Bersiap untuk akses menyeluruh
Diperbarui: 25 Juni 2015
Berlaku Untuk: Azure, Office 365, Power BI, Windows Intune
Catatan
Topik ini mungkin tidak sepenuhnya berlaku untuk pengguna Microsoft Azure di Tiongkok. Untuk informasi selengkapnya tentang layanan Azure di Tiongkok, lihat windowsazure.cn.
Untuk mempersiapkan akses menyeluruh, selesaikan langkah-langkah berikut:
Langkah 1: Tinjau persyaratan untuk akses menyeluruh
Langkah 2: Siapkan Direktori Aktif
Langkah 1: Tinjau persyaratan untuk akses menyeluruh
Untuk menerapkan solusi SSO ini, Anda harus memenuhi persyaratan berikut:
Memiliki Direktori Aktif yang disebarkan dan berjalan di Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, atau Windows Server 2012 R2 dengan tingkat fungsional mode campuran atau asli.
Jika Anda berencana menggunakan Layanan Federasi Direktori Aktif sebagai STS, Anda harus melakukan salah satu hal berikut:
Unduh, instal, dan sebarkan LAYANAN Federasi Direktori Aktif 2.0 di server Windows Server 2008 atau Windows Server 2008 R2. Selain itu, jika pengguna akan terhubung dari luar jaringan perusahaan Anda, Anda harus menyebarkan proksi AD FS 2.0.
Instal layanan peran Layanan Federasi Direktori Aktif di server Windows Server 2012 atau Windows Server 2012 R2.
Jika Anda berencana menggunakan Shibboleth Identity Provider sebagai STS, Anda harus menginstal dan menyiapkan Penyedia Identitas Shibboleth operasional.
Penting
Microsoft mendukung pengalaman akses menyeluruh ini sebagai integrasi layanan cloud Microsoft, seperti Microsoft Intune atau Office 365, dengan Penyedia Identitas Shibboleth yang sudah diinstal dan beroperasi. Penyedia Identitas Shibboleth adalah produk pihak ketiga dan oleh karena itu Microsoft tidak memberikan dukungan untuk penyebaran, konfigurasi, pemecahan masalah, praktik terbaik, dll. masalah dan pertanyaan mengenai Penyedia Identitas Shibboleth. Untuk informasi selengkapnya tentang Penyedia Identitas Shibboleth, lihat https://go.microsoft.com/fwlink/?LinkID=256497.
Berdasarkan jenis STS yang akan Anda siapkan, gunakan Modul Microsoft Azure Active Directory untuk Windows PowerShell untuk membangun kepercayaan federasi antara STS lokal dan Azure AD Anda.
Instal pembaruan yang diperlukan untuk langganan layanan cloud Microsoft Anda untuk memastikan bahwa pengguna Anda menjalankan pembaruan terbaru Windows 7, Windows Vista, atau Windows XP. Beberapa fitur mungkin tidak berfungsi dengan baik tanpa versi sistem operasi, browser, dan perangkat lunak yang sesuai. Untuk informasi selengkapnya, lihat Lampiran A: Meninjau persyaratan perangkat lunak.
Langkah 2: Siapkan Direktori Aktif
Direktori Aktif harus memiliki pengaturan tertentu yang dikonfigurasi agar berfungsi dengan baik dengan akses menyeluruh. Secara khusus, nama prinsipal pengguna (UPN), juga dikenal sebagai nama masuk pengguna, harus disiapkan dengan cara tertentu untuk setiap pengguna.
Catatan
Untuk menyiapkan lingkungan Direktori Aktif Anda untuk akses menyeluruh, kami sarankan Anda menjalankan Alat Kesiapan Penyebaran Microsoft. Alat ini memeriksa lingkungan Direktori Aktif Anda dan memberikan laporan yang menyertakan informasi tentang apakah Anda siap untuk menyiapkan akses menyeluruh atau tidak. Jika tidak, ini mencantumkan perubahan yang perlu Anda buat untuk mempersiapkan akses menyeluruh. Misalnya, ini memeriksa apakah pengguna Anda memiliki UPN atau tidak dan apakah UPN tersebut dalam format yang benar.
Bergantung pada setiap domain, Anda mungkin perlu melakukan hal berikut:
UPN harus diatur dan diketahui oleh pengguna.
Akhiran domain UPN harus berada di bawah domain yang Anda pilih untuk disiapkan untuk akses menyeluruh.
Domain yang Anda pilih untuk digabungkan harus terdaftar sebagai domain publik dengan pencatat domain atau dalam server DNS publik Anda sendiri.
Untuk membuat UPN, ikuti instruksi dalam topik Direktori Aktif Tambahkan Akhiran Nama Prinsipal Pengguna. Perlu diingat bahwa UPN yang digunakan untuk akses menyeluruh hanya dapat berisi huruf, angka, titik, tanda hubung, dan garis bawah.
Jika nama domain Direktori Aktif Anda bukan domain Internet publik (misalnya, itu diakhiri dengan akhiran ".local"), Anda harus mengatur UPN agar memiliki akhiran domain yang berada di bawah nama domain Internet yang dapat didaftarkan secara publik. Kami menyarankan agar Anda menggunakan sesuatu yang akrab bagi pengguna Anda, seperti domain email mereka.
Jika Anda telah menyiapkan sinkronisasi Direktori Aktif, UPN pengguna mungkin tidak cocok dengan UPN lokal pengguna yang ditentukan dalam Direktori Aktif. Untuk memperbaikinya, ganti nama UPN pengguna menggunakan cmdlet Set-MsolUserPrincipalName di Modul Microsoft Azure Active Directory untuk Windows PowerShell.