Erstellen eines Verbunds mit mehreren Instanzen von Azure AD und einer Einzelinstanz von AD FS

Mehrere Gesamtstrukturen können in einer einzelnen hochverfügbaren AD FS-Farm zu einem Verbund zusammengefasst werden, sofern zwischen ihnen eine bidirektionale Vertrauensstellung eingerichtet ist. Die Gesamtstrukturen können der gleichen Azure Active Directory-Instanz entsprechen, müssen aber nicht. Dieser Artikel enthält Anweisungen zum Konfigurieren des Verbunds zwischen einer einzelnen AD FS-Bereitstellung und mehreren Instanzen von Azure AD.

Verbund mit mehreren Mandanten und einer einzelnen AD FS-Instanz

Hinweis

Geräterückschreiben und automatische Geräteeinbindung werden in diesem Szenario nicht unterstützt.

Hinweis

In diesem Szenario kann der Verbund nicht mithilfe von Azure AD Connect konfiguriert werden, da Azure AD Connect zum Konfigurieren des Verbunds von Domänen in einer einzelnen Azure AD-Instanz verwendet wird.

Schritte zum Erstellen eines Verbunds mit AD FS und mehreren Azure AD-Instanzen

Angenommen, eine Domäne namens „contoso.com“ ist in „contoso.onmicrosoft.com“ (Azure Active Directory) bereits Teil eines Verbunds mit der lokalen AD FS-Instanz, die in der lokalen Active Directory-Umgebung „contoso.com“ installiert ist. „fabrikam.com“ ist eine Domäne in „fabrikam.onmicrosoft.com“ (Azure Active Directory).

Schritt 1: Einrichten einer bidirektionale Vertrauensstellung

Damit AD FS in „contoso.com“ Benutzer in „fabrikam.com“ authentifizieren kann, ist zwischen „contoso.com“ und „fabrikam.com“ eine bidirektionale Vertrauensstellung erforderlich. Eine Anleitung zum Erstellen der bidirektionalen Vertrauensstellung finden Sie in diesem Artikel.

Schritt 2: Ändern der Verbundeinstellungen für „contoso.com“

Für den Verbund zwischen einer einzelnen Domäne und AD FS ist der Standardaussteller http://ADFSServiceFQDN/adfs/services/trust" festgelegt, z. B. http://fs.contoso.com/adfs/services/trust. Azure Active Directory benötigt für jede Verbunddomäne einen eindeutigen Aussteller. Da AD FS zwei Domänen miteinander verbinden wird, muss der Ausstellerwert so geändert werden, dass er eindeutig ist.

Öffnen Sie auf dem AD FS-Server Azure AD PowerShell. (Stellen Sie sicher, dass das MSOnline-Modul installiert ist.) Führen Sie die folgenden Schritte aus:

Stellen Sie mit „Connect-MsolService“ eine Verbindung mit der Azure Active Directory-Instanz her, die die Domäne „contoso.com“ enthält. Aktualisieren Sie mit „Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain“ die Verbundeinstellungen für „contoso.com“.

Der Aussteller in der Domänenverbundeinstellung wird in http://contoso.com/adfs/services/trust" geändert, und für die Vertrauensstellung der vertrauenden Seite von Azure AD wird eine Ausstellungsanspruchsregel hinzugefügt, um auf der Grundlage des UPN-Suffixes den korrekten issuerId-Wert auszugeben.

Schritt 3: Erstellen eines Verbunds mit „fabrikam.com“ und AD FS

Gehen Sie in der Azure AD PowerShell-Sitzung wie folgt vor: Stellen Sie eine Verbindung mit der Azure Active Directory-Instanz her, die die Domäne „fabrikam.com“ enthält.

Connect-MsolService

Konvertieren Sie die verwaltete Domäne „fabrikam.com“ in eine Verbunddomäne:

Convert-MsolDomainToFederated -DomainName fabrikam.com -Verbose -SupportMultipleDomain

Durch den obigen Vorgang werden die Domäne „fabrikam.com“ und die gleiche AD FS-Instanz zu einem Verbund zusammengefasst. Die Domäneneinstellungen können für beide Domänen mithilfe von „Get-MsolDomainFederationSettings“ überprüft werden.

Nächste Schritte

Herstellen einer Verbindung zwischen Active Directory und Azure Active Directory