Tutorial: Configurar a sincronização de hash de senha como backup para os Serviços de Federação do Azure Active Directory
Este tutorial guia você pelas etapas para configurar a sincronização de hash de senha como um backup e failover para os Serviços de Federação do Azure Active Directory (AD FS) no Microsoft Entra Connect. O tutorial também demonstra como definir a sincronização de hash de senha como o método de autenticação primária se o AD FS falhar ou ficar indisponível.
Observação
Embora essas etapas geralmente sejam executadas durante situações de emergência ou de interrupção, é recomendável testá-las e verificar seus procedimentos antes que uma interrupção ocorra.
Pré-requisitos
Este tutorial baseia-se no Tutorial: Usar federação para identidade híbrida em uma única floresta do Active Directory. Concluir o tutorial é um pré-requisito para concluir as etapas neste tutorial.
Observação
Se você não tiver acesso a um servidor do Microsoft Entra Connect ou o servidor não tiver acesso à Internet, entre em contato com Suporte da Microsoft para receber ajuda com as alterações no Microsoft Entra ID.
Habilitar a sincronização de hash de senha no Microsoft Entra Connect
No Tutorial: usar federação para identidade híbrida em uma única floresta do Active Directory, você criou um ambiente do Microsoft Entra Connect que está usando federação.
Sua primeira etapa na configuração do backup para federação é ativar a sincronização de hash de senha e configurar o Microsoft Entra Connect para sincronizar os hashes:
Clique duas vezes no ícone do Microsoft Entra Connect que foi criado na área de trabalho durante a instalação.
Selecione Configurar.
Em Tarefas adicionais, selecione Personalizar opções de sincronização e, em seguida, selecione Próximo.
Insira o nome de usuário e a senha da conta de Administrador de Identidade Híbrida que você criou no tutorial para configurar a federação.
Em Conectar seus diretórios, selecione Avançar.
Em Filtragem de domínio e UO, selecione Avançar.
Em Recursos opcionais, selecione Sincronização de hash de senha e Avançar.
Em Pronto para configurar, selecione Configurar.
Quando a configuração for concluída, selecione Sair.
É isso! Pronto. A sincronização de hash de senha ocorrerá agora e poderá ser usada como backup em caso de não disponibilidade do AD FS.
Alternar para sincronização de hash de senha
Importante
Antes de alternar para a sincronização de hash de senha, crie um backup do ambiente do AD FS. Você pode criar um backup usando a ferramenta AD FS Rapid Restore.
Leva algum tempo para que os hashes de senha sejam sincronizados com o Microsoft Entra ID. Pode levar até três horas para a sincronização ser concluída e você poder começar a autenticar usando os hashes de senha.
Em seguida, alterne para sincronização de hash de senha. Antes de começar, considere em quais circunstâncias você deve fazer essa mudança. Não faça a mudança por motivos temporários, como uma interrupção de rede, um pequeno problema do AD FS ou um problema que afeta um subconjunto de seus usuários.
Se decidir fazer a mudança porque a correção do problema será muito demorada, complete as etapas a seguir:
- No Microsoft Entra Connect, selecione Configurar.
- Selecione Alterar a entrada do usuário e, em seguida, selecione Avançar.
- Insira o nome de usuário e a senha da conta de Administrador de Identidade Híbrida que você criou no tutorial para configurar a federação.
- Em Entrada do usuário, selecione Sincronização de hash de senha e marque a caixa de seleção Não converter contas de usuário.
- Deixe a opção padrão Habilitar o logon único selecionada e selecione Avançar.
- Em Habilitar Logon Único, selecione Habilitado.
- Em Pronto para configurar, selecione Configurar.
- Quando a configuração for concluída, selecione Sair.
Os usuários agora podem usar suas senhas para entrar no Azure e nos serviços do Azure.
Entre com uma conta de usuário para testar a sincronização
Em uma nova janela do navegador, acesse https://myapps.microsoft.com.
Entre com uma conta de usuário que foi criada no novo locatário.
Para o nome de usuário, use o formato
user@domain.onmicrosoft.com. Utilize a mesma senha que o usuário usa para entrar localmente no Active Directory local.
Volte para a federação
Agora, volte para federação:
No Microsoft Entra Connect, selecione Configurar.
Selecione Alterar a entrada do usuário e, em seguida, selecione Avançar.
Insira o nome de usuário e a senha da sua conta de Administrador de Identidade Híbrida.
Na Entrada do usuário, selecione Federação com o AD FS e, em seguida, selecione Avançar.
Em credenciais do Administrador de Domínios, insira o nome de usuário e a senha do Administrator/contoso e selecione Avançar.
No farm do AD FS, selecione Avançar.
Em Domínio do Microsoft Entra, selecione o domínio e, em seguida, Avançar.
Em Pronto para configurar, selecione Configurar.
Quando a configuração for concluída, selecione Próximo.
Em Verificar conectividade de federação, selecione Verificar. Talvez seja necessário configurar registros DNS (adicionar registros A e AAAA) para concluir a verificação.
Selecione Sair.
Redefinir a confiança do AD FS e do Azure
A tarefa final é redefinir a confiança entre o AD FS e o Azure:
No Microsoft Entra Connect, selecione Configurar.
Selecione Gerenciar Federação e selecione Avançar.
Selecione Redefinir confiança do Microsoft Entra ID e selecione Avançar.
Em Conectar-se ao Microsoft Entra ID, insira o nome de usuário e a senha do Administrador Global ou sua conta de Administrador de Identidade Híbrida.
Em Conectar-se ao AD FS, insira o nome de usuário e a senha de contoso\Administrator e clique em Avançar.
Em Certificados, selecione Avançar.
Repita as etapas em Entrar com uma conta de usuário para testar a sincronização.
Você configurou com êxito um ambiente de identidade híbrida que pode ser usado para testes e para se familiarizar com o que o Azure tem a oferecer.
Próximas etapas
- Leia Hardware e pré-requisitos do Microsoft Entra Connect.
- Saiba como usar as Configurações expressas no Microsoft Entra Connect.
- Saiba mais sobre a sincronização de hash de senha com o Microsoft Entra Connect.