Ruční konfigurace hybridního připojení ke službě Azure Active Directory

Pokud používáte Azure AD Connect, najdete pokyny v tématu Konfigurace hybridního připojení Azure AD připojení. Díky automatizaci v Azure AD Connect se výrazně zjednoduší konfigurace hybridního připojení Azure AD.

Tento článek popisuje ruční konfiguraci požadavků pro připojení k hybridnímu Azure AD, včetně kroků pro spravované a federované domény.

Požadavky

  • Azure AD Connect verze 1.1.819.0 nebo novější.
    • Pokud chcete získat připojení k synchronizaci registrace zařízení, aby bylo úspěšné, v rámci konfigurace registrace zařízení nevyloučíte z konfigurace synchronizace Azure AD Connect výchozí atributy zařízení. Další informace o výchozích atributech zařízení synchronizovaných s Azure AD najdete v tématu Atributy synchronizované službou Azure AD Connect.
    • Pokud počítačové objekty zařízení, která chcete připojit k hybridnímu Azure AD, patří ke konkrétním organizačním jednotkám (OU), nakonfigurujte správné organizační jednotky tak, aby se synchronizovaly v Azure AD Connect. Další informace o tom, jak synchronizovat objekty počítače pomocí nástroje Azure AD Connect, najdete v tématu Filtrování založené na organizační jednotce.
  • Přihlašovací údaje globálního správce pro vašeho tenanta Azure AD
  • Přihlašovací údaje podnikového správce pro každou z doménových struktur místní Active Directory Domain Services
  • (Pro federované domény) Windows Server 2012 R2 s nainstalovaným Active Directory Federation Services (AD FS).
  • Uživatelé můžou svá zařízení zaregistrovat v Azure AD. Další informace o tomto nastavení najdete v části Konfigurace nastavení zařízení v článku Konfigurace nastavení zařízení.

Připojení službou Hybrid Azure AD Join vyžaduje, aby zařízení měla ze sítě vaší organizace přístup k následujícím prostředkům Microsoftu:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (Pokud používáte nebo plánujete bezproblémové jednotné přihlašování)
  • Služba tokenů zabezpečení vaší organizace (STS) (pro federované domény)

Upozornění

Pokud vaše organizace používá proxy servery, které zachycují provoz SSL pro scénáře, jako je ochrana před únikem informací nebo Azure AD omezení tenanta, ujistěte se, že přenosy na tyto adresy URL nejsou vyloučené z přerušení protokolu TLS a kontroly. Při vyloučení těchto adres URL může dojít k rušení ověřování klientských certifikátů, příčinou problémů s registrací zařízení a podmíněným přístupem na základě zařízení.

Pokud vaše organizace vyžaduje přístup k internetu přes odchozí proxy server, můžete pomocí automatického zjišťování webového proxy serveru (WPAD) povolit Windows 10 nebo novější počítače pro registraci zařízení s Azure AD. Pokud chcete vyřešit problémy s konfigurací a správou WPAD, přečtěte si téma Řešení potíží s automatickým zjišťováním.

Pokud WPAD nepoužíváte, můžete na počítači nakonfigurovat nastavení proxy serveru WinHTTP počínaje Windows 10 1709. Další informace najdete v tématu Nastavení proxy serveru WinHTTP nasazené podle objektů zásad zásad zabezpečení.

Poznámka

Pokud na počítači nakonfigurujete nastavení proxy serveru pomocí nastavení WinHTTP, všechny počítače, které se nemůžou připojit k nakonfigurovaným proxy serveru, se nebudou moct připojit k internetu.

Pokud vaše organizace vyžaduje přístup k internetu prostřednictvím ověřeného odchozího proxy serveru, ujistěte se, že se vaše Windows 10 nebo novější počítače můžou úspěšně ověřit u odchozího proxy serveru. Vzhledem k tomu, že Windows 10 nebo novější počítače spouštějí registraci zařízení pomocí kontextu počítače, nakonfigurujte ověřování odchozího proxy serveru pomocí kontextu počítače. Požadavky na konfiguraci vám sdělí váš poskytovatel odchozího proxy serveru.

Pomocí skriptu Test Device Registration Connectivity ověřte, že zařízení mají přístup k požadovaným prostředkům Microsoftu v rámci systémového účtu.

Konfigurace

Hybridní zařízení připojená k Azure AD můžete nakonfigurovat pro různé typy platforem zařízení s Windows.

Po dokončení těchto konfigurací podle pokynů ověřte registraci a povolte v případě potřeby nižší úroveň operačních systémů .

Konfigurace spojovacího bodu služby

Vaše zařízení během registrace používají objekt spojovacího bodu služby (SCP) ke zjišťování Azure AD informací o tenantovi. V instanci místní Active Directory musí objekt SCP pro zařízení připojená k hybridnímu Azure AD existovat v oddílu kontextu pojmenování konfigurace doménové struktury počítače. Pro každou doménovou strukturu existuje pouze jeden kontext pojmenování konfigurace. V konfiguraci služby Active Directory s více doménovými strukturami musí spojovací bod služby existovat ve všech doménových strukturách, které obsahují počítače připojené k doméně.

Objekt SCP obsahuje dvě hodnoty klíčových slov – azureADid:<TenantID> a azureADName:<verified domain>. Hodnota <verified domain> v klíčovém azureADName slově určuje typ toku registrace zařízení (federovaný nebo spravovaný), který bude zařízení následovat po přečtení hodnoty SCP z vaší instance místní Active Directory. Další informace o spravovaných a federovaných tocích najdete v článku Jak funguje registrace zařízení Azure AD.

Pomocí rutiny Get-ADRootDSE můžete načíst názvový kontext konfigurace vaší doménové struktury.

Pro doménovou strukturu s názvem domény Active Directory fabrikam.com je názvový kontext konfigurace následující:

CN=Configuration,DC=fabrikam,DC=com

V doménové struktuře se objekt SCP pro automatickou registraci zařízení připojených k doméně nachází na adrese:

CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,[Your Configuration Naming Context]

V závislosti na tom, jak jste nasadili Azure AD Connect, už možná byl objekt SCP nakonfigurovaný. Existenci objektu můžete ověřit a načíst hodnoty zjišťování pomocí následujícího skriptu Windows PowerShell:

$scp = New-Object System.DirectoryServices.DirectoryEntry;

$scp.Path = "LDAP://CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=fabrikam,DC=com";

$scp.Keywords;

$scp. Výstup klíčových slov zobrazuje informace o Azure AD tenantovi. Tady je příklad:

azureADName:microsoft.com
azureADId:72f988bf-86f1-41af-91ab-2d7cd011db47

Pokud spojovací bod služby neexistuje, můžete ho vytvořit spuštěním rutiny Initialize-ADSyncDomainJoinedComputerSync na serveru Azure AD Connect. Ke spuštění této rutiny se vyžadují přihlašovací údaje podnikového správce.

Rutina Initialize-ADSyncDomainJoinedComputerSync:

  • Vytvoří spojovací bod služby v doménové struktuře služby Active Directory, ke které je připojená služba Azure AD Connect.
  • Vyžaduje, abyste zadali parametr AdConnectorAccount. Tento účet je nakonfigurovaný jako účet konektoru služby Active Directory v nástroji Azure AD Connect.

Následující skript ukazuje příklad použití této rutiny. V tomto skriptu příkaz $aadAdminCred = Get-Credential vyžaduje, abyste zadali uživatelské jméno. Zadejte uživatelské jméno ve formátu hlavního názvu uživatele (user@example.comUPN).

Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1";

$aadAdminCred = Get-Credential;

Initialize-ADSyncDomainJoinedComputerSync –AdConnectorAccount [connector account name] -AzureADCredentials $aadAdminCred;

Rutina Initialize-ADSyncDomainJoinedComputerSync:

  • Používá modul Active Directory PowerShell a nástroje Active Directory Domain Services (AD DS). Tyto nástroje spoléhají na službu Active Directory Web Services spuštěnou na řadiči domény. Služba Active Directory Web Services se podporuje v řadičích domény s Windows Serverem 2008 R2 nebo novějším.
  • Se podporuje pouze v modulu MSOnline PowerShell verze 1.1.166.0. Pokud chcete stáhnout tento modul, použijte tento odkaz.
  • Pokud nejsou nainstalované nástroje služby AD DS, Initialize-ADSyncDomainJoinedComputerSync nezdaří se. Nástroje služby AD DS můžete nainstalovat prostřednictvím Správce serveru v části Funkce> Nástroje > provzdálenou správu serveru– Nástroje pro správu rolí.

Nastavení vystavování deklarací identity

V konfiguraci federovaného Azure AD se zařízení spoléhají na službu AD FS nebo místní federační službu od partnera Microsoftu, aby se ověřila v Azure AD. Zařízení se ověřují za účelem získání přístupového tokenu, pomocí kterého se můžou zaregistrovat ve službě Azure Active Directory Device Registration (Azure DRS).

Aktuální zařízení s Windows se ověřují pomocí integrovaného ověřování Systému Windows k aktivnímu koncovému bodu WS-Trust (verze 1.3 nebo 2005) hostované místní federační službou.

Pokud používáte službu AD FS, musíte povolit následující koncové body WS-Trust.

  • /adfs/services/trust/2005/windowstransport
  • /adfs/services/trust/13/windowstransport
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/services/trust/13/usernamemixed
  • /adfs/services/trust/2005/certificatemixed
  • /adfs/services/trust/13/certificatemixed

Upozornění

Služba adfs/services/trust/2005/windowstransport i adfs/services/trust/13/windowstransport by měly být povoleny pouze jako intranetové koncové body a nesmí být vystaveny jako koncové body přístupné z extranetu prostřednictvím webového proxy aplikací. Další informace o zákazu WS-Trust koncových bodů Windows najdete v tématu Zakázání WS-Trust koncových bodů Windows na proxy serveru. V části Koncové body služby> můžete zjistit, jaké koncové body jsou povolené prostřednictvímkonzoly pro správu služby AD FS.

Poznámka

Pokud nemáte službu AD FS jako místní federační službu, postupujte podle pokynů od dodavatele a ujistěte se, že podporují WS-Trust koncových bodů 1.3 nebo 2005 a že se publikují prostřednictvím souboru Serveru metadat (MEX).

Aby se registrace zařízení dokončila, musí v tokenu, který azure DRS obdrží, existovat následující deklarace identity. Azure DRS vytvoří objekt zařízení v Azure AD s některými z těchto informací. Azure AD Connect pak tyto informace použije k přidružení nově vytvořeného objektu zařízení k místnímu účtu počítače.

  • http://schemas.microsoft.com/ws/2012/01/accounttype
  • http://schemas.microsoft.com/identity/claims/onpremobjectguid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid

Pokud potřebujete více než jeden ověřený název domény, musíte pro počítače zadat následující deklaraci identity:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid

Pokud už vydáváte deklaraci identity ImmutableID (například použití mS-DS-ConsistencyGuid nebo jiný atribut jako zdrojovou hodnotu immutableID), musíte zadat jednu odpovídající deklaraci identity pro počítače:

  • http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID

V následujících částech najdete informace o těchto tématech:

  • Hodnoty, které mají mít každá deklarace identity.
  • Jak by definice vypadala ve službě AD FS.

Definice vám pomůže ověřit, jestli požadované hodnoty existují, nebo jestli je potřeba je vytvořit.

Poznámka

Pokud jako svůj místní federační server nepoužíváte AD FS, postupujte podle pokynů vašeho dodavatele a vytvořte odpovídající konfiguraci pro vystavování těchto deklarací identity.

Vystavení deklarace identity typu účtu

Deklarace http://schemas.microsoft.com/ws/2012/01/accounttype identity musí obsahovat hodnotu DJ, která identifikuje zařízení jako počítač připojený k doméně. Ve službě AD FS můžete přidat pravidlo transformace vystavování, které vypadá přibližně takto:

@RuleName = "Issue account type for domain-joined computers"
c:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
   Type = "http://schemas.microsoft.com/ws/2012/01/accounttype",
   Value = "DJ"
);

Vystavení identity objectGUID místního účtu počítače

Deklarace http://schemas.microsoft.com/identity/claims/onpremobjectguid identity musí obsahovat hodnotu objectGUID místního účtu počítače. Ve službě AD FS můžete přidat pravidlo transformace vystavování, které vypadá přibližně takto:

@RuleName = "Issue object GUID for domain-joined computers"
c1:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$", 
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
   store = "Active Directory",
   types = ("http://schemas.microsoft.com/identity/claims/onpremobjectguid"),
   query = ";objectguid;{0}",
   param = c2.Value
);

Vystavení identity objectSID místního účtu počítače

Deklarace http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid identity musí obsahovat hodnotu objectSid místního účtu počítače. Ve službě AD FS můžete přidat pravidlo transformace vystavování, které vypadá přibližně takto:

@RuleName = "Issue objectSID for domain-joined computers"
c1:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(claim = c2);

Id vystavitele pro počítač, pokud je v Azure AD více ověřených názvů domén

Deklarace http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid identity musí obsahovat identifikátor URI (Uniform Resource Identifier) všech ověřených názvů domén, které se připojují k místní federační službě (AD FS nebo partner), která token vydává. Ve službě AD FS můžete přidat pravidla transformace vystavování, která vypadají jako následující v daném pořadí za předchozí. Jedno pravidlo, které explicitně vydá pravidlo pro uživatele, je nezbytné. V následujícíchpravidlech

@RuleName = "Issue account type with the value User when its not a computer"
NOT EXISTS(
[
   Type == "http://schemas.microsoft.com/ws/2012/01/accounttype",
   Value == "DJ"
]
)
=> add(
   Type = "http://schemas.microsoft.com/ws/2012/01/accounttype",
   Value = "User"
);

@RuleName = "Capture UPN when AccountType is User and issue the IssuerID"
c1:[
   Type == "http://schemas.xmlsoap.org/claims/UPN"
]
&&
c2:[
   Type == "http://schemas.microsoft.com/ws/2012/01/accounttype",
   Value == "User"
]
=> issue(
   Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid",
   Value = regexreplace(
   c1.Value,
   ".+@(?<domain>.+)",
   "http://${domain}/adfs/services/trust/"
   )
);

@RuleName = "Issue issuerID for domain-joined computers"
c:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
   Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid",
   Value = "http://<verified-domain-name>/adfs/services/trust/"
);

V předchozí deklaraci identity <verified-domain-name> je zástupný symbol. Nahraďte ho jedním z ověřených názvů domén v Azure AD. Použijte například Value = "http://contoso.com/adfs/services/trust/".

Další informace o ověřených názvech domén najdete v tématu Přidání vlastního názvu domény do Azure Active Directory.

Pokud chcete zobrazit seznam ověřených domén vaší společnosti, můžete použít rutinu Get-MsolDomain.

Seznam domén společnosti

Problém ImmutableID pro počítač, pokud existuje jeden pro uživatele (například pomocí mS-DS-ConsistencyGuid jako zdroje immutableID)

Deklarace http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID identity musí obsahovat platnou hodnotu pro počítače. Ve službě AD FS můžete vytvořit následující pravidlo transformace vystavování:

@RuleName = "Issue ImmutableID for computers"
c1:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
   store = "Active Directory",
   types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"),
   query = ";objectguid;{0}",
   param = c2.Value
);

Pomocný skript pro vytváření pravidel transformace vystavování ve službě AD FS

Následující skript vám pomůže s vytvořením pravidel transformace vystavování popsaných výše.

$multipleVerifiedDomainNames = $false
$immutableIDAlreadyIssuedforUsers = $false
$oneOfVerifiedDomainNames = 'example.com'   # Replace example.com with one of your verified domains

$rule1 = '@RuleName = "Issue account type for domain-joined computers"
c:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
   Type = "http://schemas.microsoft.com/ws/2012/01/accounttype",
   Value = "DJ"
);'

$rule2 = '@RuleName = "Issue object GUID for domain-joined computers"
c1:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
   store = "Active Directory",
   types = ("http://schemas.microsoft.com/identity/claims/onpremobjectguid"),
   query = ";objectguid;{0}",
   param = c2.Value
);'

$rule3 = '@RuleName = "Issue objectSID for domain-joined computers"
c1:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(claim = c2);'

$rule4 = ''
if ($multipleVerifiedDomainNames -eq $true) {
$rule4 = '@RuleName = "Issue account type with the value User when it is not a computer"
NOT EXISTS(
[
   Type == "http://schemas.microsoft.com/ws/2012/01/accounttype",
   Value == "DJ"
]
)
=> add(
   Type = "http://schemas.microsoft.com/ws/2012/01/accounttype",
   Value = "User"
);

@RuleName = "Capture UPN when AccountType is User and issue the IssuerID"
c1:[
   Type == "http://schemas.xmlsoap.org/claims/UPN"
]
&&
c2:[
   Type == "http://schemas.microsoft.com/ws/2012/01/accounttype",
   Value == "User"
]
=> issue(
   Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid",
   Value = regexreplace(
   c1.Value,
   ".+@(?<domain>.+)",
   "http://${domain}/adfs/services/trust/"
   )
);

@RuleName = "Issue issuerID for domain-joined computers"
c:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
   Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid",
   Value = "http://' + $oneOfVerifiedDomainNames + '/adfs/services/trust/"
);'
}

$rule5 = ''
if ($immutableIDAlreadyIssuedforUsers -eq $true) {
$rule5 = '@RuleName = "Issue ImmutableID for computers"
c1:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
   Value =~ "-515$",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
   Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
   Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
   store = "Active Directory",
   types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"),
   query = ";objectguid;{0}",
   param = c2.Value
);'
}

$existingRules = (Get-ADFSRelyingPartyTrust -Identifier urn:federation:MicrosoftOnline).IssuanceTransformRules 

$updatedRules = $existingRules + $rule1 + $rule2 + $rule3 + $rule4 + $rule5

$crSet = New-ADFSClaimRuleSet -ClaimRule $updatedRules

Set-AdfsRelyingPartyTrust -TargetIdentifier urn:federation:MicrosoftOnline -IssuanceTransformRules $crSet.ClaimRulesString

Poznámky

  • Tento skript připojí pravidla k existujícím pravidlům. Nespouštět skript dvakrát, protože sada pravidel by byla přidána dvakrát. Před opětovným spuštěním skriptu se ujistěte, že pro tyto deklarace identity neexistují žádná odpovídající pravidla (za odpovídajících podmínek).

  • Pokud máte více ověřených názvů domén (jak je znázorněno na portálu Azure AD nebo prostřednictvím rutiny Get-MsolDomain), nastavte hodnotu $multipleVerifiedDomainNames ve skriptu na $true. Ujistěte se také, že odeberete všechny existující deklarace identity, které mohly být vytvořeny Azure AD Connect nebo jinými prostředky. Tady je příklad tohoto pravidla:

    c:[Type == "http://schemas.xmlsoap.org/claims/UPN"]
    => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)",  "http://${domain}/adfs/services/trust/")); 
    

Pokud jste již vydali deklaraci identity ImmutableID pro uživatelské účty, nastavte hodnotu $immutableIDAlreadyIssuedforUsers ve skriptu na $true.

Konfigurace federační služby pro zařízení nižší úrovně

Zařízení downlevel vyžadují, aby vaše místní federační služba vydávat deklarace identity, aby podporovala integrované ověřování Systému Windows (IWA) pro registraci zařízení.

Vaše místní federační služba musí podporovat vydávání deklarací identity authenticationmethod a wiaormultiauthn, když obdrží žádost o ověření Azure AD předávající straně, která má parametr resource_params s následující zakódovanou hodnotou:

eyJQcm9wZXJ0aWVzIjpbeyJLZXkiOiJhY3IiLCJWYWx1ZSI6IndpYW9ybXVsdGlhdXRobiJ9XX0

which decoded is {"Properties":[{"Key":"acr","Value":"wiaormultiauthn"}]}

Pokud taková žádost nastane, musí místní federační služba ověřit uživatele pomocí integrovaného ověřování Systému Windows. Pokud je ověřování úspěšné, musí federační služba vydat následující dvě deklarace identity:

http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows http://schemas.microsoft.com/claims/wiaormultiauthn

Ve službě AD FS musíte přidat pravidlo transformace vystavování, které prochází metodou ověřování. Přidání tohoto pravidla:

  1. V konzole pro správu služby AD FS přejděte na vztahydůvěryhodnosti>předávající strany služby AD FS>.

  2. Klikněte pravým tlačítkem na objekt důvěryhodnosti přijímající strany služby Microsoft Office 365 Identity Platform a pak vyberte Upravit pravidla deklarace identity.

  3. Na kartě Pravidla transformace vystavování vyberte Přidat pravidlo.

  4. V seznamu šablon Pravidlo deklarace identity vyberte Odesílat deklarace pomocí vlastního pravidla.

  5. Vyberte Další.

  6. Do pole Název pravidla deklarace identity zadejte pravidlo deklarace identity metody ověřování.

  7. Do pole Pravidlo deklarace identity zadejte následující pravidlo:

    c:[Type == "http://schemas.microsoft.com/claims/authnmethodsreferences"] => issue(claim = c);

  8. Na federačním serveru zadejte následující příkaz PowerShellu. Hodnotu RPObjectName> nahraďte< názvem objektu předávající strany pro objekt Azure AD důvěryhodnosti předávající strany. Tento objekt má obvykle název Microsoft Office 365 Identity Platform.

    Set-AdfsRelyingPartyTrust -TargetName <RPObjectName> -AllowedAuthenticationClassReferences wiaormultiauthn

Řešení potíží s implementací

Pokud dochází k problémům s dokončováním hybridního Azure AD připojení k zařízením s Windows připojeným k doméně, přečtěte si téma:

Další kroky