Udostępnij za pośrednictwem

Konfigurowanie usług AD FS dla platformy Microsoft 365 dla pojedynczego Sign-On

  • Artykuł
  • Dotyczy:
    Microsoft 365

W tym filmie wideo pokazano, jak skonfigurować usługę Active Directory Federation Service (AD FS) do współpracy z platformą Microsoft 365. Nie obejmuje scenariusza serwera proxy usług AD FS. W tym filmie wideo omówiono usługi AD FS dla systemu Windows Server 2012 R2. Procedura ta ma jednak zastosowanie również do usług AD FS 2.0 — z wyjątkiem kroków 1, 3 i 7. W każdym z tych kroków zobacz sekcję "Uwagi dla usług AD FS 2.0", aby uzyskać więcej informacji na temat sposobu korzystania z tej procedury w systemie Windows Server 2008.

Przydatne notatki dotyczące kroków w filmie wideo

Krok 1. Instalowanie usług Active Directory Federation Services

Dodaj usługi AD FS przy użyciu Kreatora dodawania ról i funkcji.

Uwagi dotyczące usług AD FS 2.0

Jeśli używasz systemu Windows Server 2008, musisz pobrać i zainstalować usługi AD FS 2.0, aby móc pracować z platformą Microsoft 365. Usługę AD FS 2.0 można uzyskać z następującej witryny internetowej Centrum pobierania Microsoft:

Active Directory Federation Services 2.0 RTW

Po zakończeniu instalacji pobierz i zainstaluj wszystkie odpowiednie aktualizacje za pomocą usługi Windows Update.

Krok 2. Żądanie certyfikatu od urzędu certyfikacji innej firmy o nazwę serwera federacyjnego

Platforma Microsoft 365 wymaga zaufanego certyfikatu na serwerze usług AD FS. W związku z tym należy uzyskać certyfikat od urzędu certyfikacji innej firmy.

Podczas dostosowywania żądania certyfikatu upewnij się, że nazwa serwera federacyjnego została dodana w polu Nazwa pospolita .

W tym filmie wideo wyjaśniono tylko, jak wygenerować żądanie podpisania certyfikatu (CSR). Plik CSR należy wysłać do urzędu certyfikacji innej firmy. Urząd certyfikacji zwraca podpisany certyfikat. Następnie wykonaj następujące kroki, aby zaimportować certyfikat do magazynu certyfikatów komputera:

  1. Uruchom polecenie Certlm.msc , aby otworzyć magazyn certyfikatów komputera lokalnego.
  2. W okienku nawigacji rozwiń węzeł Osobiste, rozwiń węzeł Certyfikat, kliknij prawym przyciskiem myszy folder Certyfikat, a następnie kliknij pozycję Importuj.

Informacje o nazwie serwera federacyjnego

Nazwa usługi federacyjnej to internetowa nazwa domeny serwera usług AD FS. Użytkownik platformy Microsoft 365 jest przekierowowany do tej domeny w celu uwierzytelnienia. W związku z tym upewnij się, że dodano publiczny rekord A dla nazwy domeny.

Krok 3. Konfigurowanie usług AD FS

Nie można ręcznie wpisać nazwy jako nazwy serwera federacyjnego. Nazwa jest określana przez nazwę podmiotu (nazwa pospolita) certyfikatu w magazynie certyfikatów komputera lokalnego.

Uwagi dotyczące usług AD FS 2.0

W usługach AD FS 2.0 nazwa serwera federacyjnego jest określana przez certyfikat, który wiąże się z "domyślną witryną sieci Web" w usługach Internet Information Services (IIS). Przed skonfigurowaniem usług AD FS należy powiązać nowy certyfikat z domyślną witryną internetową.

Możesz użyć dowolnego konta jako konta usługi. Jeśli hasło konta usługi wygasło, usługi AD FS przestaną działać. W związku z tym upewnij się, że hasło konta nie wygasa.

Krok 4. Pobieranie narzędzi platformy Microsoft 365

Moduł usługi Windows Azure Active Directory dla programu Windows PowerShell i urządzenia usługi Azure Active Directory Sync jest dostępny w portalu platformy Microsoft 365. Aby uzyskać narzędzia, kliknij pozycję Aktywni użytkownicy, a następnie kliknij pozycję Logowanie jednokrotne: Skonfiguruj.

Krok 5. Dodawanie domeny do platformy Microsoft 365

W filmie wideo nie wyjaśniono, jak dodać i zweryfikować domenę do platformy Microsoft 365. Aby uzyskać więcej informacji na temat tej procedury, zobacz Weryfikowanie domeny na platformie Microsoft 365.

Krok 6. Łączenie usług AD FS z platformą Microsoft 365

Aby połączyć usługi AD FS z platformą Microsoft 365, uruchom następujące polecenia w module katalogowym platformy Windows Azure dla programu Windows PowerShell.

NutaSet-MsolADFSContext W poleceniu określ nazwę FQDN serwera usług AD FS w domenie wewnętrznej zamiast nazwy serwera federacyjnego.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>

Uwaga

Moduły azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy w migracji do zestawu Microsoft Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). Aby uzyskać typowe pytania dotyczące migracji, zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Nuta: W wersjach 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Jeśli polecenia zostaną uruchomione pomyślnie, powinny zostać wyświetlone następujące elementy:

  • Zaufanie jednostki uzależnionej "Microsoft 365 Identify Platform" jest dodawane do serwera usług AD FS.
  • Użytkownicy, którzy używają niestandardowej nazwy domeny jako sufiksu adresu e-mail do logowania się do portalu platformy Microsoft 365, są przekierowywani do serwera usług AD FS.

Krok 7. Synchronizowanie lokalnych kont użytkowników usługi Active Directory z platformą Microsoft 365

Jeśli nazwa domeny wewnętrznej różni się od nazwy domeny zewnętrznej, która jest używana jako sufiks adresu e-mail, musisz dodać nazwę domeny zewnętrznej jako alternatywny sufiks nazwy UPN w lokalnej domenie usługi Active Directory. Na przykład wewnętrzna nazwa domeny to "company.local", ale nazwa domeny zewnętrznej to "company.com". W takiej sytuacji należy dodać "company.com" jako alternatywny sufiks nazwy UPN.

Zsynchronizuj konta użytkowników z platformą Microsoft 365 przy użyciu narzędzia do synchronizacji katalogów.

Uwagi dotyczące usług AD FS 2.0

Jeśli używasz usług AD FS 2.0, musisz zmienić nazwę UPN konta użytkownika z "company.local" na "company.com" przed zsynchronizowanie konta z platformą Microsoft 365. W przeciwnym razie użytkownik nie jest weryfikowany na serwerze usług AD FS.

Krok 8. Konfigurowanie komputera klienckiego dla pojedynczego Sign-On

Po dodaniu nazwy serwera federacyjnego do lokalnej strefy intranetowej w programie Internet Explorer uwierzytelnianie NTLM jest używane podczas próby uwierzytelnienia użytkowników na serwerze usług AD FS. W związku z tym nie są monitowane o wprowadzenie swoich poświadczeń.

Administratorzy mogą zaimplementować ustawienia zasad grupy w celu skonfigurowania rozwiązania pojedynczego Sign-On na komputerach klienckich przyłączonych do domeny.