Параметры входа в Azure AD ConnectAzure AD Connect user sign-in options

Служба Azure Active Directory (Azure AD) Connect позволяет входить в облачные и локальные ресурсы, используя те же пароли.Azure Active Directory (Azure AD) Connect allows your users to sign in to both cloud and on-premises resources by using the same passwords. В этой статье рассматриваются основные сведения о каждой модели идентификации, с помощью которых вы можете выбрать удостоверение для входа в Azure AD.This article describes key concepts for each identity model to help you choose the identity that you want to use for signing in to Azure AD.

Если вы уже знакомы с моделью идентификации Azure AD и хотите узнать больше о конкретном методе, то выберите соответствующую ссылку:If you’re already familiar with the Azure AD identity model and want to learn more about a specific method, see the appropriate link:

Примечание

Важно помнить, что при настройке федерации для Azure AD между клиентом Azure AD и вашими федеративными доменами устанавливаются отношения доверия.It is important to remember that by configuring federation for Azure AD, you establish trust between your Azure AD tenant and your federated domains. Такой федеративный домен предоставляет пользователям доступ к облачным ресурсам Azure AD в рамках клиента.With this trust federated domain users will have access to Azure AD cloud resources within the tenant.

Выбор способа входа пользователя для организацииChoosing the user sign-in method for your organization

Первое решение, которое необходимо принять при внедрении Azure AD Connect, — выбор метода проверки подлинности для входа пользователей в систему.The first decision of implementing Azure AD Connect is choosing which authentication method your users will use to sign in. Важно выбрать правильный метод, соответствующий требованиям организации к безопасности и другим требованиям.It's important to make sure you choose the right method that meets your organization's security and advanced requirements. Проверка подлинности крайне важна, так как с ее помощью будут подтверждаться права пользователей на доступ к приложениям и данным в облаке.Authentication is critical, because it will validate user's identities to access apps and data in the cloud. Чтобы выбрать подходящий метод проверки подлинности, необходимо учитывать время, имеющуюся инфраструктуру, сложность и стоимость реализации решения.To choose the right authentication method, you need to consider the time, existing infrastructure, complexity, and cost of implementing your choice. Эти факторы отличаются для каждой организации и могут изменяться с течением времени.These factors are different for every organization and might change over time.

Azure AD поддерживает следующие методы проверки подлинности:Azure AD supports the following authentication methods:

  • Облачная проверка подлинности. При выборе этого метода проверки подлинности Azure AD обрабатывает процесс входа для пользователей.Cloud Authentication - When you choose this authentication method Azure AD handles the authentication process for user's sign-in. При использовании облачной аутентификации вы можете выбрать один из двух вариантов:With cloud authentication you can choose from two options:
    • Синхронизация хэша паролей (PHS) . Синхронизация хэша паролей позволяет пользователям использовать те же имя пользователя и пароль, которые они используют в локальной среде, без необходимости развертывания дополнительной инфраструктуры, помимо Azure AD Connect.Password hash synchronization (PHS) - Password Hash Sync enables users to use the same username and password that they use on-premises without having to deploy any additional infrastructure besides Azure AD Connect.
    • Сквозная проверка подлинности (PTA) . Этот вариант похож на синхронизацию хэша паролей, но предоставляет простое решение для проверки паролей с помощью локальных программных агентов для организаций со строгими политиками безопасности и соответствия требованиям.Pass-through authentication (PTA) - This option is similar to password hash sync, but provides a simple password validation using on-premises software agents for organizations with strong security and compliance policies.
  • Федеративная проверка подлинности. При выборе этого метода проверки подлинности Azure AD передает процесс проверки подлинности отдельной доверенной системе проверки подлинности, например службам федерации Active Directory (AD FS) или сторонней системе федерации, для проверки данных для входа пользователя.Federated authentication - When you choose this authentication method Azure AD will hand off the authentication process to a separate trusted authentication system, such as AD FS or a third-party federation system, to validate the user's sign-in.

Для большинства организаций, которым требуется только вход пользователя в Office 365, приложения SaaS и другие ресурсы Azure AD, рекомендуется включать синхронизацию хэша паролей по умолчанию.For most organizations that just want to enable user sign-in to Office 365, SaaS applications, and other Azure AD-based resources, we recommend the default password hash synchronization option.

Дополнительные сведения о выборе методе проверки подлинности см. в разделе Выбор правильного метода аутентификации для гибридного решения для идентификации Azure Active Directory.For detailed information on choosing an authentication method, see Choose the right authentication method for your Azure Active Directory hybrid identity solution

Синхронизация хэша паролейPassword hash synchronization

При включении такой синхронизации выполняется синхронизация хэша паролей пользователей из локального каталога Active Directory в Azure AD.With password hash synchronization, hashes of user passwords are synchronized from on-premises Active Directory to Azure AD. После изменения или сброса паролей на локальном компьютере новые хэши паролей сразу же синхронизируются с Azure AD. Поэтому ваши пользователи всегда могут использовать одни и те же пароли для облачных и локальных ресурсов.When passwords are changed or reset on-premises, the new password hashes are synchronized to Azure AD immediately so that your users can always use the same password for cloud resources and on-premises resources. Пароли никогда не отправляются в Azure AD и не хранятся в Azure AD в виде открытого текста.The passwords are never sent to Azure AD or stored in Azure AD in clear text. При использовании синхронизации хэша паролей вместе с обратной записью паролей можно включить самостоятельный сброс паролей в Azure AD.You can use password hash synchronization together with password write-back to enable self-service password reset in Azure AD.

Кроме того, можно включить простой единый вход (SSO) для пользователей на компьютерах, присоединенных к домену, которые входят в корпоративную сеть.In addition, you can enable Seamless SSO for users on domain-joined machines that are on the corporate network. Используя единый вход, пользователи с необходимыми разрешениями могут просто ввести имя пользователя, чтобы получить защищенный доступ к ресурсам в облаке.With single sign-on, enabled users only need to enter a username to help them securely access cloud resources.

Синхронизация хэша паролей

Дополнительные сведения см. в статье Синхронизация хэша паролей.For more information, see the password hash synchronization article.

Сквозная аутентификацияPass-through authentication

При сквозной аутентификации пароль пользователя проверяется в локальном контроллере Active Directory.With pass-through authentication, the user’s password is validated against the on-premises Active Directory controller. Пароль не должен в каком-либо виде указываться в Azure AD.The password doesn't need to be present in Azure AD in any form. Это позволяет оценивать соблюдение локальных политик (например, ограничение часов, когда возможен вход) во время аутентификации в облачных службах.This allows for on-premises policies, such as sign-in hour restrictions, to be evaluated during authentication to cloud services.

Для сквозной аутентификация используется простой агент на присоединенном к домену компьютере Windows Server 2012 R2 в локальной среде.Pass-through authentication uses a simple agent on a Windows Server 2012 R2 domain-joined machine in the on-premises environment. Этот агент ожидает передачи запросов на проверку пароля.This agent listens for password validation requests. Ему не требуется открывать входящие порты для доступа из Интернета.It doesn't require any inbound ports to be open to the Internet.

Кроме того, можно также включить единый вход для пользователей на компьютерах, присоединенных к домену, которые входят в корпоративную сеть.In addition, you can also enable single sign-on for users on domain-joined machines that are on the corporate network. Используя единый вход, пользователи с необходимыми разрешениями могут просто ввести имя пользователя, чтобы получить защищенный доступ к ресурсам в облаке.With single sign-on, enabled users only need to enter a username to help them securely access cloud resources. Сквозная проверка подлинностиPass-through authentication

Дополнительные сведения можно найти в разделеFor more information, see:

Федерация, использующая новую или существующую ферму со службами AD FS в Windows Server 2012 R2Federation that uses a new or existing farm with AD FS in Windows Server 2012 R2

С помощью федеративного входа ваши пользователи могут входить в службы Azure AD со своими локальными паролями,With federated sign-in, your users can sign in to Azure AD-based services with their on-premises passwords. а в корпоративной сети — даже без необходимости повторного ввода паролей.While they're on the corporate network, they don't even have to enter their passwords. Использование федерация AD FS позволяет развернуть новую или указать существующую ферму со службами AD FS в Windows Server 2012 R2.By using the federation option with AD FS, you can deploy a new or existing farm with AD FS in Windows Server 2012 R2. Если указать существующую ферму, то Azure AD Connect настроит доверие между фермой и Azure AD для возможности входа пользователей.If you choose to specify an existing farm, Azure AD Connect configures the trust between your farm and Azure AD so that your users can sign in.

Федерация с AD FS в Windows Server 2012 R2

Federation with AD FS in Windows Server 2012 R2

Развертывание федерации с AD FS в Windows Server 2012 R2Deploy federation with AD FS in Windows Server 2012 R2

Для развертывания новой фермы необходимы следующие компоненты:If you're deploying a new farm, you need:

  • сервер Windows Server 2012 R2 для сервера федерации;A Windows Server 2012 R2 server for the federation server.
  • сервер Windows Server 2012 R2 для прокси веб-приложения;A Windows Server 2012 R2 server for the Web Application Proxy.
  • PFX-файл с одним SSL-сертификатом для предполагаемого имени службы федерации,A .pfx file with one SSL certificate for your intended federation service name. например fs.contoso.com.For example: fs.contoso.com.

Для развертывания новой или использования существующей фермы необходимы следующие компоненты:If you're deploying a new farm or using an existing farm, you need:

  • учетные данные локального администратора на серверах федерации;Local administrator credentials on your federation servers.
  • учетные данные локального администратора на всех серверах рабочей группы (не присоединенных к домену), на которых планируется развернуть роль прокси-службы веб-приложения;Local administrator credentials on any workgroup servers (not domain-joined) that you intend to deploy the Web Application Proxy role on.
  • компьютер, на котором запущен мастер и который способен подключаться к другим компьютерам, на которых нужно установить AD FS или прокси-службу веб-приложения, используя службу удаленного управления Windows.The machine that you run the wizard on to be able to connect to any other machines that you want to install AD FS or Web Application Proxy on by using Windows Remote Management.

Дополнительные сведения см. в разделе Настройка федерации с AD FS.For more information, see Configuring SSO with AD FS.

Федерация с PingFederateFederation with PingFederate

С помощью федеративного входа ваши пользователи могут входить в службы Azure AD со своими локальными паролями,With federated sign-in, your users can sign in to Azure AD-based services with their on-premises passwords. а в корпоративной сети — даже без необходимости повторного ввода паролей.While they're on the corporate network, they don't even have to enter their passwords.

Дополнительные сведения о настройке PingFederate для использования с Azure Active Directory см. в разделе PingFederate Integration with Azure Active Directory and Office 365 (Интеграция PingFederate с Azure Active Directory и Office 365).For more information on configuring PingFederate for use with Azure Active Directory, see PingFederate Integration with Azure Active Directory and Office 365

Сведения о настройке Azure AD Connect с помощью PingFederate см. в разделе Выборочная установка Azure AD Connect.For information on setting up Azure AD Connect using PingFederate, see Azure AD Connect custom installation

Вход с помощью более ранней версии AD FS или стороннего решенияSign in by using an earlier version of AD FS or a third-party solution

Если вы уже настроили облачный вход с помощью более ранней версии AD FS (например AD FS 2.0) или стороннего поставщика услуг федерации, то можете пропустить настройку входа пользователей через Azure AD Connect.If you've already configured cloud sign-in by using an earlier version of AD FS (such as AD FS 2.0) or a third-party federation provider, you can choose to skip user sign-in configuration through Azure AD Connect. В результате вы получите последнюю синхронизацию и другие возможности Azure AD Connect, при этом используя существующее решение для входа.This will enable you to get the latest synchronization and other capabilities of Azure AD Connect while still using your existing solution for sign-in.

Дополнительные сведения см. в статье Список совместимости с федерацией Azure AD.For more information, see the Azure AD third-party federation compatibility list.

Вход пользователя и имя участника-пользователяUser sign-in and user principal name

Основные сведения об имени участника-пользователяUnderstanding user principal name

В Active Directory суффиксом имени участника-пользователя (UPN) по умолчанию является DNS-имя домена, в котором создана учетная запись пользователя.In Active Directory, the default user principal name (UPN) suffix is the DNS name of the domain where the user account was created. В большинстве случаев это доменное имя, зарегистрированное как домен предприятия в Интернете.In most cases, this is the domain name that's registered as the enterprise domain on the Internet. Тем не менее, с помощью оснастки "Active Directory — домены и доверие" можно добавить дополнительные суффиксы имени участника-пользователя.However, you can add more UPN suffixes by using Active Directory Domains and Trusts.

Имя участника-пользователя (UPN) имеет формат username@domain.The UPN of the user has the format username@domain. Например, для домена Active Directory contoso.com пользователь John может иметь имя участника-пользователя john@contoso.com.For example, for an Active Directory domain named "contoso.com", a user named John might have the UPN "john@contoso.com". Имя участника-пользователя основано на RFC 822.The UPN of the user is based on RFC 822. Несмотря на то, что имя участника-пользователя и адрес электронной почты имеют одинаковый формат, значение имени участника-пользователя может совпадать или не совпадать с адресом электронной почты пользователя.Although the UPN and email share the same format, the value of the UPN for a user might or might not be the same as the email address of the user.

Имя участника-пользователя в Azure ADUser principal name in Azure AD

Мастер Azure AD Connect использует атрибут userPrincipalName или позволяет указать атрибут (при выборочной установке) из локального расположения для использования в качестве имени участника-пользователя в Azure AD.The Azure AD Connect wizard uses the userPrincipalName attribute or lets you specify the attribute (in a custom installation) to be used from on-premises as the user principal name in Azure AD. Это значение, которое используется для входа в Azure AD.This is the value that is used for signing in to Azure AD. Если значение атрибута userPrincipalName не соответствует проверенному домену в Azure AD, то Azure AD заменяет его значением .onmicrosoft.com по умолчанию.If the value of the userPrincipalName attribute doesn't correspond to a verified domain in Azure AD, then Azure AD replaces it with a default .onmicrosoft.com value.

Каждый каталог в Azure Active Directory поставляется со встроенным доменным именем в формате contoso.onmicrosoft.com. С его помощью вы можете приступить к работе с Azure или другими службами Майкрософт.Every directory in Azure Active Directory comes with a built-in domain name, with the format contoso.onmicrosoft.com, that lets you get started using Azure or other Microsoft services. Можно улучшить и упростить процесс входа в систему с помощью личных доменов.You can improve and simplify the sign-in experience by using custom domains. Сведения об именах личных доменов в Azure AD и о проверке домена см. в разделе Добавление имени личного домена в каталог.For information on custom domain names in Azure AD and how to verify a domain, see Add your custom domain name to Azure Active Directory.

Конфигурация входа в Azure ADAzure AD sign-in configuration

Конфигурация входа в Azure AD с Azure AD ConnectAzure AD sign-in configuration with Azure AD Connect

Процесс входа в Azure AD зависит от того, сможет ли Azure AD найти соответствие суффикса имени участника-пользователя, синхронизируя его с одним из личных доменов, проверенных в каталоге Azure AD.The Azure AD sign-in experience depends on whether Azure AD can match the user principal name suffix of a user that's being synced to one of the custom domains that are verified in the Azure AD directory. Azure AD Connect помогает при настройке параметров входа в Azure AD, таким образом, процесс входа пользователя в облаке аналогичен процедуре локального входа.Azure AD Connect provides help while you configure Azure AD sign-in settings, so that the user sign-in experience in the cloud is similar to the on-premises experience.

Служба Azure AD Connect отображает суффиксы имени участника-пользователя, определенные для доменов и пытается сопоставить их с личным доменом в Azure AD.Azure AD Connect lists the UPN suffixes that are defined for the domains and tries to match them with a custom domain in Azure AD. Затем она помогает выполнить следующее соответствующее действие.Then it helps you with the appropriate action that needs to be taken. На странице входа в Azure AD перечислены суффиксы имени участника-пользователя, определенные для локальной службы Active Directory, и отображается соответствующее состояния каждого суффикса.The Azure AD sign-in page lists the UPN suffixes that are defined for on-premises Active Directory and displays the corresponding status against each suffix. Состояние может иметь следующие значения:The status values can be one of the following:

СостояниеState ОписаниеDescription Требуется действиеAction needed
ПровереноVerified Служба Azure AD Connect нашла соответствующий проверенный домен в Azure AD.Azure AD Connect found a matching verified domain in Azure AD. Все пользователи этого домена могут входить с помощью локальных учетных данных.All users for this domain can sign in by using their on-premises credentials. Никаких действий не требуется.No action is needed.
Не провереноNot verified Azure AD Connect удалось найти соответствующий личный домен в Azure AD, но он не проверен.Azure AD Connect found a matching custom domain in Azure AD, but it isn't verified. Если домен не проверен, то после синхронизации суффикс имени участника-пользователя этого домена будет заменен на суффикс по умолчанию (.onmicrosoft.com).The UPN suffix of the users of this domain will be changed to the default .onmicrosoft.com suffix after synchronization if the domain isn't verified. Проверьте личный домен в Azure AD.Verify the custom domain in Azure AD.
Не добавленоNot added Azure AD Connect не удалось найти личный домен, соответствующий суффиксу имени участника-пользователя.Azure AD Connect didn't find a custom domain that corresponded to the UPN suffix. Если домен не добавлен и не проверен в Azure, то суффикс имени участника-пользователя этого домена будет заменен на суффикс по умолчанию (.onmicrosoft.com).The UPN suffix of the users of this domain will be changed to the default .onmicrosoft.com suffix if the domain isn't added and verified in Azure. Добавьте и проверьте личный домен, соответствующий суффиксу имени участника-пользователя.Add and verify a custom domain that corresponds to the UPN suffix.

На странице входа в Azure AD отображаются суффиксы имени участника-пользователя, определенные для локальной службы Active Directory, и соответствующий личный домен в Azure AD с текущим состоянием проверки.The Azure AD sign-in page lists the UPN suffixes that are defined for on-premises Active Directory and the corresponding custom domain in Azure AD with the current verification status. При выборочной установке теперь можно выбрать атрибут для имени участника-пользователя на странице входа в Azure AD.In a custom installation, you can now select the attribute for the user principal name on the Azure AD sign-in page.

Страница входа в Azure AD

Можно нажать кнопку обновления, чтобы снова получить последнее состояние личных доменов из Azure AD.You can click the refresh button to re-fetch the latest status of the custom domains from Azure AD.

Выбор атрибута для имени участника-пользователя в Azure ADSelecting the attribute for the user principal name in Azure AD

Атрибут userPrincipalName используется для входа в Azure AD и Office 365.The attribute userPrincipalName is the attribute that users use when they sign in to Azure AD and Office 365. Используемые в Azure AD домены (которые также называются UPN-суффиксами) следует проверить до синхронизации пользователей.You should verify the domains (also known as UPN suffixes) that are used in Azure AD before the users are synchronized.

Мы настоятельно рекомендуем сохранить userPrincipalName как атрибут по умолчанию.We strongly recommend that you keep the default attribute userPrincipalName. Если этот атрибут нельзя маршрутизировать и проверить, то в качестве атрибута, который содержит идентификатор пользователя для входа, можно выбрать другой атрибут (например адрес электронной почты).If this attribute is nonroutable and can't be verified, then it's possible to select another attribute (email, for example) as the attribute that holds the sign-in ID. Он называется альтернативным идентификатором.This is known as the Alternate ID. Значение альтернативного идентификатора должно соответствовать стандарту RFC 822.The Alternate ID attribute value must follow the RFC 822 standard. Альтернативный идентификатор может использоваться совместно с паролем единого входа или федеративным единым входом, образуя единое решение для входа.You can use an Alternate ID with both password SSO and federation SSO as the sign-in solution.

Примечание

Использование альтернативного идентификатора совместимо не со всеми рабочими нагрузками Office 365.Using an Alternate ID isn't compatible with all Office 365 workloads. Дополнительные сведения см. в статье Configuring Alternate Login ID (Настройка альтернативного идентификатора входа).For more information, see Configuring Alternate Login ID.

Другие состояния личного домена и их влияние на процесс входа в AzureDifferent custom domain states and their effect on the Azure sign-in experience

Очень важно понимать связь между состояниями личного домена в каталоге Azure AD и суффиксами имени участника-пользователя, определенными локально.It's very important to understand the relationship between the custom domain states in your Azure AD directory and the UPN suffixes that are defined on-premises. Давайте ознакомимся с различными возможными ситуациями при входе в Azure AD, когда настраивается синхронизация с применением Azure AD Connnect.Let's go through the different possible Azure sign-in experiences when you're setting up synchronization by using Azure AD Connect.

Предположим, что нас интересует суффикс имени участника-пользователя contoso.com, который используется в локальном каталоге как часть имени участника-пользователя, например user@contoso.com.For the following information, let's assume that we're concerned with the UPN suffix contoso.com, which is used in the on-premises directory as part of UPN--for example user@contoso.com.

Стандартные параметры/синхронизация хэша паролейExpress settings/Password hash synchronization
СостояниеState Влияние на процесс входа пользователей в AzureEffect on user Azure sign-in experience
Не добавленоNot added В этом случае в каталог Azure AD не был добавлен ни один личный домен для contoso.com.In this case, no custom domain for contoso.com has been added in the Azure AD directory. Пользователи, имеющие локальное имя участника-пользователя с суффиксом @contoso.com, не смогут использовать его для входа в Azure.Users who have UPN on-premises with the suffix @contoso.com won't be able to use their on-premises UPN to sign in to Azure. Вместо этого они должны будут использовать новое имя участника-пользователя, предоставленное им Azure AD путем добавления суффикса для каталога Azure AD по умолчанию.They'll instead have to use a new UPN that's provided to them by Azure AD by adding the suffix for the default Azure AD directory. Например, если выполняется синхронизация пользователей c каталогом Azure AD azurecontoso.onmicrosoft.com, то локальному пользователю user@contoso.com будет присвоено имя участника-пользователя user@azurecontoso.onmicrosoft.com.For example, if you're syncing users to the Azure AD directory azurecontoso.onmicrosoft.com, then the on-premises user user@contoso.com will be given a UPN of user@azurecontoso.onmicrosoft.com.
Не провереноNot verified В этом случае частный домен contoso.com добавляется в каталог Azure AD.In this case, we have a custom domain contoso.com that's added in the Azure AD directory. Однако он еще не проверен.However, it's not yet verified. Если продолжить синхронизацию пользователей без проверки домена, то Azure AD присвоит пользователям новое имя участника-пользователя так же, как в сценарии "Не добавлено".If you go ahead with syncing users without verifying the domain, then the users will be assigned a new UPN by Azure AD, just like in the "Not added" scenario.
ПровереноVerified В этом случае частный домен contoso.com уже добавлен и проверен в Azure AD для суффикса имени участника-пользователя.In this case, we have a custom domain contoso.com that's already added and verified in Azure AD for the UPN suffix. Пользователи смогут использовать свое локальное имя участника-пользователя (например user@contoso.com), чтобы войти в Azure после синхронизации с Azure AD.Users will be able to use their on-premises user principal name, for example user@contoso.com, to sign in to Azure after they're synced to Azure AD.
Федерация AD FSAD FS federation

Нельзя создать федерацию с доменом .onmicrosoft.com по умолчанию или с непроверенным частным доменом в Azure AD.You can't create a federation with the default .onmicrosoft.com domain in Azure AD or an unverified custom domain in Azure AD. При выполнении мастера Azure AD Connect, если выбрать непроверенный домен для создания с ним федерации, то Azure AD Connect предложит создать необходимые записи там, где размещена служба DNS домена.When you're running the Azure AD Connect wizard, if you select an unverified domain to create a federation with, then Azure AD Connect prompts you with the necessary records to be created where your DNS is hosted for the domain. Дополнительные сведения см. в разделе Проверка домена Azure AD, выбранного для включения в федерацию.For more information, see Verify the Azure AD domain selected for federation.

Если в качестве параметра входа пользователя выбрана Федерация с AD FS, то необходимо иметь частный домен, чтобы продолжить создание федерации в Azure AD.If you selected the user sign-in option Federation with AD FS, then you must have a custom domain to continue creating a federation in Azure AD. Для нас это означает, что мы должны добавить частный домен contoso.com в каталог Azure AD.For our discussion, this means that we should have a custom domain contoso.com added in the Azure AD directory.

СостояниеState Влияние на процесс входа пользователей в AzureEffect on the user Azure sign-in experience
Не добавленоNot added В этом случае Azure AD Connect не удалось найти соответствующий частный домен для суффикса имени участника-пользователя contoso.com в каталоге Azure AD.In this case, Azure AD Connect didn't find a matching custom domain for the UPN suffix contoso.com in the Azure AD directory. Необходимо добавить личный домен contoso.com, если вы хотите, чтобы пользователи входили в систему, используя AD FS с локальным именем участника-пользователя (например user@contoso.com).You need to add a custom domain contoso.com if you need users to sign in by using AD FS with their on-premises UPN (like user@contoso.com).
Не провереноNot verified В этом случае Azure AD Connect отображает соответствующие сведения о том, как в дальнейшем проверить домен.In this case, Azure AD Connect prompts you with appropriate details on how you can verify your domain at a later stage.
ПровереноVerified В этом случае можно продолжить выполнение настроек без каких-либо дополнительных действий.In this case, you can go ahead with the configuration without any further action.

Изменение метода входа пользователяChanging the user sign-in method

После начальной настройки Azure AD Connect с помощью мастера можно изменить метод входа пользователя с федерации на синхронизацию хэша паролей или сквозную аутентификацию, используя задачи, доступные в Azure AD Connect.You can change the user sign-in method from federation, password hash synchronization, or pass-through authentication by using the tasks that are available in Azure AD Connect after the initial configuration of Azure AD Connect with the wizard. Повторно запустите мастер Azure AD Connect. Отобразится список задач, которые можно выполнить.Run the Azure AD Connect wizard again, and you'll see a list of tasks that you can perform. Из списка задач выберите Смена имени пользователя для входа.Select Change user sign-in from the list of tasks.

Изменение параметров входа пользователя

На следующей странице вам будет предложено ввести учетные данные для Azure AD.On the next page, you're asked to provide the credentials for Azure AD.

Подключение к Azure AD

На странице Вход пользователя выберите нужный вариант входа в систему.On the User sign-in page, select the desired user sign-in.

Подключение к Azure AD

Примечание

При временном переключении на синхронизацию хэша паролей установите флажок Не преобразовывать учетные записи пользователей.If you're only making a temporary switch to password hash synchronization, then select the Do not convert user accounts check box. Если не установить этот флажок, то все пользователи будут преобразовываться в федеративные, а это может занять несколько часов.Not checking the option will convert each user to federated, and it can take several hours.

Дальнейшие действияNext steps