Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo video illustra come configurare Active Directory Federation Service (AD FS) per lavorare insieme a Microsoft 365. Non copre lo scenario del server proxy AD FS. Questo video illustra AD FS per Windows Server 2012 R2. Tuttavia, la procedura si applica anche ad AD FS 2.0, ad eccezione dei passaggi 1, 3 e 7. In ognuno di questi passaggi, vedere la sezione "Note per AD FS 2.0" per altre informazioni su come usare questa procedura in Windows Server 2008.
Note utili per i passaggi nel video
Passaggio 1: Installare Active Directory Federation Services
Aggiungere AD FS usando la procedura guidata Aggiungi ruoli e funzionalità.
Note per AD FS 2.0
Se si usa Windows Server 2008, è necessario scaricare e installare AD FS 2.0 per poter usare Microsoft 365. È possibile ottenere AD FS 2.0 dal seguente sito Web dell'Area download Microsoft:
Active Directory Federation Services 2.0 RTW
Dopo l'installazione, usare Windows Update per scaricare e installare tutti gli aggiornamenti applicabili.
Passaggio 2: Richiedere un certificato da una CA di terze parti per il nome del server federativo
Microsoft 365 richiede un certificato attendibile nel server AD FS. Pertanto, è necessario ottenere un certificato da un'autorità di certificazione (CA) di terze parti.
Quando si personalizza la richiesta di certificato, assicurarsi di aggiungere il nome del server federativo nel campo Nome comune .
In questo video viene illustrato solo come generare una richiesta di firma del certificato (CSR). È necessario inviare il file CSR a una CA di terze parti. La CA restituisce un certificato firmato. Seguire quindi questa procedura per importare il certificato nell'archivio certificati del computer:
- Eseguire
Certlm.mscper aprire l'archivio certificati del computer locale. - Nel riquadro di navigazione espandere Personale, espandere Certificato, fare clic con il pulsante destro del mouse sulla cartella Certificato e quindi scegliere Importa.
Informazioni sul nome del server federativo
Il nome del servizio federativo è il nome di dominio con connessione Internet del server AD FS. L'utente di Microsoft 365 viene reindirizzato a questo dominio per l'autenticazione. Assicurarsi quindi di aggiungere un record A pubblico per il nome di dominio.
Passaggio 3: Configurare AD FS
Non è possibile digitare manualmente un nome come nome del server federativo. Il nome è determinato dal nome soggetto (nome comune) di un certificato nell'archivio certificati del computer locale.
Note per AD FS 2.0
In AD FS 2.0 il nome del server federativo è determinato dal certificato associato a "Sito Web predefinito" in Internet Information Services (IIS). È necessario associare il nuovo certificato al sito Web predefinito prima di configurare AD FS.
È possibile usare qualsiasi account come account del servizio. Se la password dell'account del servizio è scaduta, AD FS smette di funzionare. Assicurarsi quindi che la password dell'account sia impostata per non scadere mai.
Passaggio 4: Scaricare gli strumenti di Microsoft 365
Il modulo Windows Azure Active Directory per Windows PowerShell e l'appliance di sincronizzazione di Azure Active Directory sono disponibili nel portale di Microsoft 365. Per ottenere gli strumenti, fare clic su Utenti attivi e quindi su Single Sign-On: Configura.
Passaggio 5: Aggiungere il dominio a Microsoft 365
Il video non spiega come aggiungere e verificare il dominio a Microsoft 365. Per altre informazioni su questa procedura, vedere Verificare il dominio in Microsoft 365.
Passaggio 6: Connettere AD FS a Microsoft 365
Per connettere AD FS a Microsoft 365, eseguire i comandi seguenti nel modulo di Directory di Windows Azure per Windows PowerShell.
NotaSet-MsolADFSContext Nel comando specificare il nome di dominio completo del server AD FS nel dominio interno anziché il nome del server federativo.
Enable-PSRemoting
Connect-MsolService
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>
Annotazioni
I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, consultare l'aggiornamento sulla disattivazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.
È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.
Se i comandi vengono eseguiti correttamente, verrà visualizzato quanto segue:
- Al server AD FS viene aggiunto un trust relying party "Microsoft 365 Identify Platform".
- Gli utenti che usano il nome di dominio personalizzato come suffisso dell'indirizzo di posta elettronica per accedere al portale di Microsoft 365 vengono reindirizzati al server AD FS.
Passaggio 7: Sincronizzare gli account utente di Active Directory locali con Microsoft 365
Se il nome di dominio interno è diverso dal nome di dominio esterno usato come suffisso dell'indirizzo di posta elettronica, è necessario aggiungere il nome di dominio esterno come suffisso UPN alternativo nel dominio Active Directory locale. Ad esempio, il nome di dominio interno è "company.local", ma il nome di dominio esterno è "company.com". In questo caso, è necessario aggiungere "company.com" come suffisso UPN alternativo.
Sincronizzare gli account utente con Microsoft 365 usando lo strumento di sincronizzazione directory.
Note per AD FS 2.0
Se si usa AD FS 2.0, è necessario modificare l'UPN dell'account utente da "company.local" a "company.com" prima di sincronizzare l'account con Microsoft 365. In caso contrario, l'utente non viene convalidato nel server AD FS.
Passaggio 8: Configurare il computer client per Single Sign-On
Dopo aver aggiunto il nome del server federativo all'area Intranet locale in Internet Explorer, l'autenticazione NTLM viene usata quando gli utenti tentano di eseguire l'autenticazione nel server AD FS. Di conseguenza, non viene richiesto di immettere le credenziali.
Gli amministratori possono implementare le impostazioni di Criteri di gruppo per configurare una soluzione Single Sign-On nei computer client aggiunti al dominio.