przedstawiający okno dialogowe Weryfikowanie łączności federacyjnej i przycisk Weryfikuj.

  11. Wybierz pozycję Zakończ.

Resetowanie zaufania usług AD FS i platformy Azure

Ostatnim zadaniem jest zresetowanie zaufania między usługami AD FS i platformą Azure:

  1. W aplikacji Microsoft Entra Connect wybierz pozycję Konfiguruj.

  2. Wybierz pozycję Zarządzaj federacją, a następnie wybierz pozycję Dalej.

  3. Wybierz pozycję Resetuj zaufanie Microsoft Entra ID, a następnie wybierz pozycję Dalej.

    Zrzut ekranu przedstawiający okienko Zarządzanie federacją, z wybraną opcją Reset Microsoft Entra ID.

  4. W Połącz z Microsoft Entra ID wprowadź nazwę użytkownika i hasło dla konta administratora tożsamości hybrydowej.

  5. W obszarze Nawiązywanie połączenia z usługami AD FS wprowadź nazwę użytkownika i hasło contoso\Administrator, a następnie wybierz przycisk Dalej.

  6. W obszarze Certyfikaty wybierz pozycję Dalej.

  7. Powtórz kroki opisane w temacie Logowanie się przy użyciu konta użytkownika, aby przetestować synchronizację.

Pomyślnie skonfigurowano środowisko tożsamości hybrydowej, którego można użyć do testowania i zapoznania się z ofertą platformy Azure.

Następne kroki