Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Egyetlen magas rendelkezésre állású AD FS-farm több erdőt is összevonhat, ha kétirányú megbízhatósági kapcsolattal rendelkeznek közöttük. Ez a több erdő ugyanahhoz a Microsoft Entra-azonosítóhoz tartozhat, vagy nem. Ez a cikk bemutatja, hogyan konfigurálhatja az összevonást egyetlen AD FS-telepítés és a Microsoft Entra ID több példánya között.
Feljegyzés
Ebben az esetben az eszközvisszaírás és automatikus eszköz-csatlakoztatás nem támogatott.
Feljegyzés
Ebben a forgatókönyvben a Microsoft Entra Connect nem használható összevonás konfigurálására, mivel a Microsoft Entra Connect egyetlen Microsoft Entra-azonosítóban konfigurálhatja a tartományok összevonását.
Az AD FS több Microsoft Entra-azonosítóval való összevonásának lépései
Fontolja meg a contoso.com tartományt a Microsoft Entra-ban, amelyben a contoso.onmicrosoft.com már federálva van a contoso.com helyi Active Directory-környezetében telepített helyszíni AD FS-sel. Fabrikam.com egy tartomány a fabrikam.onmicrosoft.com Microsoft Entra azonosítóban.
1. lépés: A kétirányú megbízhatósági kapcsolat létrehozása
Ahhoz, hogy a contoso.com-beli AD FS hitelesíthesse a fabrikam.com-beli felhasználókat, kétirányú megbízhatósági kapcsolatra van szükség a contoso.com és fabrikam.com között. A kétirányú bizalmi kapcsolat létrehozásához kövesse a cikk iránymutatását.
2. lépés: A contoso.com összevonási beállításainak módosítása
Az AD FS-hez összevont egyetlen tartomány alapértelmezett kiállítója a következő: "http://ADFSServiceFQDN/adfs/services/trust", például http://fs.contoso.com/adfs/services/trust. A Microsoft Entra-azonosító minden egyes összevont tartományhoz egyedi kiállítót igényel. Mivel az AD FS két tartományt fog összevonni, a kiállító értékét módosítani kell, hogy egyedi legyen.
Feljegyzés
Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el a visszavonás közleményét. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.
Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.
Az AD FS-kiszolgálón nyissa meg az Azure AD PowerShellt (győződjön meg arról, hogy az MSOnline modul telepítve van), és hajtsa végre a következő lépéseket:
Csatlakozzon a tartományt contoso.comtartalmazó Microsoft Entra-azonosítóhoz.
Connect-MsolService
Frissítse a contoso.com szövetségi beállításokat:
Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain
A tartomány szövetségi beállításában a kiállító http://contoso.com/adfs/services/trust megváltozik, és hozzáadnak egy kiállítási jogcímszabályt a Microsoft Entra ID megbízhatósági kapcsolatának függvényében, amely a megfelelő issuerId értéket adja ki az UPN-utótag alapján.
3. lépés: A fabrikam.com összevonása az AD FS-szel
Az Azure AD PowerShell-munkamenetben hajtsa végre a következő lépéseket: Csatlakozás a tartományt tartalmazó Microsoft Entra-azonosítóhoz fabrikam.com
Connect-MsolService
Konvertálja a fabrikam.com felügyelt tartományt összevontra:
Convert-MsolDomainToFederated -DomainName fabrikam.com -Verbose -SupportMultipleDomain
Az előző művelet ugyanazzal az AD FS-vel vonja össze a fabrikam.com tartományt. Mindkét tartományban a Get-MsolDomainFederationSettings használatával ellenőrizheti a tartomány beállításait.