Объедините несколько экземпляров Microsoft Entra ID с одним экземпляром AD FS.
Одна высокодоступная ферма AD FS может объединять несколько лесов в федерацию, при условии, что между ними существует двустороннее доверие. Эти несколько лесов могут или не могут соответствовать одному и тому же идентификатору Microsoft Entra. В этой статье содержатся инструкции по настройке федерации между одним развертыванием AD FS и несколькими экземплярами идентификатора Microsoft Entra.
Примечание.
В этом сценарии не поддерживаются обратная запись устройств и автоматическое присоединение устройств.
Примечание.
Microsoft Entra Connect нельзя использовать для настройки федерации в этом сценарии, так как Microsoft Entra Connect может настроить федерацию для доменов в одном идентификаторе Microsoft Entra.
Действия по федерации AD FS с несколькими учетными записями Microsoft Entra
Рассмотрим домен contoso.com в Microsoft Entra: contoso.onmicrosoft.com уже федеративно с AD FS, установленным локально в среде Active Directory на contoso.com. Fabrikam.com — это домен в fabrikam.onmicrosoft.com идентификаторе Microsoft Entra.
Шаг 1. Установка взаимного доверия
Чтобы служба AD FS в contoso.com могла проверять подлинность пользователей в fabrikam.com, требуется взаимное доверие между contoso.com и fabrikam.com. Следуйте рекомендациям, приведенным в этой статье, чтобы создать отношения взаимного доверия.
Шаг 2. Изменение параметров федерации contoso.com
Издателем отдельного домена, включенного в федерацию AD FS, по умолчанию выступает http://ADFSServiceFQDN/adfs/services/trust", например http://fs.contoso.com/adfs/services/trust. Идентификатор Microsoft Entra id требует уникального издателя для каждого федеративного домена. Поскольку AD FS будет федерализовать два домена, значение издателя необходимо изменить таким образом, чтобы оно было уникальным для обоих доменов.
Примечание.
Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.
Мы рекомендуем перейти на Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание: Версии 1.0.x MSOnline могут столкнуться с перебоями после 30 июня 2024 г.
На сервере AD FS откройте Azure AD PowerShell (убедитесь, что модуль MSOnline установлен) и выполните следующие действия:
Подключитесь к идентификатору Microsoft Entra, который содержит домен contoso.com.
Connect-MsolService
Обновление параметров федерации для contoso.com:
Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain
Издатель в настройке федерации домена изменяется на http://contoso.com/adfs/services/trust, и правило утверждения выдачи добавляется для доверия со стороны полагающейся стороны Microsoft Entra ID, чтобы выдать правильное значение issuerId на основе суффикса UPN.
Шаг 3. Объедините fabrikam.com с AD FS
В сеансе Azure AD PowerShell выполните следующие действия: подключитесь к идентификатору Microsoft Entra, который содержит домен fabrikam.com
Connect-MsolService
Преобразуйте управляемый домен fabrikam.com в федеративный:
Convert-MsolDomainToFederated -DomainName fabrikam.com -Verbose -SupportMultipleDomain
Предварительная операция объединяет домен fabrikam.com с тем же AD FS. Вы можете проверить настройки домена, используя Get-MsolDomainFederationSettings, для обоих доменов.