Compartilhar via

Configurar o AD FS para o Microsoft 365 para Sign-On Único

  • Artigo
  • Aplica-se a:
    Microsoft 365

Este vídeo mostra como configurar o Serviço de Federação do Active Directory (AD FS) para trabalhar em conjunto com o Microsoft 365. Não abrange o cenário do servidor proxy do AD FS. Este vídeo aborda o AD FS para Windows Server 2012 R2. No entanto, o procedimento também se aplica ao AD FS 2.0 , exceto nos passos 1, 3 e 7. Em cada um desses passos, consulte a secção "Notas do AD FS 2.0" para obter mais informações sobre como utilizar este procedimento no Windows Server 2008.

Notas úteis para os passos no vídeo

Passo 1: Instalar os Serviços de Federação do Active Directory

Adicione o AD FS com o Assistente para Adicionar Funções e Funcionalidades.

Notas do AD FS 2.0

Se estiver a utilizar o Windows Server 2008, tem de transferir e instalar o AD FS 2.0 para poder trabalhar com o Microsoft 365. Pode obter o AD FS 2.0 a partir do seguinte site do Centro de Transferências da Microsoft:

Serviços de Federação do Active Directory 2.0 RTW

Após a instalação, utilize o Windows Update para transferir e instalar todas as atualizações aplicáveis.

Passo 2: Pedir um certificado de uma AC de terceiros para o nome do servidor de Federação

O Microsoft 365 requer um certificado fidedigno no servidor do AD FS. Por conseguinte, tem de obter um certificado de uma autoridade de certificação (AC) de terceiros.

Quando personalizar o pedido de certificado, certifique-se de que adiciona o nome do servidor de Federação no campo Nome comum .

Neste vídeo, explicamos apenas como gerar um pedido de assinatura de certificado (CSR). Tem de enviar o ficheiro CSR para uma AC de terceiros. A AC devolve-lhe um certificado assinado. Em seguida, siga estes passos para importar o certificado para o arquivo de certificados do computador:

  1. Execute Certlm.msc para abrir o arquivo de certificados do computador local.
  2. No painel de navegação, Expanda Pessoal, expanda Certificado, clique com o botão direito do rato na pasta Certificado e, em seguida, clique em Importar.

Acerca do nome do servidor de Federação

O nome do Serviço de Federação é o nome de domínio com acesso à Internet do servidor do AD FS. O utilizador do Microsoft 365 é redirecionado para este domínio para autenticação. Por conseguinte, certifique-se de que adiciona um registo A público para o nome de domínio.

Passo 3: Configurar o AD FS

Não pode escrever manualmente um nome como o nome do servidor de Federação. O nome é determinado pelo nome do requerente (Nome comum) de um certificado no arquivo de certificados do computador local.

Notas do AD FS 2.0

No AD FS 2.0, o nome do servidor de Federação é determinado pelo certificado que vincula ao "Web Site Predefinido" nos Serviços de Informação Internet (IIS). Tem de vincular o novo certificado ao Site Predefinido antes de configurar o AD FS.

Pode utilizar qualquer conta como conta de serviço. Se a palavra-passe da conta de serviço tiver expirado, o AD FS deixa de funcionar. Por conseguinte, certifique-se de que a palavra-passe da conta está definida para nunca expirar.

Passo 4: Transferir ferramentas do Microsoft 365

O módulo do Windows Azure Active Directory para o Windows PowerShell e a aplicação Azure Active Directory Sync estão disponíveis no portal do Microsoft 365. Para obter as ferramentas, clique em Utilizadores Ativos e, em seguida, clique em Início de sessão único: Configurar.

Passo 5: Adicionar o seu domínio ao Microsoft 365

O vídeo não explica como adicionar e verificar o seu domínio ao Microsoft 365. Para obter mais informações sobre esse procedimento, consulte Verificar o seu domínio no Microsoft 365.

Passo 6: Ligar o AD FS ao Microsoft 365

Para ligar o AD FS ao Microsoft 365, execute os seguintes comandos no Módulo do Diretório do Windows Azure para Windows PowerShell.

NotaSet-MsolADFSContext No comando, especifique o FQDN do servidor do AD FS no seu domínio interno em vez do nome do servidor de Federação.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>

Observação

Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização sobre substituição. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para obter respostas para perguntas de migração comuns, consulte as perguntas frequentes sobre migração. Observação: as versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

Se os comandos forem executados com êxito, deverá ver o seguinte:

  • É adicionada uma Confiança da Entidade Confiadora "Plataforma de Identificação da Plataforma do Microsoft 365" ao seu servidor do AD FS.
  • Os utilizadores que utilizam o nome de domínio personalizado como sufixo de endereço de e-mail para iniciar sessão no portal do Microsoft 365 são redirecionados para o servidor do AD FS.

Passo 7: Sincronizar contas de utilizador do Active Directory local com o Microsoft 365

Se o nome de domínio interno for diferente do nome de domínio externo utilizado como sufixo de endereço de e-mail, terá de adicionar o nome de domínio externo como sufixo UPN alternativo no domínio do Active Directory local. Por exemplo, o nome de domínio interno é "company.local", mas o nome de domínio externo é "company.com". Nesta situação, tem de adicionar "company.com" como sufixo UPN alternativo.

Sincronize as contas de utilizador com o Microsoft 365 com a Ferramenta de Sincronização de Diretórios.

Notas do AD FS 2.0

Se estiver a utilizar o AD FS 2.0, tem de alterar o UPN da conta de utilizador de "company.local" para "company.com" antes de sincronizar a conta com o Microsoft 365. Caso contrário, o utilizador não é validado no servidor do AD FS.

Passo 8: Configurar o computador cliente para Sign-On Único

Depois de adicionar o nome do servidor de Federação à zona intranet local no Internet Explorer, a autenticação NTLM é utilizada quando os utilizadores tentam autenticar-se no servidor do AD FS. Por conseguinte, não lhes é pedido que introduzam as respetivas credenciais.

Os administradores podem implementar definições de Política de Grupo para configurar uma solução de Sign-On Único em computadores cliente que estão associados ao domínio.