Condividi tramite


Configurare AD FS per Microsoft 365 per single Sign-On

Questo video illustra come configurare Active Directory Federation Service (AD FS) per interagire con Microsoft 365. Non copre lo scenario del server proxy AD FS. Questo video illustra AD FS per Windows Server 2012 R2. Tuttavia, la procedura si applica anche ad AD FS 2.0, ad eccezione dei passaggi 1, 3 e 7. In ognuno di questi passaggi vedere la sezione "Note per AD FS 2.0" per altre informazioni su come usare questa procedura in Windows Server 2008.

Note utili per i passaggi nel video

Passaggio 1: Installare Active Directory Federation Services

Aggiungere AD FS usando l'Aggiunta guidata ruoli e funzionalità.

Note per AD FS 2.0

Se si usa Windows Server 2008, è necessario scaricare e installare AD FS 2.0 per poter usare Microsoft 365. È possibile ottenere AD FS 2.0 dal sito Web dell'Area download Microsoft seguente:

Active Directory Federation Services 2.0 RTW

Dopo l'installazione, usa Windows Update per scaricare e installare tutti gli aggiornamenti applicabili.

Passaggio 2: Richiedere un certificato a una CA di terze parti per il nome del server federativo

Microsoft 365 richiede un certificato attendibile nel server AD FS. È quindi necessario ottenere un certificato da un'autorità di certificazione di terze parti.

Quando si personalizza la richiesta di certificato, assicurarsi di aggiungere il nome del server federativo nel campo Nome comune .

In questo video viene illustrato solo come generare una richiesta di firma del certificato. È necessario inviare il file CSR a un'autorità di certificazione di terze parti. L'autorità di certificazione restituisce un certificato firmato. Seguire quindi questa procedura per importare il certificato nell'archivio certificati del computer:

  1. Eseguire Certlm.msc per aprire l'archivio certificati del computer locale.
  2. Nel riquadro di spostamento espandere Personale, espandere Certificato, fare clic con il pulsante destro del mouse sulla cartella Certificato e quindi scegliere Importa.

Informazioni sul nome del server federativo

Il nome del servizio federativo è il nome di dominio con connessione Internet del server AD FS. L'utente di Microsoft 365 viene reindirizzato a questo dominio per l'autenticazione. Assicurarsi pertanto di aggiungere un record A pubblico per il nome di dominio.

Passaggio 3: Configurare AD FS

Non è possibile digitare manualmente un nome come nome del server federativo. Il nome è determinato dal nome del soggetto (nome comune) di un certificato nell'archivio certificati del computer locale.

Note per AD FS 2.0

In AD FS 2.0 il nome del server federativo è determinato dal certificato associato a "Sito Web predefinito" in Internet Information Services (IIS). È necessario associare il nuovo certificato al sito Web predefinito prima di configurare AD FS.

È possibile usare qualsiasi account come account del servizio. Se la password dell'account del servizio è scaduta, AD FS smette di funzionare. Assicurarsi pertanto che la password dell'account non scada mai.

Passaggio 4: Scaricare gli strumenti di Microsoft 365

Il modulo di Windows Azure Active Directory per Windows PowerShell e l'appliance di sincronizzazione di Azure Active Directory sono disponibili nel portale di Microsoft 365. Per ottenere gli strumenti, fare clic su Utenti attivi e quindi su Single Sign-On: Configura.

Passaggio 5: Aggiungere il dominio a Microsoft 365

Il video non spiega come aggiungere e verificare il dominio a Microsoft 365. Per altre informazioni su questa procedura, vedere Verificare il dominio in Microsoft 365.

Passaggio 6: Connettere AD FS a Microsoft 365

Per connettere AD FS a Microsoft 365, eseguire i comandi seguenti nel modulo directory di Windows Azure per Windows PowerShell.

NotaSet-MsolADFSContext Nel comando specificare il nome di dominio completo del server ADFS nel dominio interno anziché il nome del server federativo.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>

Nota

I moduli PowerShell di Azure AD e MSOnline saranno deprecati a partire dal 30 marzo 2024. Per ulteriori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni per la sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile effettuare la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per le domande più comuni sulla migrazione, consultare Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

Se i comandi vengono eseguiti correttamente, verrà visualizzato quanto segue:

  • Al server AD FS viene aggiunto un trust relying party "Microsoft 365 Identify Platform".
  • Gli utenti che usano il nome di dominio personalizzato come suffisso dell'indirizzo di posta elettronica per accedere al portale di Microsoft 365 vengono reindirizzati al server AD FS.

Passaggio 7: Sincronizzare gli account utente di Active Directory locali con Microsoft 365

Se il nome di dominio interno è diverso dal nome di dominio esterno usato come suffisso di indirizzo di posta elettronica, è necessario aggiungere il nome di dominio esterno come suffisso UPN alternativo nel dominio active directory locale. Ad esempio, il nome di dominio interno è "company.local", ma il nome di dominio esterno è "company.com". In questo caso, è necessario aggiungere "company.com" come suffisso UPN alternativo.

Sincronizzare gli account utente con Microsoft 365 usando lo strumento di sincronizzazione directory.

Note per AD FS 2.0

Se si usa AD FS 2.0, è necessario modificare l'UPN dell'account utente da "company.local" a "company.com" prima di sincronizzare l'account con Microsoft 365. In caso contrario, l'utente non viene convalidato nel server AD FS.

Passaggio 8: Configurare il computer client per single Sign-On

Dopo aver aggiunto il nome del server federativo all'area Intranet locale in Internet Explorer, l'autenticazione NTLM viene usata quando gli utenti tentano di eseguire l'autenticazione nel server AD FS. Pertanto, non viene richiesto di immettere le credenziali.

Gli amministratori possono implementare le impostazioni di Criteri di gruppo per configurare una soluzione single Sign-On nei computer client aggiunti al dominio.