Memverifikasi dan mengelola akses menyeluruh dengan Layanan Federasi Direktori Aktif

Diperbarui: 25 Juni 2015

Berlaku Untuk: Azure, Office 365, Power BI, Windows Intune

Catatan

Topik ini mungkin tidak sepenuhnya berlaku untuk pengguna Microsoft Azure di Tiongkok. Untuk informasi selengkapnya tentang layanan Azure di Tiongkok, lihat windowsazure.cn.

Sebagai administrator, sebelum Anda memverifikasi dan mengelola akses menyeluruh (juga disebut federasi identitas), tinjau informasi dan lakukan langkah-langkah dalam Daftar Periksa: Gunakan Layanan Federasi Direktori Aktif untuk mengimplementasikan dan mengelola akses menyeluruh.

Setelah menyiapkan akses menyeluruh, Anda harus memverifikasi bahwa akses menyeluruh berfungsi dengan benar. Selain itu, ada beberapa tugas manajemen yang kadang-kadang dapat Anda lakukan untuk membuatnya berjalan dengan lancar.

Apa yang ingin Anda lakukan?

• Verifikasi bahwa akses menyeluruh telah disiapkan dengan benar

• Kelola akses menyeluruh

Verifikasi bahwa akses menyeluruh telah disiapkan dengan benar

Untuk memverifikasi bahwa akses menyeluruh telah disiapkan dengan benar, Anda dapat melakukan prosedur berikut untuk mengonfirmasi bahwa Anda dapat masuk ke layanan cloud dengan kredensial perusahaan Anda, Menguji akses menyeluruh untuk skenario penggunaan yang berbeda, dan Menggunakan Microsoft Remote Connectivity Analyzer.

Catatan

• Jika Anda mengonversi domain, bukan menambahkannya, mungkin diperlukan waktu hingga 24 jam untuk menyiapkan akses menyeluruh.
  
  
• Sebelum memverifikasi akses menyeluruh, Anda harus selesai menyiapkan sinkronisasi Direktori Aktif , menyinkronkan direktori Anda, dan mengaktifkan pengguna yang disinkronkan. Untuk informasi selengkapnya, lihat Peta jalan sinkronisasi direktori.
  
  

Untuk memverifikasi bahwa akses menyeluruh telah disiapkan dengan benar, selesaikan langkah-langkah berikut.

1. Di komputer yang bergabung dengan domain, masuk ke layanan cloud Microsoft Anda menggunakan nama masuk yang sama dengan yang Anda gunakan untuk kredensial perusahaan Anda.

2. Klik di dalam kotak kata sandi. Jika akses menyeluruh disiapkan, kotak kata sandi akan berbayang, dan Anda akan melihat pesan berikut: "Anda sekarang diharuskan untuk masuk di <perusahaan> Anda."

3. Klik tautan Masuk di <perusahaan> Anda.

   Jika Anda dapat masuk, maka akses menyeluruh telah disiapkan.

Menguji akses menyeluruh untuk skenario penggunaan yang berbeda

Setelah Anda memverifikasi bahwa akses menyeluruh selesai, uji skenario masuk berikut untuk memastikan bahwa akses menyeluruh dan penyebaran LAYANAN Federasi Direktori Aktif 2.0 dikonfigurasi dengan benar. Mintalah sekelompok pengguna Anda untuk menguji akses mereka ke layanan layanan cloud dari browser serta aplikasi klien yang kaya, seperti Microsoft Office 2010, di lingkungan berikut:

• Dari komputer yang bergabung dengan domain

• Dari komputer yang tidak bergabung dengan domain di dalam jaringan perusahaan

• Dari komputer yang bergabung dengan domain roaming di luar jaringan perusahaan

• Dari berbagai sistem operasi yang Anda gunakan di perusahaan Anda

• Dari komputer rumah

• Dari kios Internet (uji akses ke layanan cloud hanya melalui browser)

• Dari ponsel pintar (misalnya, ponsel pintar yang menggunakan Microsoft Exchange ActiveSync)

Menggunakan Microsoft Remote Connectivity Analyzer

Untuk menguji konektivitas akses menyeluruh, Anda dapat menggunakan Microsoft Remote Connectivity Analyzer. Klik tab Office 365, klik Akses Menyeluruh Microsoft, lalu klik Berikutnya. Ikuti perintah layar untuk melakukan pengujian. Penganalisis memvalidasi kemampuan Anda untuk masuk ke layanan cloud dengan kredensial perusahaan Anda. Ini juga memvalidasi beberapa konfigurasi AD FS 2.0 dasar.

Apa yang ingin Anda lakukan?

Jadwalkan tugas untuk memperbarui Microsoft Azure AD saat perubahan dilakukan pada sertifikat penandatanganan token tidak lagi menjadi rekomendasi

Jika Anda menggunakan Layanan Federasi Direktori Aktif 2.0 atau yang lebih baru, Office 365 dan Azure AD akan secara otomatis memperbarui sertifikat Anda sebelum kedaluwarsa.  Anda tidak perlu melakukan langkah manual apa pun atau menjalankan skrip sebagai tugas terjadwal.  Agar ini berfungsi, kedua pengaturan konfigurasi AD FS default berikut harus berlaku:

1. Properti Layanan Federasi Direktori Aktif AutoCertificateRollover harus diatur ke True, menunjukkan bahwa Layanan Federasi Direktori Aktif akan secara otomatis menghasilkan sertifikat penandatanganan token dan dekripsi token baru sebelum yang lama kedaluwarsa. Jika nilainya False, Anda menggunakan pengaturan sertifikat kustom.  Buka di sini untuk panduan komprehensif.

2. Metadata federasi Anda harus tersedia untuk internet publik.

Kelola akses menyeluruh

Ada tugas opsional atau sesekali lain yang dapat Anda lakukan untuk menjaga akses menyeluruh berjalan dengan lancar.

Di bagian ini

• Menambahkan URL ke Situs Tepercaya di Internet Explorer

• Membatasi pengguna untuk masuk ke layanan cloud

• Lihat pengaturan saat ini

• Memperbarui properti kepercayaan

• Memulihkan server Layanan Federasi Direktori Aktif

• Menyesuaikan Jenis Autentikasi Lokal

Menambahkan URL ke Situs Tepercaya di Internet Explorer

Setelah Anda menambahkan atau mengonversi domain sebagai bagian dari pengaturan akses menyeluruh, Anda mungkin ingin menambahkan nama domain server AD FS Anda yang sepenuhnya memenuhi syarat ke daftar Situs Tepercaya di Internet Explorer. Ini akan memastikan bahwa pengguna tidak dimintai kata sandi mereka ke server LAYANAN Federasi Direktori Aktif. Perubahan ini perlu dilakukan pada klien. Anda juga dapat membuat perubahan ini untuk pengguna Anda dengan menentukan pengaturan Kebijakan Grup yang akan secara otomatis menambahkan URL ini ke daftar Situs Tepercaya untuk komputer yang bergabung dengan domain. Untuk informasi selengkapnya, lihat Pengaturan Kebijakan Internet Explorer.

Membatasi pengguna untuk masuk ke layanan cloud

Layanan Federasi Direktori Aktif memberi administrator opsi untuk menentukan aturan kustom yang akan memberikan atau menolak akses pengguna. Untuk akses menyeluruh, aturan kustom harus diterapkan ke kepercayaan pihak yang mengandalkan yang terkait dengan layanan cloud. Anda membuat kepercayaan ini saat menjalankan cmdlet di Windows PowerShell untuk menyiapkan akses menyeluruh.

Untuk informasi selengkapnya tentang cara membatasi pengguna masuk ke layanan, lihat Membuat Aturan untuk Mengizinkan atau Menolak Pengguna Berdasarkan Klaim Masuk. Untuk informasi selengkapnya tentang menjalankan cmdlet untuk menyiapkan akses menyeluruh, lihat Menginstal Windows PowerShell untuk akses menyeluruh dengan Layanan Federasi Direktori Aktif.

Lihat pengaturan saat ini

Jika kapan saja Anda ingin melihat server LAYANAN Federasi Direktori Aktif saat ini dan pengaturan layanan cloud, Anda dapat membuka Modul Microsoft Azure Active Directory untuk Windows PowerShell dan menjalankan Connect-MSOLService, lalu menjalankan Get-MSOLFederationProperty –DomainName <domain>. Ini memungkinkan Anda untuk memeriksa apakah pengaturan di server Layanan Federasi Direktori Aktif konsisten dengan yang ada di layanan cloud. Jika pengaturan tidak cocok, Anda dapat menjalankan Update-MsolFederatedDomain –DomainName <domain>. Lihat bagian berikutnya, "Perbarui properti kepercayaan", untuk informasi selengkapnya.

Catatan

Jika Anda perlu mendukung beberapa domain tingkat atas, seperti contoso.com dan fabrikam.com, Anda harus menggunakan tombol SupportMultipleDomain dengan cmdlet apa pun. Untuk informasi selengkapnya, lihat Dukungan untuk Beberapa Domain Tingkat Atas.

Apa yang ingin Anda lakukan?

Memperbarui properti kepercayaan

Anda harus memperbarui properti kepercayaan akses menyeluruh di layanan awan saat:

• URL berubah: Jika Anda membuat perubahan pada URL untuk server Layanan Federasi Direktori Aktif, maka Anda harus memperbarui properti kepercayaan.

• Sertifikat penandatanganan token utama telah diubah: Mengubah sertifikat penandatanganan token utama memicu peristiwa ID 334 atau ID peristiwa 335 di Pemantau Peristiwa untuk server AD FS. Kami menyarankan agar Anda memeriksa Pemantau Peristiwa secara teratur, setidaknya setiap minggu.

  Untuk melihat peristiwa untuk server Layanan Federasi Direktori Aktif, ikuti langkah-langkah ini.

  1. Klik Mulai, lalu klik Panel Kontrol. Dalam tampilan Kategori, klik Sistem dan Keamanan, lalu klik Alat Administratif, lalu klik Pemantau Peristiwa.

  2. Untuk menampilkan peristiwa untuk Layanan Federasi Direktori Aktif, di panel kiri Pemantau Peristiwa, klik Log Aplikasi dan Layanan, lalu klik Layanan Federasi Direktori Aktif 2.0, lalu klik Admin.

• Sertifikat penandatanganan token kedaluwarsa setiap tahun: Sertifikat penandatanganan token sangat penting untuk stabilitas Layanan Federasi. Jika diubah, Azure ACTIVE Directory perlu diberi tahu tentang perubahan ini. Jika tidak, permintaan yang dibuat ke layanan cloud Anda akan gagal.

Untuk memperbarui properti kepercayaan secara manual, ikuti langkah-langkah ini.

Catatan

Jika Anda perlu mendukung beberapa domain tingkat atas, seperti contoso.com dan fabrikam.com, Anda harus menggunakan tombol SupportMultipleDomain dengan cmdlet apa pun. Untuk informasi selengkapnya, lihat Dukungan untuk Beberapa Domain Tingkat Atas.

1. Buka Modul Direktori Aktif Microsoft Azure untuk Windows PowerShell.

2. Jalankan $cred=Get-Credential. Saat cmdlet ini meminta kredensial kepada Anda, ketikkan kredensial akun administrator layanan cloud Anda.

3. Jalankan Connect-MsolService –Credential $cred. Cmdlet ini menghubungkan Anda ke layanan cloud. Membuat konteks yang menghubungkan Anda ke layanan cloud diperlukan sebelum menjalankan cmdlet tambahan yang diinstal oleh alat.

4. Jalankan Set-MSOLAdfscontext -Computer <AD FS primary server>, di mana <server> utama Layanan Federasi Direktori Aktif adalah nama FQDN internal server LAYANAN Federasi Direktori Aktif utama. Cmdlet ini menciptakan konteks yang menghubungkan Anda dengan AD FS.

   Catatan

   Jika Anda telah menginstal Modul Microsoft Azure Active Directory di server utama, maka Anda tidak perlu menjalankan cmdlet ini.

5. Jalankan Update-MSOLFederatedDomain –DomainName <domain>. Cmdlet ini memperbarui pengaturan dari Layanan Federasi Direktori Aktif ke layanan cloud dan mengonfigurasi hubungan kepercayaan antara keduanya.

Apa yang ingin Anda lakukan?

Memulihkan server Layanan Federasi Direktori Aktif

Jika Anda kehilangan server utama dan tidak dapat memulihkannya, Anda harus mempromosikan server lain untuk menjadi server utama. Untuk informasi selengkapnya, lihat Layanan Federasi Direktori Aktif 2.0 - Cara Mengatur Server Federasi Utama di Farm WID.

Catatan

Jika salah satu server Layanan Federasi Direktori Aktif Anda gagal, dan Anda telah menyiapkan konfigurasi farm ketersediaan tinggi, pengguna masih dapat mengakses layanan cloud. Jika server yang gagal adalah server utama, Anda tidak akan dapat melakukan pembaruan apa pun pada konfigurasi farm sampai Anda mempromosikan server lain untuk menjadi server utama.

Jika Anda kehilangan semua server di farm, Anda harus membangun kembali kepercayaan dengan langkah-langkah berikut.

Catatan

Jika Anda perlu mendukung beberapa domain tingkat atas, seperti contoso.com dan fabrikam.com, Anda harus menggunakan tombol SupportMultipleDomain dengan cmdlet apa pun. Saat Anda menggunakan sakelar SupportMultipleDomain , Anda biasanya harus menjalankan prosedur pada setiap domain Anda. Namun, untuk memulihkan server Layanan Federasi Direktori Aktif, Anda hanya perlu mengikuti prosedur sekali untuk salah satu domain Anda. Setelah server Anda dipulihkan, semua domain akses menyeluruh Anda lainnya akan terhubung ke layanan cloud. Untuk informasi selengkapnya, lihat Dukungan untuk Beberapa Domain Tingkat Atas.

1. Buka Modul Microsoft Azure Active Directory.

2. Jalankan $cred=Get-Credential. Saat cmdlet meminta kredensial kepada Anda, ketik kredensial akun administrator layanan awan Anda.

3. Jalankan Connect-MsolService –Credential $cred. Cmdlet ini menghubungkan Anda ke layanan cloud. Membuat konteks yang menghubungkan Anda ke layanan cloud diperlukan sebelum menjalankan cmdlet tambahan yang diinstal oleh alat.

4. Jalankan Set-MSOLAdfscontext -Computer <AD FS primary server>, di mana <server> utama Layanan Federasi Direktori Aktif adalah nama FQDN internal server LAYANAN Federasi Direktori Aktif utama. Cmdlet ini menciptakan konteks yang menghubungkan Anda dengan AD FS.

   Catatan

   Jika Anda telah menginstal Modul Microsoft Azure Active Directory di server LAYANAN Federasi Direktori Aktif utama, Maka Anda tidak perlu menjalankan cmdlet ini.

5. Jalankan Update-MsolFederatedDomain –DomainName <domain>, di mana <domain> adalah domain yang ingin Anda perbarui propertinya. Cmdlet ini memperbarui properti dan membangun hubungan kepercayaan.

6. Jalankan Get-MsolFederationProperty –DomainName <domain>, di mana <domain> adalah domain yang ingin Anda tampilkan propertinya. Anda kemudian dapat membandingkan properti dari server AD FS utama dan properti di layanan cloud untuk memastikan properti tersebut cocok. Jika tidak cocok, jalankan Update-MsolFederatedDomain –DomainName <domain> lagi untuk menyinkronkan properti.

Lihat juga

Konsep

Daftar periksa: Gunakan Layanan Federasi Direktori Aktif untuk mengimplementasikan dan mengelola akses menyeluruh
Peta jalan akses menyeluruh