El mundo de azure en bastante interesante, pero es algo diferente y puede costarnos un poco mas de lo debido. En este caso, voy a hacer algo que no había hecho nunca, ya que estoy aprendiendo aun de esto, que es cambiar la autenticación del usuario contra azure y office 365.
Primero vamos a buscar como estamos conectados con nuestro azure por powershell, aquí explico cómo hacerlo.
Una vez conectado ponemos el siguiente comando:
get-MsolDomain
Aquí vemos que efectivamente tenemos un dominio que nos autentica como federada.
Vamos a desgranar más ese dominio y ver más información, para ello ponemos:
get-MsolDomainFederationSettings -DomainName NUESTRO_DOMINIO | fl *
Ahora que ya lo tenemos localizado vamos a comprobarlo en azure
Entramos en el portal de azure y vamos a azure active directory
En el menú de la izquierda vamos a azure ad connect
Y aquí vemos que, efectivamente, hay un dominio con autenticación federada
Una vez localizado, nos aseguramos, como explico aquí que el servidor esta en ponemos como staging mode.
Una vez comprobado eso vamos a ir a cambiar la autenticación como hash. Para ello, vamos a ir a la aplicación de azure AD connect instalada en nuestro servidor de adconnect
Pulsamos en configure
Elegimos change user sign-in y pulsamos next
Nos pide una autenticación válida para administrar azure AD connect
Y allí cambiamos nuestro método de validación a password hash sincronization y activamos el single sign-on
Pulsamos next y nos reconfigurara la validación de cara a azure con nuestro entorno local
Ahora volvemos a nuestro adconnect
start-ADSyncSyncCycle
Bien, una vez acabado (podemos comprobarlo en syncronization service manager).
Volvemos a powershell y ejecutamos la siguiente línea
set-MsolDomainAuthentication -Authentication Managed -DomainName <domain name>
Con esto cambiamos nuestro servidor de federated a managed
Volvemos a comprobar si lo ha cambiado:
get-MsolDomain
Vemos que tenemos nuestro dominio cambiado a managed
Ahora volvemos a comprobar el portal de azure como esta nuestros user sign-in y vemos que lo ha cambiado y ya no tenemos ninguno federado
Comprobamos que podamos acceder bien con nuestras credenciales upn de Windows, contra nuestro azure, nuestro office 365 y nuestras aplicaciones de validación conectadas con azure
Por último, nos queda comprobar el estado de salud de nuestro servidor de sincronización con azure.
Dentro de nuestro portal en la zona donde estábamos (azure AD connect) vamos a Health and Analytics
Pinchamos en sync services
Pinchamos en nuestro dominio
Y vemos en estado de nuestra sincronización
Si pinchamos dentro vemos cuando se sincronizo
Con esto ya tenemos cambios nuestra autenticación federada a hash
Esper que os sirva