Configuración de AD FS para Microsoft 365 para una sola Sign-On

  • Artículo
  • Se aplica a:
    Microsoft 365

En este vídeo se muestra cómo configurar el Servicio de federación de Active Directory (AD FS) para trabajar junto con Microsoft 365. No cubre el escenario del servidor proxy de AD FS. En este vídeo se describe AD FS para Windows Server 2012 R2. Sin embargo, el procedimiento también se aplica a AD FS 2.0, excepto para los pasos 1, 3 y 7. En cada uno de esos pasos, vea la sección "Notas de AD FS 2.0" para obtener más información sobre cómo usar este procedimiento en Windows Server 2008.

Notas útiles para los pasos del vídeo

Paso 1: Instalar Servicios de federación de Active Directory (AD FS)

Agregue AD FS mediante el Asistente para agregar roles y características.

Notas de AD FS 2.0

Si usa Windows Server 2008, debe descargar e instalar AD FS 2.0 para poder trabajar con Microsoft 365. Puede obtener AD FS 2.0 desde el siguiente sitio web del Centro de descarga de Microsoft:

Servicios de federación de Active Directory (AD FS) 2.0 RTW

Después de la instalación, use Windows Update para descargar e instalar todas las actualizaciones aplicables.

Paso 2: Solicitud de un certificado de una entidad de certificación de terceros para el nombre del servidor de federación

Microsoft 365 requiere un certificado de confianza en el servidor de AD FS. Por lo tanto, debe obtener un certificado de una entidad de certificación (CA) de terceros.

Al personalizar la solicitud de certificado, asegúrese de agregar el nombre del servidor de federación en el campo Nombre común .

En este vídeo, solo se explica cómo generar una solicitud de firma de certificado (CSR). Debe enviar el archivo CSR a una entidad de certificación de terceros. La ENTIDAD de certificación le devuelve un certificado firmado. A continuación, siga estos pasos para importar el certificado al almacén de certificados del equipo:

  1. Ejecute Certlm.msc para abrir el almacén de certificados del equipo local.
  2. En el panel de navegación, expanda Personal, expanda Certificado, haga clic con el botón derecho en la carpeta Certificado y, a continuación, haga clic en Importar.

Acerca del nombre del servidor de federación

El nombre del servicio de federación es el nombre de dominio accesible desde Internet del servidor de AD FS. El usuario de Microsoft 365 se redirige a este dominio para la autenticación. Por lo tanto, asegúrese de agregar un registro A público para el nombre de dominio.

Paso 3: Configuración de AD FS

No puede escribir manualmente un nombre como nombre del servidor de federación. El nombre viene determinado por el nombre del firmante (nombre común) de un certificado en el almacén de certificados del equipo local.

Notas de AD FS 2.0

En AD FS 2.0, el nombre del servidor de federación viene determinado por el certificado que se enlaza a "Sitio web predeterminado" en Internet Information Services (IIS). Debe enlazar el nuevo certificado al sitio web predeterminado antes de configurar AD FS.

Puede usar cualquier cuenta como cuenta de servicio. Si la contraseña de la cuenta de servicio ha expirado, AD FS deja de funcionar. Por lo tanto, asegúrese de que la contraseña de la cuenta no expire nunca.

Paso 4: Descarga de herramientas de Microsoft 365

El módulo de Windows Azure Active Directory para Windows PowerShell y el dispositivo de Sincronización de Azure Active Directory están disponibles en el portal de Microsoft 365. Para obtener las herramientas, haga clic en Usuarios activosy, a continuación, haga clic en Inicio de sesión único: Configurar.

Paso 5: Agregar el dominio a Microsoft 365

El vídeo no explica cómo agregar y comprobar el dominio a Microsoft 365. Para obtener más información sobre ese procedimiento, consulte Comprobación del dominio en Microsoft 365.

Paso 6: Conexión de AD FS a Microsoft 365

Para conectar AD FS a Microsoft 365, ejecute los siguientes comandos en el módulo de Windows Azure Directory para Windows PowerShell.

Nota En el Set-MsolADFSContext comando , especifique el FQDN del servidor de AD FS en el dominio interno en lugar del nombre del servidor de federación.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>

Nota:

Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Después de esta fecha, la compatibilidad con estos módulos se limita a la ayuda de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

Se recomienda migrar a Microsoft Graph PowerShell para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para obtener preguntas comunes sobre la migración, consulte las Preguntas más frecuentes sobre la migración. Nota: Las versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.

Si los comandos se ejecutan correctamente, debería ver lo siguiente:

  • Se agrega una confianza de usuario de confianza "Microsoft 365 Identify Platform" al servidor de AD FS.
  • Los usuarios que usan el nombre de dominio personalizado como sufijo de dirección de correo electrónico para iniciar sesión en el portal de Microsoft 365 se redirigen al servidor de AD FS.

Paso 7: Sincronización de cuentas de usuario locales de Active Directory con Microsoft 365

Si el nombre de dominio interno difiere del nombre de dominio externo que se usa como sufijo de dirección de correo electrónico, debe agregar el nombre de dominio externo como sufijo UPN alternativo en el dominio local de Active Directory. Por ejemplo, el nombre de dominio interno es "company.local", pero el nombre de dominio externo es "company.com". En esta situación, debe agregar "company.com" como sufijo UPN alternativo.

Sincronice las cuentas de usuario con Microsoft 365 mediante la herramienta de sincronización de directorios.

Notas de AD FS 2.0

Si usa AD FS 2.0, debe cambiar el UPN de la cuenta de usuario de "company.local" a "company.com" antes de sincronizar la cuenta con Microsoft 365. De lo contrario, el usuario no se valida en el servidor de AD FS.

Paso 8: Configurar el equipo cliente para una sola Sign-On

Después de agregar el nombre del servidor de federación a la zona intranet local en Internet Explorer, la autenticación NTLM se usa cuando los usuarios intentan autenticarse en el servidor de AD FS. Por lo tanto, no se les pide que escriban sus credenciales.

Los administradores pueden implementar directiva de grupo configuración para configurar una única solución de Sign-On en los equipos cliente que están unidos al dominio.