Überprüfen und Verwalten von einmaligem Anmelden mit AD FS

Aktualisiert: 25. Juni 2015

Gilt für: Azure, Office 365, Power BI, Windows Intune

Hinweis

Dieses Thema gilt ggf. nicht vollständig für Benutzer von Microsoft Azure in China. Weitere Informationen zum Azure-Dienst in China finden Sie unter windowsazure.cn.

Als Administrator überprüfen und verwalten Sie das einmalige Anmelden (auch als Identitätsverbund bezeichnet), überprüfen Sie die Informationen und führen Sie die Schritte in prüfliste aus: Verwenden Sie AD FS, um einmaliges Anmelden zu implementieren und zu verwalten.

Nachdem Sie das einmalige Anmelden eingerichtet haben, sollten Sie prüfen, ob es ordnungsgemäß ausgeführt wird. Zur Sicherstellung eines reibungslosen Ablaufs können Sie gelegentlich mehrere optionale Verwaltungsaufgaben ausführen.

Wie möchten Sie vorgehen?

• Überprüfen, ob das einmalige Anmelden ordnungsgemäß eingerichtet wurde

• Verwalten des einmaligen Anmeldens

Überprüfen, ob das einmalige Anmelden ordnungsgemäß eingerichtet wurde

Um zu überprüfen, ob das einmalige Anmelden ordnungsgemäß eingerichtet wurde, können Sie das folgende Verfahren ausführen, um zu bestätigen, dass Sie sich mit Ihren Unternehmensanmeldeinformationen beim Clouddienst anmelden können, einmaliges Anmelden für verschiedene Verwendungsszenarien testen und die Microsoft Remote Connectivity Analyzer verwenden können.

Hinweis

• Wenn Sie eine Domäne konvertiert haben, statt eine hinzuzufügen, kann die Einrichtung des einmaligen Anmeldens bis zu 24 Stunden dauern.
  
  
• Bevor Sie die einmalige Anmeldung überprüfen, sollten Sie die Active Directory-Synchronisierung abschließen, Ihre Verzeichnisse synchronisieren und Ihre synchronisierten Benutzer aktivieren. Weitere Informationen finden Sie in der Roadmap zur Verzeichnissynchronisierung.
  
  

Führen Sie zum Überprüfen, ob das einmalige Anmelden ordnungsgemäß eingerichtet wurde, die folgenden Schritte aus.

1. Melden Sie sich auf einem in die Domäne eingebundenen Computer bei Ihrem Microsoft Cloud-Dienst mithilfe des gleichen Anmeldenamens an, den Sie für Ihre Unternehmensanmeldeinformationen verwenden.

2. Klicken Sie in das Kennwortfeld. Wenn einmaliges Anmelden eingerichtet ist, wird das Kennwortfeld schattiert, und Es wird die folgende Meldung angezeigt: "Sie müssen sich jetzt bei <Ihrem Unternehmen> anmelden."

3. Klicken Sie auf den Link " Anmelden bei <Ihrem Unternehmen> ".

   Wenn Sie sich anmelden können, wurde das einmalige Anmelden eingerichtet.

Testen des einmaligen Anmeldens in anderen Verwendungsszenarien

Nachdem Sie überprüft haben, ob das einmalige Anmelden abgeschlossen ist, testen Sie die folgenden Anmeldeszenarien, um sicherzustellen, dass einmaliges Anmelden und die AD FS 2.0-Bereitstellung ordnungsgemäß konfiguriert sind. Bitten Sie eine Gruppe Ihrer Benutzer, ihren Zugriff auf die Clouddienstdienste von Browsern sowie Rich-Client-Anwendungen wie Microsoft Office 2010 in den folgenden Umgebungen zu testen:

• Über einen Computer, der einer Domäne angehört

• Über einen Computer im Unternehmensnetzwerk, der keiner Domäne angehört

• Über einen Computer außerhalb des Unternehmensnetzwerks, der einer Roamingdomäne angehört

• Über die unterschiedlichen Betriebssysteme, die in Ihrem Unternehmen eingesetzt werden

• Über einen Heimcomputer

• Von einem Internet-Kiosk (nur testzugriff auf den Clouddienst über einen Browser)

• Von einem Smartphone aus (z. B. ein Smartphone, das Microsoft Exchange ActiveSync verwendet)

Verwenden der Microsoft-Remoteverbindungsuntersuchung

Zum Testen der Verbindungsherstellung beim einmaligen Anmelden können Sie die Microsoft-Remoteverbindungsuntersuchung verwenden. Klicken Sie auf die Registerkarte Office 365, klicken Sie auf Microsoft-Dienst für einmaliges Anmelden, und klicken Sie dann auf Weiter. Befolgen Sie zum Durchführen des Tests die Anweisungen auf dem Bildschirm. Die Analyse überprüft Ihre Fähigkeit, sich mit Ihren Unternehmensanmeldeinformationen beim Clouddienst anzumelden. Außerdem wird eine grundlegende AD FS 2.0-Konfiguration überprüft.

Wie möchten Sie vorgehen?

Planen der Aktualisierung von Azure AD, wenn eine Änderung an dem Tokensignaturzertifikat vorgenommen wird, nicht mehr die Empfehlung

Wenn Sie AD FS 2.0 oder höher verwenden, werden Office 365 und Azure AD Ihr Zertifikat automatisch aktualisiert, bevor es abläuft.  Sie müssen keine manuellen Schritte ausführen oder ein Skript als geplante Aufgabe ausführen.  Damit dies funktioniert, müssen beide der folgenden Ad FS-Standardkonfigurationseinstellungen wirksam sein:

1. Die AD FS-Eigenschaft AutoCertificateRollover muss auf "True" festgelegt werden, was angibt, dass AD FS automatisch neue Tokensignierungs- und Tokenentschlüsselungszertifikate generiert, bevor die alten ablaufen. Wenn der Wert "False" lautet, verwenden Sie benutzerdefinierte Zertifikateinstellungen.  Gehen Sie hier, um umfassende Anleitungen zu erhalten.

2. Ihre Verbundmetadaten müssen für das öffentliche Internet verfügbar sein.

Verwalten des einmaligen Anmeldens

Es gibt weitere optionale oder gelegentliche Aufgaben, die Sie durchführen können, damit das einmalige Anmelden reibungslos durchgeführt werden kann.

In diesem Abschnitt

• Hinzufügen von URLs zu Vertrauenswürdigen Sites in Internet Explorer

• Beschränken der Benutzer bei der Anmeldung am Clouddienst

• Anzeigen der aktuellen Einstellungen

• Aktualisieren der Vertrauenseigenschaften

• Wiederherstellen eines AD FS-Servers

• Anpassen des lokalen Authentifizierungstyps

Hinzufügen von URLs zu Vertrauenswürdigen Sites in Internet Explorer

Nachdem Sie Ihre Domänen als Teil der Einrichtung von einmaligem Anmelden hinzugefügt oder konvertiert haben, möchten Sie ggf. den vollqualifizierten Domänennamen Ihres AD FS-Servers der Liste der vertrauenswürdigen Websites in Internet Explorer hinzufügen. Auf diese Weise wird sichergestellt, dass Benutzer nicht zur Eingabe Ihres Kennworts für den AD FS-Server aufgefordert werden. Diese Änderung muss auf dem Client vorgenommen werden. Sie können diese Änderung auch für die Benutzer vornehmen, indem Sie eine Gruppenrichtlinieneinstellung festlegen, mit der diese URL automatisch der Liste der Vertrauenswürdigen Sites für Computer hinzugefügt wird, die einer Domäne angehören. Weitere Informationen finden Sie in den Internet Explorer Policy Settings (Internet Explorer-Richtlinieneinstellungen).

Beschränken der Benutzer bei der Anmeldung am Clouddienst

AD FS stellt Administratoren die Option zur Verfügung, benutzerdefinierte Regeln zu definieren, die Benutzern den Zugriff erteilen oder verweigern. Bei einmaligem Anmelden sollten die benutzerdefinierten Regeln auf die vertrauende Seite angewendet werden, die dem Clouddienst zugeordnet ist. Sie haben diese Vertrauensstellung erstellt, wenn Sie die Cmdlets in Windows PowerShell ausgeführt haben, um einmaliges Anmelden einzurichten.

Weitere Informationen zur Beschränkung von Benutzern bei der Anmeldung bei Diensten finden Sie unter Create a Rule to Permit or Deny Users Based on an Incoming Claim (Erstellen einer Regel, mit der Benutzer anhand eines eingehenden Anspruchs zugelassen oder abgelehnt werden). Weitere Informationen zum Ausführen von Cmdlets zum Einrichten des einmaligen Anmeldens finden Sie unter Installieren Windows PowerShell für einmaliges Anmelden mit AD FS.

Anzeigen der aktuellen Einstellungen

Wenn Sie jederzeit den aktuellen AD FS-Server und die Clouddiensteinstellungen anzeigen möchten, können Sie das Microsoft Azure Active Directory Modul für Windows PowerShell öffnen und ausführenConnect-MSOLService, und führen Sie dann ausGet-MSOLFederationProperty –DomainName <domain>. Auf diese Weise können Sie überprüfen, ob die Einstellungen auf dem AD FS-Server mit denen im Clouddienst übereinstimmen. Wenn die Einstellungen nicht übereinstimmen, können Sie das Update-MsolFederatedDomain –DomainName <domain> ausführen. Weitere Informationen finden Sie im nächsten Abschnitt „Aktualisieren der Vertrauenseigenschaften“.

Hinweis

Wenn Sie mehrere Domänen der obersten Ebene unterstützen müssen, z.B. „contoso.com“ und „fabrikam.com“, müssen Sie den SupportMultipleDomain-Switch mit den Cmdlets verwenden. Weitere Informationen finden Sie unter Unterstützung mehrerer Domänen der obersten Ebene.

Wie möchten Sie vorgehen?

Aktualisieren der Vertrauenseigenschaften

Sie müssen die vertrauenswürdigen Eigenschaften für einmaliges Anmelden im Clouddienst aktualisieren, wenn:

• Die URL ändert sich: Wenn Sie Änderungen an der URL für den AD FS-Server vornehmen, müssen Sie die Vertrauenseigenschaften aktualisieren.

• Das primäre Tokensignaturzertifikat wurde geändert: Das Ändern des primären Tokensignaturzertifikats löst ereignis-ID 334 oder Ereignis-ID 335 in Ereignisanzeige für AD FS-Server aus. Wir empfehlen, die Ereignisanzeige regelmäßig mindestens einmal pro Woche zu prüfen.

  Führen Sie die folgenden Schritte aus, um die Ereignisse für den AD FS-Server anzuzeigen.

  1. Klicken Sie auf Start und dann auf Systemsteuerung. Klicken Sie in der Ansicht Kategorie auf System und Sicherheit, klicken Sie auf Verwaltung, und klicken Sie dann auf Ereignisanzeige.

  2. Klicken Sie zum Anzeigen der Ereignisse für AD FS im linken Bereich der Ereignisanzeige auf Anwendungs- und Dienstprotokolle, klicken Sie auf AD FS 2.0, und klicken Sie dann auf Administrator.

• Das Tokensignaturzertifikat läuft jedes Jahr ab: Das Tokensignaturzertifikat ist für die Stabilität des Verbunddiensts von entscheidender Bedeutung. Falls sie geändert wird, muss Azure AD über diese Änderung benachrichtigt werden. Andernfalls führen Anforderungen, die für Ihre Cloud-Dienste erfolgen, zu einem Fehler.

Gehen Sie folgendermaßen vor, um Vertrauensstellungseigenschaften manuell zu aktualisieren:

Hinweis

Wenn Sie mehrere Domänen der obersten Ebene unterstützen müssen, z.B. „contoso.com“ und „fabrikam.com“, müssen Sie den SupportMultipleDomain-Switch mit den Cmdlets verwenden. Weitere Informationen finden Sie unter Unterstützung mehrerer Domänen der obersten Ebene.

1. Öffnen Sie das Microsoft Azure Active Directory-Modul für Windows PowerShell.

2. $cred=Get-Credential ausführen. Wenn Sie dieses Cmdlet zur Eingabe von Anmeldeinformationen auffordert, geben Sie die Anmeldeinformationen Ihres Clouddienstadministrators ein.

3. Connect-MsolService –Credential $cred ausführen. Dieses Cmdlet verbindet Sie mit dem Clouddienst. Sie müssen einen Kontext erstellen, der Sie mit dem Clouddienst verbindet, bevor Sie andere Cmdlets ausführen, die vom Tool installiert werden.

4. Führen Sie aus Set-MSOLAdfscontext -Computer <AD FS primary server>, wobei <der primäre AD FS-Server> der interne FQDN-Name des primären AD FS-Servers ist. Dieses Cmdlet erstellt einen Kontext, der Sie mit AD FS verbindet.

   Hinweis

   Wenn Sie das Microsoft Azure Active Directory Modul auf dem primären Server installiert haben, müssen Sie dieses Cmdlet nicht ausführen.

5. Update-MSOLFederatedDomain –DomainName <domain> ausführen. Dieses Cmdlet aktualisiert die Einstellungen von AD FS im Clouddienst und konfiguriert die Vertrauensstellung zwischen den beiden Komponenten.

Wie möchten Sie vorgehen?

Wiederherstellen eines AD FS-Servers

Wenn Sie den primären Server verlieren und ihn nicht wiederherstellen können, müssen Sie einen anderen Server zum primären Server heraufstufen. Weitere Informationen finden Sie unter AD FS 2.0 – How to Set the Primary Federation Server in a WID Farm (AD FS 2.0 – Festlegen des primären Verbundservers in einer WID-Farm).

Hinweis

Wenn eine Ihrer AD FS-Server fehlschlägt und Sie eine Farmkonfiguration mit hoher Verfügbarkeit eingerichtet haben, können Benutzer weiterhin auf den Clouddienst zugreifen. Wenn es sich bei dem ausgefallenen Server um den primären Server handelt, können Sie die Farmkonfiguration erst aktualisieren, wenn Sie einen anderen Server zum primären Server heraufstufen.

Wenn Sie alle Server in der Farm verlieren, müssen Sie die Vertrauensstellung mithilfe der folgenden Schritte wiederherstellen.

Hinweis

Wenn Sie mehrere Domänen der obersten Ebene unterstützen müssen, z.B. „contoso.com“ und „fabrikam.com“, müssen Sie den SupportMultipleDomain-Switch mit den Cmdlets verwenden. Wenn Sie den Schalter SupportMultipleDomain verwenden, müssen Sie das Verfahren normalerweise für jede Ihrer Domänen ausführen. Zum Wiederherstellen Ihres AD FS-Servers müssen Sie das Verfahren jedoch nur ein Mal für ein Ihrer Domänen ausführen. Nachdem Ihr Server wiederhergestellt wurde, werden alle ihre anderen einmaligen Anmeldedomänen mit dem Clouddienst verbunden. Weitere Informationen finden Sie unter Unterstützung mehrerer Domänen der obersten Ebene.

1. Öffnen Sie das Microsoft Azure Active Directory Modul.

2. $cred=Get-Credential ausführen. Wenn Sie vom Cmdlet aufgefordert werden, Ihre Anmeldeinformationen einzugeben, geben Sie die Anmeldeinformationen für Ihr Clouddienst-Administratorkonto ein.

3. Connect-MsolService –Credential $cred ausführen. Dieses Cmdlet verbindet Sie mit dem Clouddienst. Sie müssen einen Kontext erstellen, der Sie mit dem Clouddienst verbindet, bevor Sie andere Cmdlets ausführen, die vom Tool installiert werden.

4. Führen Sie aus Set-MSOLAdfscontext -Computer <AD FS primary server>, wobei <der primäre AD FS-Server> der interne FQDN-Name des primären AD FS-Servers ist. Dieses Cmdlet erstellt einen Kontext, der Sie mit AD FS verbindet.

   Hinweis

   Wenn Sie das Microsoft Azure Active Directory Modul auf dem primären AD FS-Server installiert haben, müssen Sie dieses Cmdlet nicht ausführen.

5. Führen Sie die Update-MsolFederatedDomain –DomainName <domain>Domäne> aus, <für die Sie Eigenschaften aktualisieren möchten. Mit diesem Cmdlet werden die Eigenschaften aktualisiert und die Vertrauensstellung eingerichtet.

6. Führen Sie die Get-MsolFederationProperty –DomainName <domain>Domäne> aus, <für die Sie Eigenschaften anzeigen möchten. Anschließend können Sie die Eigenschaften aus dem primären AD FS-Server und den Eigenschaften im Clouddienst vergleichen, um sicherzustellen, dass sie übereinstimmen. Wenn sie nicht übereinstimmen, führen Sie Update-MsolFederatedDomain –DomainName <domain> erneut aus, um die Eigenschaften zu synchronisieren.

Weitere Informationen

Konzepte

Prüfliste: Verwenden von AD FS zur Implementierung und Verwaltung des einmaligen Anmeldens
Einmaliges Anmelden: Roadmap