Sdílet prostřednictvím

Federované ověřování s vysokou dostupností Fáze 5: Konfigurace federovaného ověřování pro Microsoft 365

  • Článek

V této poslední fázi nasazení federovaného ověřování s vysokou dostupností pro Microsoft 365 ve službách infrastruktury Azure získáte a nainstalujete certifikát vystavený veřejnou certifikační autoritou, ověříte konfiguraci a pak nainstalujete a spustíte Microsoft Entra Connect na serveru synchronizace adresářů. Microsoft Entra Connect konfiguruje vaše předplatné Microsoft 365 a ad fs (Active Directory Federation Services) a proxy servery webových aplikací pro federované ověřování.

Všechny fáze najdete v tématu Nasazení federovaného ověřování s vysokou dostupností pro Microsoft 365 v Azure .

Získání veřejného certifikátu a jeho zkopírování na server synchronizace adresářů

Získejte digitální certifikát od veřejné certifikační autority s následujícími vlastnostmi:

  • Certifikát X.509 vhodný pro vytváření připojení SSL.

  • Rozšířená vlastnost alternativního názvu subjektu (SAN) je nastavená na plně kvalifikovaný název domény služby FS (příklad: fs.contoso.com).

  • Certifikát musí mít privátní klíč a musí být uložený ve formátu PFX.

Počítače a zařízení vaší organizace navíc musí důvěřovat veřejné certifikační autoritě, která digitální certifikát vydává. Tento vztah důvěryhodnosti se vytvoří tak, že budete mít kořenový certifikát od veřejné certifikační autority nainstalovaný v úložišti důvěryhodných kořenových certifikačních autorit na vašich počítačích a zařízeních. Počítače se systémem Microsoft Windows mají obvykle sadu těchto typů certifikátů nainstalovanou od běžně používaných certifikačních autorit. Pokud kořenový certifikát od vaší veřejné certifikační autority ještě není nainstalovaný, musíte ho nasadit do počítačů a zařízení vaší organizace.

Další informace o požadavcích na certifikáty pro federované ověřování najdete v tématu Požadavky pro instalaci a konfiguraci federace.

Jakmile obdržíte certifikát, zkopírujte ho do složky na jednotce C: serveru synchronizace adresářů. Například soubor pojmenujte SSL.pfx a uložte ho do složky C:\Certs na serveru synchronizace adresářů.

Ověření konfigurace

Teď byste měli být připraveni nakonfigurovat Microsoft Entra Connect a federované ověřování pro Microsoft 365. Abyste měli jistotu, že jste vy, tady je kontrolní seznam:

  • Veřejná doména vaší organizace se přidá k vašemu předplatnému Microsoft 365.

  • Uživatelské účty Microsoft 365 vaší organizace jsou nakonfigurované na název veřejné domény vaší organizace a můžou se úspěšně přihlásit.

  • Určili jste plně kvalifikovaný název domény federační služby na základě vašeho názvu veřejné domény.

  • Veřejný záznam DNS: Záznam plně kvalifikovaného názvu domény federační služby odkazuje na veřejnou IP adresu internetového nástroje pro vyrovnávání zatížení Azure pro proxy servery webových aplikací.

  • Privátní DNS Záznam plně kvalifikovaného názvu domény federační služby odkazuje na privátní IP adresu interního nástroje pro vyrovnávání zatížení Azure pro servery SLUŽBY AD FS.

  • Digitální certifikát vydaný veřejnou certifikační autoritou vhodný pro připojení SSL se sítí SAN nastaveným na plně kvalifikovaný název domény federační služby je soubor PFX uložený na serveru synchronizace adresářů.

  • Kořenový certifikát pro veřejnou certifikační autoritu je nainstalovaný v úložišti důvěryhodných kořenových certifikačních autorit na vašich počítačích a zařízeních.

Tady je příklad pro organizaci Contoso:

Příklad konfigurace pro infrastrukturu federovaného ověřování s vysokou dostupností v Azure

Příklad konfigurace vysoce dostupné infrastruktury federovaného ověřování Microsoft 365 v Azure

Spusťte Microsoft Entra Connect a nakonfigurujte federované ověřování.

Nástroj Microsoft Entra Connect konfiguruje servery SLUŽBY AD FS, proxy servery webových aplikací a Microsoft 365 pro federované ověřování pomocí těchto kroků:

  1. Vytvořte připojení ke vzdálené ploše k serveru synchronizace adresářů pomocí účtu domény s oprávněními místního správce.

  2. Na ploše serveru synchronizace adresářů otevřete Internet Explorer a přejděte na https://aka.ms/Azure AD Connect.

  3. Na stránce Microsoft Entra Connect klikněte na Stáhnout a potom klikněte na Spustit.

  4. Na stránce Vítá vás Microsoft Entra Connect klikněte na Souhlasím a potom klikněte na Pokračovat.

  5. Na stránce Expresní nastavení klikněte na Přizpůsobit.

  6. Na stránce Nainstalovat požadované součásti klikněte na Nainstalovat.

  7. Na stránce Přihlášení uživatele klikněte na Federation with AD FS (Federace se službou AD FS) a potom klikněte na Next (Další).

  8. Na stránce Connect to Microsoft Entra ID (Připojit k Microsoft Entra ID ) zadejte jméno a heslo účtu správce Microsoft Entra DC pro vaše předplatné Microsoft 365 a potom klikněte na Další.

  9. Na stránce Připojení adresářů se ujistěte , že je v části Doménová struktura vybraná místní doménová struktura služby Active Directory Domain Services (AD DS), zadejte název a heslo účtu správce domény, klikněte na Přidat adresář a potom klikněte na Další.

  10. Na stránce konfigurace přihlášení Microsoft Entra klikněte na Další.

  11. Na stránce Filtrování domén a organizačních jednotek klikněte na Další.

  12. Na stránce Jedinečná identifikace uživatelů klikněte na Další.

  13. Na stránce Filtrovat uživatele a zařízení klikněte na Další.

  14. Na stránce Volitelné funkce klikněte na Další.

  15. Na stránce Farmy služby AD FS klikněte na Konfigurovat novou farmu služby AD FS.

  16. Klikněte na Procházet a zadejte umístění a název certifikátu SSL od veřejné certifikační autority.

  17. Po zobrazení výzvy zadejte heslo certifikátu a klikněte na OK.

  18. Ověřte, že jsou název subjektu a název služby FS (Federation Service) nastavené na plně kvalifikovaný název domény federační služby, a potom klikněte na Další.

  19. Na stránce Servery služby AD FS zadejte název prvního serveru SLUŽBY AD FS (tabulka M – položka 4 – sloupec Název virtuálního počítače) a potom klikněte na Přidat.

  20. Zadejte název druhého serveru SLUŽBY AD FS (tabulka M – položka 5 – sloupec Název virtuálního počítače), klikněte na Přidat a potom klikněte na Další.

  21. Na stránce Proxy servery webových aplikací zadejte název proxy serveru první webové aplikace (tabulka M – položka 6 – sloupec Název virtuálního počítače) a potom klikněte na Přidat.

  22. Zadejte název proxy serveru druhé webové aplikace (tabulka M – položka 7 – sloupec Název virtuálního počítače), klikněte na Přidat a potom klikněte na Další.

  23. Na stránce Přihlašovací údaje správce domény zadejte uživatelské jméno a heslo účtu správce domény a pak klikněte na Další.

  24. Na stránce účet služby AD FS zadejte uživatelské jméno a heslo účtu podnikového správce a klikněte na Další.

  25. Na stránce Doména Microsoft Entra v části Doména vyberte název domény DNS vaší organizace a potom klikněte na Další.

  26. Na stránce Ready to configure (Připraveno ke konfiguraci) klikněte na Install (Nainstalovat).

  27. Na stránce Instalace byla dokončena klikněte na Ověřit. Měly by se zobrazit dvě zprávy s oznámením, že konfigurace intranetu i internetu byla úspěšně ověřena.

  • Zpráva intranetu by měla obsahovat privátní IP adresu vašeho interního nástroje pro vyrovnávání zatížení Azure pro vaše servery AD FS.

  • Zpráva Internet by měla obsahovat veřejnou IP adresu vašeho internetového nástroje pro vyrovnávání zatížení Azure pro proxy servery webových aplikací.

  1. Na stránce Instalace byla dokončena klikněte na Ukončit.

Tady je konečná konfigurace se zástupnými názvy serverů.

Fáze 5: Konečná konfigurace infrastruktury federovaného ověřování s vysokou dostupností v Azure

Konečná konfigurace vysoce dostupné infrastruktury federovaného ověřování Microsoftu 365 v Azure

Vaše infrastruktura federovaného ověřování s vysokou dostupností pro Microsoft 365 v Azure je dokončená.

Viz taky

Nasazení federovaného ověřování s vysokou dostupností pro Microsoft 365 v Azure

Federovaná identita pro vývojové a testovací prostředí Microsoftu 365

Centrum řešení a architektury Microsoftu 365

Federovaná identita pro Microsoft 365