Forberede enkeltlogon

Udgivet: juni 2012

Gælder for: Office 365, Windows Intune

Bemærk

Dette emne indeholder onlinehjælp, der gælder for flere af Microsofts skytjenester, herunder Windows Intune og Office 365.

Enkeltlogon giver dine brugere adgang til en Microsoft-skytjeneste med deres eksisterende Active Directory-legitimationsoplysninger til firmaet (brugernavn og adgangskode). Hvis du vil konfigurere enkeltlogon, skal du konfigurere en eller flere lokale servere som en STS (security token servuce). En STS muliggør samling af identiteter, hvilket udvider begrebet om centraliseret godkendelse, autorisation og enkeltlogon (SSO) til webprogrammer og -tjenester næsten hvor som helst, herunder afskærmede netværk, partnernetværk og skyen. Når du konfigurerer en STS for at få adgang via enkeltlogon med en Microsoft-skytjeneste, opretter du en samlet tillid mellem din lokale STS og det samlede domæne, du angav i Windows Azure Active Directory.

Windows Azure AD understøtter enkeltlogon med én af følgende STS'er:

• Active Directory Federation Services (AD FS) 2.0

• Shibboleth-identitetsprovideren

Næste afsnit i denne artikel beskriver de fordele, brugeroplevelser og krav til enkeltlogon. Det viser også, hvordan du kontrollerer, at din konfiguration af Active Directory er kompatibel med kravene til enkeltlogon.

Denne artikel indeholder

• Fordele ved at bruge enkeltlogon

• Brugerens oplevelse med enkeltlogon på forskellige steder

• Krav til enkeltlogon

• Forberede Active Directory

• Næste trin

Fordele ved at bruge enkeltlogon

Der er en tydelig fordel for brugere, når du konfigurerer enkeltlogon: det giver dem mulighed for at bruge deres legitimationsoplysninger til firmaet til at få adgang til skytjenesten, som dit firma abonnerer på. Brugerne skal ikke logge sig på igen eller huske flere forskellige adgangskoder.

Ud over fordelene for brugerne er der mange fordele for administratorer.

• Regelstyring: Administratoren kan styre kontoregler via Active Directory. Dermed kan administratoren administrere regler for adgangskoder, arbejdsstationsbegrænsninger, udelukkelsesstyring osv. uden at skulle udføre flere opgaver i skyen.

• Adgangskontrol: Administratoren kan begrænse adgangen til skytjenesten, så der kan oprettes adgang til tjenesterne via virksomhedsmiljøet, via onlineservere eller via begge.

• Reduktion af supportopkald: I alle firmaer er glemte adgangskoder en hyppig årsag til, at brugerne ringer til support. Hvis brugerne har færre adgangskoder, de skal huske, er det også mindre sandsynligt, at de glemmer dem.

• Sikkerhed: Brugeridentiteter og -oplysninger er beskyttet, da alle servere og tjenesterne i enkeltlogon styres og kontrolleres i det lokale miljø.

• Support til sikker godkendelse: Du kan anvende sikker godkendelse (også kaldet to faktor-godkendelse) med skytjenesten. Hvis du anvender sikker godkendelse, skal du dog benytte enkeltlogon. Der er begrænsninger for brugen af sikker godkendelse. Hvis du planlægger at bruge AD FS 2.0 til din STS, kan du finde flere oplysninger i Konfigurere avancerede indstillinger for AD FS 2.0.

Denne artikel indeholder

Brugerens oplevelse med enkeltlogon på forskellige steder

En brugers oplevelse af enkeltlogon afhænger af, hvordan brugerens computer er forbundet med firmaets netværk, hvilket operativsystem der kører på brugerens computer, og hvordan administratoren har konfigureret STS-infrastrukturen.

Følgende beskriver brugeroplevelser med enkeltlogon inde i netværket:

• Arbejdscomputer på et firmanetværk: Når brugere er på arbejde og er logget på firmanetværket, kan de med enkeltlogon få adgang til skytjenesten uden at logge på igen.

Hvis brugeren er logget på uden for dit firmas netværk eller opnår adgang til tjenester fra visse enheder eller programmer, f.eks. som i følgende situationer, skal du installere en STS-proxy. Hvis du planlægger at bruge AD FS 2.0 til din STS, skal du se Plan for and deploy AD FS 2.0 for use with single sign-on for at få flere oplysninger om, hvordan man konfigurerer en AD FS 2.0-proxy.

• Arbejdscomputer, roaming: Brugere, som er logget på domænesamlede computere med deres firmarelaterede legitimationsoplysninger, men som ikke er tilsluttet firmanetværket, f.eks. en hjemmearbejdscomputer eller en computer på et hotel, kan få adgang til skytjenesten.

• Hjemmecomputer eller offentlig computer: Når brugeren anvender en computer, der ikke er samlet med firmadomænet, skal brugeren logge på med de firmarelaterede legitimationsoplysninger for at få adgang til tjenesterne i skytjenesten.

• Smartphone: Hvis en bruger vil have adgang til skytjenesten som f.eks. Microsoft Exchange Online på en smartphone vha. Microsoft Exchange ActiveSync, skal brugeren logge på med firmatlegitimationsoplysningerne.

• Microsoft Outlook eller andre e-mail-klienter: Brugerne skal logge på med deres legitimationsoplysninger til firmaet for at få adgang til deres e-mail, hvis de bruger Outlook eller en e-mailklient, der ikke er en del af Office, f.eks. en IMAP- eller POP-klient.

  Hvis du bruger Shibboleth som dit STS, skal du sørge for at installere Shibboleth Identity Provider ECP-udvidelsen, så enkeltlogon kan fungere med en smartphone, Microsoft Outlook eller andre klienter. Du kan finde flere oplysninger i Konfigurere Shibboleth til brug med enkeltlogon.

Få flere oplysninger om enkeltlogon med AD FS 2.0 ved at se Sådan fungerer enkeltlogon.

Denne artikel indeholder

Krav til enkeltlogon

Hvis du vil bruge enkeltlogon, skal du:

• have Active Directory installeret og køre Windows Server 2003 R2, Windows Server 2008 eller Windows Server 2008 R2 med et blandet eller oprindeligt funktionsniveau.

• Hvis du planlægger at bruge AD FS 2.0 som din STS, skal du hente og installere AD FS 2.0 på en server med Windows Server 2008 eller Windows Server 2008 R2. Hvis brugeren desuden er tilsluttet uden for firmaets netværk, skal du installere en AD FS 2.0-proxy.

• Baseret på den type STS, du vil konfigurere, skal du bruge det relevante Windows Azure Active Directory-modul til Windows PowerShell til at etablere samlet tillid mellem din lokale STS og Windows Azure AD.

• Installér de nødvendige opdateringer til en Microsoft-skytjeneste fra overførselssiden for skytjenester for at sikre, at dine brugere henter og installerer de seneste opdateringer til enten Windows 7, Windows Vista eller Windows XP. Hvis du vil have adgang til skytjenesten-overførselssiden, skal du logge på skytjenesten Portal og klikke på Hent programmer under Ressourcer. Funktionerne i skytjenesten fungerer ikke korrekt uden de relevante operativsystem-, browser- og softwareversioner. Du kan finde flere oplysninger i Softwarekrav.

Denne artikel indeholder

Forberede Active Directory

Der skal være konfigureret visse indstillinger for Active Directory, før det virker korrekt sammen med enkeltlogon. Brugerens hovednavn, der også kaldes et brugerlogonnavn, skal være konfigureret på en bestemt måde for hver bruger.

Bemærk

Når du forbereder Active Directory-miljøet til enkeltlogon, anbefaler vi, at du kører Microsofts værktøj til kontrol af installation Dette værktøj kontrollerer Active Directory-miljøet og resulterer i en rapport med oplysninger, der beskriver om I er klar til konfiguration af enkeltlogon. Hvis det ikke er tilfældet, får du en liste over de ændringer, der skal foretages i forberedelserne til enkeltlogon. Værktøjet kontrollerer f.eks. om brugerne har hovednavne, og om disse hovednavne er i det korrekte format.

Du skal muligvis gøre følgende afhængigt af dine domæner:

• Brugerens hovednavn skal være konfigureret og kendt af brugeren.

• Suffikset til domænet for brugerens hovednavn skal være under det domæne, du vælger at konfigurere til enkeltlogon.

• Det domæne, du vælger at samle, skal være registreret som et offentligt domæne hos en domæneregistrator eller på dine egne offentlige DNS-servere.

• Hvis du vil oprette UPN'er, skal du følge vejledningen i Active Directory-emnet Føje suffikser til hovednavnet for en bruger. Vær opmærksom på, at de hovednavne for brugerne, der anvendes til enkeltlogon, kun må indeholde bogstaver, tal, punktummer, bindestreger og understregningstegn.

• Hvis dit Active Directory-domænenavn ikke er et offentligt internetdomæne (det ender f.eks. med et ".lokalt" suffiks), skal du angive, at en UPN skal have et domænesuffiks, der er under et internetdomænenavn, som kan registreres offentligt. Vi anbefaler, at du bruger et navn, som brugerne kender, f.eks. deres e-mail-domæne.

• Hvis du allerede har konfigureret Active Directory-synkronisering, stemmer brugerens UPN muligvis ikke overens med brugerens lokale UPN, som er defineret i Active Directory. Du kan løse problemet ved at omdøbe brugerens UPN ved hjælp af cmdlet'en Set-MsolUserPrincipalName i Windows Azure Active Directory-modul til Windows PowerShell.

Denne artikel indeholder

Næste trin

Nu, hvor du har gjort klar til enkeltlogon, skal du konfigurere din STS. Du kan få en trinvis vejledning ved at klikke på et af følgende links nedenfor, afhængigt af hvilken STS-indstilling din organisation vil anvende.

• STS-indstilling 1: Brug AD FS 2.0 til at implementere og administrere enkeltlogon

• STS-indstilling 2: Brug af identitetsprovideren Shibboleth til at implementere enkeltlogon.

Bemærk

Alle emnerne i linkene for STS-indstillinger ovenfor indeholder trin, der guider dig gennem konfigurationen af den specifikke STS-implementering i dit lokale miljø. Du behøver kun at følge de trin, der kun beskrives for én af STS-indstillingerne, for at konfigurere enkeltlogon med Windows Azure AD.

Denne artikel indeholder

Se også

Koncepter

Vejledning til enkeltlogon
Vejledning i katalogsynkronisering