教學課程:將密碼雜湊同步設定為 Azure 目錄同盟服務的備份
本教學課程將逐步引導您完成在 Microsoft Entra 連線 中將密碼雜湊同步設定為 Azure 目錄同盟服務 (AD FS) 的備份和容錯移轉的步驟。 本教學課程也會示範如何在 AD FS 失敗或無法使用時,將密碼雜湊同步設定為主要驗證方法。
注意
雖然這些步驟通常是在緊急或中斷的情況下採取,但建議您先測試這些步驟,並在發生中斷之前驗證您的程式。
必要條件
本教學課程以 教學課程為基礎:在單一 Active Directory 樹系中使用混合式身分識別同盟。 完成本教學課程是完成本教學課程步驟的必要條件。
注意
如果您沒有 Microsoft Entra 連線伺服器的存取權,或伺服器沒有網際網路存取權,您可以連絡 Microsoft 支援服務 以協助變更 Microsoft Entra ID。
在 Microsoft Entra 連線中啟用密碼雜湊同步處理
在 教學課程:在單一 Active Directory 樹系中使用混合式身分識別的同盟,您已建立使用同盟的 Microsoft Entra 連線環境。
設定同盟備份的第一個步驟是開啟密碼雜湊同步,並設定 Microsoft Entra 連線同步處理雜湊:
按兩下安裝期間在桌面上建立的 Microsoft Entra 連線圖示。
選取設定。
在 [其他工作] 中 ,選取 [ 自訂同步處理選項 ],然後選取 [ 下一步 ]。
輸入您在教學課程中建立 的 混合式身分識別管理員istrator 帳戶的使用者名稱和密碼,以設定同盟。
在 連線目錄中 ,選取 [ 下一步 ]。
在 [ 網域和 OU 篩選 ] 中,選取 [ 下一步 ]。
在 [選用功能] 中 ,選取 [密碼雜湊同步處理 ],然後選取 [ 下一步 ]。
在 [準備設定] 中 ,選取 [ 設定 ]。
設定完成時,請選取 [ 結束 ]。
介紹完畢 大功告成。 密碼雜湊同步處理現在將會發生,而且如果 AD FS 變成無法使用,則可以作為備份。
切換至密碼雜湊同步處理
重要
切換至密碼雜湊同步處理之前,請先建立 AD FS 環境的備份。 您可以使用 AD FS 快速還原工具 建立備份 。
密碼雜湊需要一些時間才能同步處理至 Microsoft Entra ID。 同步處理完成之前最多可能需要三個小時,而且您可以使用密碼雜湊開始驗證。
接下來,切換至密碼雜湊同步處理。 開始之前,請考慮您應該在哪個條件下進行切換。 請勿基於暫時性原因進行交換器,例如網路中斷、次要 AD FS 問題,或影響使用者子集的問題。
如果您決定進行切換,因為修正問題需要太長的時間,請完成下列步驟:
- 在 Microsoft Entra 連線中,選取 [ 設定 ]。
- 選取 [ 變更使用者登入 ],然後選取 [ 下一步 ]。
- 輸入您在教學課程中建立 的 混合式身分識別管理員istrator 帳戶的使用者名稱和密碼,以設定同盟。
- 在 [使用者登入 ] 中,選取 [密碼雜湊同步處理 ],然後選取 [不要轉換使用者帳戶 ] 核取方塊。
- 保留已選取 [啟用單一登入 ] 的預設 狀態,然後選取 [ 下一步 ]。
- 在 [啟用單一登入] 中 ,選取 [ 下一步 ]。
- 在 [準備設定] 中 ,選取 [ 設定 ]。
- 設定完成時,請選取 [ 結束 ]。
使用者現在可以使用其密碼登入 Azure 和 Azure 服務。
使用使用者帳戶登入以測試同步處理
在新的網頁瀏覽器視窗中,移至 https://myapps.microsoft.com 。
使用新租使用者中建立的使用者帳戶登入。
針對使用者名稱,請使用 格式
user@domain.onmicrosoft.com
。 使用使用者用來登入內部部署的 Active Directory的相同密碼。
切換回同盟
現在,切換回同盟:
在 Microsoft Entra 連線中,選取 [ 設定 ]。
選取 [ 變更使用者登入 ],然後選取 [ 下一步 ]。
輸入混合式身分識別管理員istrator 帳戶的使用者名稱和密碼。
在 [ 使用者登入 ] 中,選取 [與 AD FS 同盟],然後選取 [ 下一步 ]。
在 [網域管理員istrator 認證 ] 中,輸入 contoso\管理員istrator 使用者名稱和密碼,然後選取 [ 下一步]。
在 AD FS 伺服器陣列 中,選取 [ 下一步 ]。
在 Microsoft Entra 網域 中,選取網域,然後選取 [ 下一步 ]。
在 [準備設定] 中 ,選取 [ 設定 ]。
設定完成時,請選取 [ 下一步 ]。
在 [驗證同盟連線] 中,選取 [ 驗證 ]。 您可能需要設定 DNS 記錄(新增 A 和 AAAA 記錄),驗證才能順利完成。
選取 [結束]。
重設 AD FS 和 Azure 信任
最後一項工作是重設 AD FS 與 Azure 之間的信任:
在 Microsoft Entra 連線中,選取 [ 設定 ]。
選取 [ 管理同盟 ],然後選取 [ 下一步 ]。
選取 [ 重設 Microsoft Entra ID 信任 ],然後選取 [ 下一步 ]。
在 連線至 Microsoft Entra ID 中,輸入全域管理員istrator 帳戶或混合式身分識別管理員istrator 帳戶的使用者名稱和密碼。
在 連線 至 AD FS 中,輸入 contoso\管理員istrator 使用者名稱和密碼,然後選取 [ 下一步]。
在 [憑證] 中 ,選取 [ 下一步 ]。
重複使用使用者帳戶登入中的步驟 ,以測試同步處理 。
您已成功設定混合式身分識別環境,可用來測試及熟悉 Azure 所提供的功能。
下一步
- 檢閱 Microsoft Entra 連線硬體和必要條件 。
- 瞭解如何在 Microsoft Entra 連線中使用 快速設定 。
- 深入瞭解 與 Microsoft Entra 連線的密碼雜湊同步 。