Bagikan melalui

Menyiapkan kepercayaan antara Layanan Federasi Direktori Aktif dan Azure AD

  • Artikel

Diperbarui: 25 Juni 2015

Berlaku Untuk: Azure, Office 365, Power BI, Windows Intune

Setiap domain yang ingin Anda federasi harus ditambahkan sebagai domain akses menyeluruh atau dikonversi menjadi domain akses menyeluruh dari domain standar. Menambahkan atau mengonversi domain menyiapkan kepercayaan antara Layanan Federasi Direktori Aktif dan Microsoft Azure Active Directory (Microsoft Azure AD).

Penting

  • Jika Anda menggunakan subdomain (misalnya, corp.contoso.com) selain domain tingkat atas (misalnya, contoso.com), Anda harus menambahkan domain tingkat atas di layanan cloud Anda sebelum menambahkan subdomain apa pun. Saat domain tingkat atas disiapkan untuk akses menyeluruh, semua subdomain juga disiapkan secara otomatis.

  • Menyiapkan kepercayaan adalah operasi satu kali, dan Anda tidak perlu menjalankan modul Microsoft Azure Active Directory untuk cmdlet Windows PowerShell lagi jika Anda menambahkan lebih banyak server LAYANAN Federasi Direktori Aktif ke farm server Anda.

  • Jika Anda menambahkan dan memverifikasi domain dengan Modul Microsoft Azure Active Directory, Anda perlu menentukan beberapa pengaturan tambahan. Pengaturan ini diperlukan agar Anda bisa melihat catatan DNS yang harus Anda konfigurasi untuk mengaktifkan domain Anda agar berfungsi dengan layanan awan Anda.

Jika Anda perlu mendukung beberapa domain tingkat atas, Anda harus menggunakan sakelar SupportMultipleDomain dengan cmdlet apa pun, seperti cmdlet yang digunakan dalam prosedur "Tambahkan domain" dan "Konversi domain".

Misalnya, untuk menambahkan contoso.com dan fabrikam.com sebagai domain akses menyeluruh, Anda akan mengikuti prosedur "Tambahkan domain" untuk contoso.com, menggunakan sakelar SupportMultipleDomain di setiap langkah yang memiliki cmdlet. Jadi, untuk langkah 5, Anda akan menggunakan New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Setelah menyelesaikan semua langkah dalam prosedur untuk contoso.com, Anda akan mengulangi prosedur lagi untuk domain fabrikam.com Anda. Pada langkah 5, Anda akan menggunakan New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Untuk informasi selengkapnya, lihat Dukungan untuk Beberapa Domain Tingkat Atas.

Selesaikan salah satu prosedur berikut untuk menyiapkan kepercayaan federasi Anda dengan Azure AD, bergantung pada apakah Anda perlu menambahkan domain baru atau mengonversi domain yang sudah ada.

  • Menambahkan domain

  • Mengonversi domain

Menambahkan domain

  1. Buka Modul Microsoft Azure Active Directory.

  2. Jalankan $cred=Get-Credential. Saat cmdlet meminta kredensial kepada Anda, ketik kredensial akun administrator layanan awan Anda.

  3. Jalankan Connect-MsolService –Credential $cred. Cmdlet ini menyambungkan Anda ke Azure AD. Membuat konteks yang menyambungkan Anda ke Azure AD diperlukan sebelum menjalankan cmdlet tambahan apa pun yang diinstal oleh alat.

  4. Jalankan Set-MsolAdfscontext -Computer <AD FS primary server>, di mana <server> utama Layanan Federasi Direktori Aktif adalah nama FQDN internal server LAYANAN Federasi Direktori Aktif utama. Cmdlet ini menciptakan konteks yang menghubungkan Anda dengan AD FS.

    Catatan

    Jika Anda telah menginstal Modul Microsoft Azure Active Directory di server LAYANAN Federasi Direktori Aktif utama, Maka Anda tidak perlu menjalankan cmdlet ini.

  5. Jalankan New-MsolFederatedDomain –DomainName <domain>, di mana <domain> adalah domain yang akan ditambahkan dan diaktifkan untuk akses menyeluruh. Cmdlet ini menambahkan domain atau subdomain tingkat atas baru yang akan dikonfigurasi untuk autentikasi federasi.

    Catatan

    Setelah Anda menggunakan cmdlet New-MsolFederatedDomain untuk menambahkan domain tingkat atas, Anda tidak akan dapat menggunakan cmdlet New-MsolDomain untuk menambahkan domain standar (non-federasi).

  6. Dengan menggunakan informasi yang disediakan oleh hasil New-MsolFederatedDomain cmdlet, hubungi pencatat domain Anda untuk membuat catatan DNS yang diperlukan. Ini memverifikasi bahwa Anda adalah pemilik domain. Perhatikan bahwa ini mungkin memakan waktu hingga 15 menit untuk disebarluaskan, tergantung pada pendafra Anda. Diperlukan waktu hingga 72 jam agar perubahan disebarluaskan melalui sistem. Untuk informasi selengkapnya, lihat Memverifikasi domain di pencatat nama domain apa pun.

  7. Jalankan New-MsolFederatedDomain untuk kedua kalinya, menentukan nama domain yang sama untuk menyelesaikan proses.

Mengonversi domain

Saat Anda mengonversi domain yang sudah ada ke domain akses menyeluruh, setiap pengguna berlisensi akan menjadi pengguna federasi, menggunakan kredensial perusahaan Direktori Aktif yang ada (nama pengguna dan kata sandi) untuk mengakses layanan cloud Anda. Melakukan peluncuran bertahap akses menyeluruh saat ini tidak dimungkinkan; namun, Anda dapat menguji coba akses menyeluruh dengan sekumpulan pengguna produksi dari forest Direktori Aktif produksi Anda. Untuk informasi selengkapnya, lihat Menjalankan pilot untuk menguji akses menyeluruh sebelum menyiapkannya (opsional).

Catatan

Yang terbaik adalah melakukan konversi ketika ada pengguna terkecil, seperti pada akhir pekan, untuk mengurangi dampak pada pengguna Anda.

Untuk mengonversi domain yang sudah ada menjadi domain akses menyeluruh, ikuti langkah-langkah ini.

  1. Buka Modul Microsoft Azure Active Directory.

  2. Jalankan $cred=Get-Credential. Saat cmdlet meminta kredensial kepada Anda, ketik kredensial akun administrator layanan awan Anda.

  3. Jalankan Connect-MsolService –Credential $cred. Cmdlet ini menyambungkan Anda ke Azure AD. Membuat konteks yang menyambungkan Anda ke Azure AD diperlukan sebelum menjalankan cmdlet tambahan apa pun yang diinstal oleh alat.

  4. Jalankan Set-MsolAdfscontext -Computer <AD FS primary server>, di mana <server> utama Layanan Federasi Direktori Aktif adalah nama FQDN internal server LAYANAN Federasi Direktori Aktif utama. Cmdlet ini menciptakan konteks yang menghubungkan Anda dengan AD FS.

    Catatan

    Jika Anda telah menginstal Modul Microsoft Azure Active Directory di server LAYANAN Federasi Direktori Aktif utama, Maka Anda tidak perlu menjalankan cmdlet ini.

  5. Jalankan Convert-MsolDomainToFederated –DomainName <domain>, di mana <domain> adalah domain yang akan dikonversi. Cmdlet ini mengubah domain dari autentikasi standar menjadi akses menyeluruh.

Catatan

Untuk memverifikasi bahwa konversi telah berfungsi, bandingkan pengaturan di server Layanan Federasi Direktori Aktif dan di Azure AD dengan menjalankan Get-MsolFederationProperty –DomainName <domain>, di mana <domain> adalah domain yang ingin Anda lihat pengaturannya. Jika tidak cocok, Anda dapat menjalankan Update-MsolFederatedDomain –DomainName <domain> untuk menyinkronkan pengaturan.

Langkah selanjutnya

Sekarang setelah Anda menyiapkan kepercayaan antara Layanan Federasi Direktori Aktif dan Azure AD, Anda harus menyiapkan sinkronisasi Direktori Aktif. Untuk informasi selengkapnya, lihat Peta jalan sinkronisasi direktori. Setelah Anda menyiapkan sinkronisasi Direktori Aktif, lihat Memverifikasi dan mengelola akses menyeluruh dengan Layanan Federasi Direktori Aktif.

Lihat juga

Konsep

Daftar periksa: Gunakan Layanan Federasi Direktori Aktif untuk mengimplementasikan dan mengelola akses menyeluruh
Peta jalan akses menyeluruh