教學課程:將密碼雜湊同步設定為 Azure 目錄同盟服務的備份

  • 發行項

本教學課程將逐步引導您完成在 Microsoft Entra 連線 中將密碼雜湊同步設定為 Azure 目錄同盟服務 (AD FS) 的備份和容錯移轉的步驟。 本教學課程也會示範如何在 AD FS 失敗或無法使用時,將密碼雜湊同步設定為主要驗證方法。

注意

雖然這些步驟通常是在緊急或中斷的情況下採取,但建議您先測試這些步驟,並在發生中斷之前驗證您的程式。

必要條件

本教學課程以 教學課程為基礎:在單一 Active Directory 樹系中使用混合式身分識別同盟。 完成本教學課程是完成本教學課程步驟的必要條件。

注意

如果您沒有 Microsoft Entra 連線伺服器的存取權,或伺服器沒有網際網路存取權,您可以連絡 Microsoft 支援服務 以協助變更 Microsoft Entra ID。

在 Microsoft Entra 連線中啟用密碼雜湊同步處理

教學課程:在單一 Active Directory 樹系中使用混合式身分識別的同盟,您已建立使用同盟的 Microsoft Entra 連線環境。

設定同盟備份的第一個步驟是開啟密碼雜湊同步,並設定 Microsoft Entra 連線同步處理雜湊:

  1. 按兩下安裝期間在桌面上建立的 Microsoft Entra 連線圖示。

  2. 選取設定

  3. 在 [其他工作] 中 ,選取 [ 自訂同步處理選項 ],然後選取 [ 下一步 ]。

    Screenshot that shows the Additional tasks pane, with Customize synchronization options selected.

  4. 輸入您在教學課程中建立 混合式身分識別管理員istrator 帳戶的使用者名稱和密碼,以設定同盟。

  5. 連線目錄中 ,選取 [ 下一步 ]。

  6. 在 [ 網域和 OU 篩選 ] 中,選取 [ 下一步 ]。

  7. 在 [選用功能] 中 ,選取 [密碼雜湊同步處理 ],然後選取 [ 下一步 ]。

    Screenshot that shows the Optional features pane, with Password hash synchronization selected.

  8. 在 [準備設定] ,選取 [ 設定 ]。

  9. 設定完成時,請選取 [ 結束 ]。

介紹完畢 大功告成。 密碼雜湊同步處理現在將會發生,而且如果 AD FS 變成無法使用,則可以作為備份。

切換至密碼雜湊同步處理

重要

  • 切換至密碼雜湊同步處理之前,請先建立 AD FS 環境的備份。 您可以使用 AD FS 快速還原工具 建立備份

  • 密碼雜湊需要一些時間才能同步處理至 Microsoft Entra ID。 同步處理完成之前最多可能需要三個小時,而且您可以使用密碼雜湊開始驗證。

接下來,切換至密碼雜湊同步處理。 開始之前,請考慮您應該在哪個條件下進行切換。 請勿基於暫時性原因進行交換器,例如網路中斷、次要 AD FS 問題,或影響使用者子集的問題。

如果您決定進行切換,因為修正問題需要太長的時間,請完成下列步驟:

  1. 在 Microsoft Entra 連線中,選取 [ 設定 ]。
  2. 選取 [ 變更使用者登入 ],然後選取 [ 下一步 ]。
  3. 輸入您在教學課程中建立 混合式身分識別管理員istrator 帳戶的使用者名稱和密碼,以設定同盟。
  4. [使用者登入 ] 中,選取 [密碼雜湊同步處理 ],然後選取 [不要轉換使用者帳戶 ] 核取方塊。
  5. 保留已選取 [啟用單一登入 ] 的預設 狀態,然後選取 [ 下一步 ]。
  6. [啟用單一登入] 中 ,選取 [ 下一步 ]。
  7. 在 [準備設定] ,選取 [ 設定 ]。
  8. 設定完成時,請選取 [ 結束 ]。

使用者現在可以使用其密碼登入 Azure 和 Azure 服務。

使用使用者帳戶登入以測試同步處理

  1. 在新的網頁瀏覽器視窗中,移至 https://myapps.microsoft.com

  2. 使用新租使用者中建立的使用者帳戶登入。

    針對使用者名稱,請使用 格式 user@domain.onmicrosoft.com 。 使用使用者用來登入內部部署的 Active Directory的相同密碼。

    Screenshot that shows a successful message when testing the sign-in.

切換回同盟

現在,切換回同盟:

  1. 在 Microsoft Entra 連線中,選取 [ 設定 ]。

  2. 選取 [ 變更使用者登入 ],然後選取 [ 下一步 ]。

  3. 輸入混合式身分識別管理員istrator 帳戶的使用者名稱和密碼。

  4. 在 [ 使用者登入 ] 中,選取 [與 AD FS 同盟],然後選取 [ 下一步 ]。

  5. [網域管理員istrator 認證 ] 中,輸入 contoso\管理員istrator 使用者名稱和密碼,然後選取 [ 下一步]。

  6. AD FS 伺服器陣列 中,選取 [ 下一步 ]。

  7. Microsoft Entra 網域 中,選取網域,然後選取 [ 下一步 ]。

  8. 在 [準備設定] ,選取 [ 設定 ]。

  9. 設定完成時,請選取 [ 下一步 ]。

    Screenshot that shows the Configuration complete pane.

  10. [驗證同盟連線] 中,選取 [ 驗證 ]。 您可能需要設定 DNS 記錄(新增 A 和 AAAA 記錄),驗證才能順利完成。

    Screenshot that shows the Verify federation connectivity dialog and the Verify button.

  11. 選取 [結束]。

重設 AD FS 和 Azure 信任

最後一項工作是重設 AD FS 與 Azure 之間的信任:

  1. 在 Microsoft Entra 連線中,選取 [ 設定 ]。

  2. 選取 [ 管理同盟 ],然後選取 [ 下一步 ]。

  3. 選取 [ 重設 Microsoft Entra ID 信任 ],然後選取 [ 下一步 ]。

    Screenshot that shows the Manage federation pane, with Reset Microsoft Entra ID selected.

  4. 連線至 Microsoft Entra ID 中,輸入全域管理員istrator 帳戶或混合式身分識別管理員istrator 帳戶的使用者名稱和密碼。

  5. 連線 至 AD FS 中,輸入 contoso\管理員istrator 使用者名稱和密碼,然後選取 [ 下一步]。

  6. 在 [憑證] 中 ,選取 [ 下一步 ]。

  7. 重複使用使用者帳戶登入中的步驟 ,以測試同步處理

您已成功設定混合式身分識別環境,可用來測試及熟悉 Azure 所提供的功能。

下一步