Erstellen eines Verbunds mit mehreren Instanzen von Microsoft Entra ID mit einer einzelnen AD FS-Instanz
Mehrere Gesamtstrukturen können in einer einzelnen hochverfügbaren AD FS-Farm zu einem Verbund zusammengefasst werden, sofern zwischen ihnen eine bidirektionale Vertrauensstellung eingerichtet ist. Die Gesamtstrukturen können der gleichen Azure Microsoft Entra ID-Instanz entsprechen, müssen aber nicht. Dieser Artikel enthält Anweisungen zum Konfigurieren eines Verbunds zwischen einer einzelnen AD FS-Bereitstellung und mehreren Instanzen von Microsoft Entra ID.
Hinweis
Geräterückschreiben und automatische Geräteeinbindung werden in diesem Szenario nicht unterstützt.
Hinweis
In diesem Szenario kann der Verbund nicht mithilfe von Microsoft Entra Connect konfiguriert werden, da Microsoft Entra Connect zum Konfigurieren eines Verbunds von Domänen in einer einzelnen Microsoft Entra ID-Instanz verwendet wird.
Schritte zum Erstellen eines Verbunds zwischen AD FS und mehreren Microsoft Entra ID-Instanzen
Angenommen, eine Domäne namens „contoso.com“ ist in „contoso.onmicrosoft.com“ (Microsoft Entra) bereits Teil eines Verbunds mit der lokalen AD FS-Instanz, die in der lokalen Active Directory-Umgebung „contoso.com“ installiert ist. „fabrikam.com“ ist eine Domäne in „fabrikam.onmicrosoft.com“ (Microsoft Entra ID).
Schritt 1: Einrichten einer bidirektionale Vertrauensstellung
Damit AD FS in „contoso.com“ Benutzer in „fabrikam.com“ authentifizieren kann, ist zwischen „contoso.com“ und „fabrikam.com“ eine bidirektionale Vertrauensstellung erforderlich. Eine Anleitung zum Erstellen der bidirektionalen Vertrauensstellung finden Sie in diesem Artikel.
Schritt 2: Ändern der Verbundeinstellungen für „contoso.com“
Für den Verbund zwischen einer einzelnen Domäne und AD FS ist der Standardaussteller http://ADFSServiceFQDN/adfs/services/trust" festgelegt, z. B. http://fs.contoso.com/adfs/services/trust. Microsoft Entra ID benötigt für jede Verbunddomäne einen eindeutigen Aussteller. Da AD FS zwei Domänen miteinander verbinden wird, muss der Ausstellerwert so geändert werden, dass er eindeutig ist.
Hinweis
Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.
Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.
Öffnen Sie auf dem AD FS-Server Azure AD PowerShell. (Stellen Sie sicher, dass das MSOnline-Modul installiert ist.) Führen Sie die folgenden Schritte aus:
Stellen Sie mit „Connect-MsolService“ eine Verbindung mit der Microsoft Entra ID-Instanz her, die die Domäne „contoso.com“ enthält. Aktualisieren Sie mit „Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain“ die Verbundeinstellungen für „contoso.com“.
Der Aussteller in der Domänenverbundeinstellung wird in http://contoso.com/adfs/services/trust" geändert, und für die Vertrauensstellung der vertrauenden Seite von Microsoft Entra ID wird eine Ausstellungsanspruchsregel hinzugefügt, um auf der Grundlage des UPN-Suffixes den korrekten issuerId-Wert auszugeben.
Schritt 3: Erstellen eines Verbunds mit „fabrikam.com“ und AD FS
Gehen Sie in der Azure AD PowerShell-Sitzung wie folgt vor: Stellen Sie eine Verbindung mit der Microsoft Entra ID-Instanz her, die die Domäne „fabrikam.com“ enthält.
Connect-MsolService
Konvertieren Sie die verwaltete Domäne „fabrikam.com“ in eine Verbunddomäne:
Convert-MsolDomainToFederated -DomainName fabrikam.com -Verbose -SupportMultipleDomain
Durch den obigen Vorgang werden die Domäne „fabrikam.com“ und die gleiche AD FS-Instanz zu einem Verbund zusammengefasst. Die Domäneneinstellungen können für beide Domänen mithilfe von „Get-MsolDomainFederationSettings“ überprüft werden.