Delen via


AD FS instellen voor Microsoft 365 voor één Sign-On

In deze video ziet u hoe u Active Directory Federation Service (AD FS) instelt om samen te werken met Microsoft 365. Het heeft geen betrekking op het AD FS-proxyserverscenario. In deze video wordt AD FS voor Windows Server 2012 R2 besproken. De procedure is echter ook van toepassing op AD FS 2.0 , met uitzondering van stap 1, 3 en 7. In elk van deze stappen raadpleegt u de sectie 'Notities voor AD FS 2.0' voor meer informatie over het gebruik van deze procedure in Windows Server 2008.

Handige notities voor de stappen in de video

Stap 1: Active Directory Federation Services installeren

Voeg AD FS toe met de wizard Rollen en Functies Toevoegen.

Opmerkingen voor AD FS 2.0

Als u Windows Server 2008 gebruikt, moet u AD FS 2.0 downloaden en installeren om met Microsoft 365 te kunnen werken. U kunt AD FS 2.0 verkrijgen via de volgende Website van het Microsoft Downloadcentrum:

Active Directory Federation Services 2.0 RTW

Na de installatie gebruikt u Windows Update om alle toepasselijke updates te downloaden en te installeren.

Stap 2: een certificaat aanvragen bij een externe CERTIFICERINGsinstantie voor de naam van de federatieserver

Microsoft 365 vereist een vertrouwd certificaat op uw AD FS-server. Daarom moet u een certificaat van een externe certificeringsinstantie (CA) verkrijgen.

Wanneer u de certificaataanvraag aanpast, moet u ervoor zorgen dat u de naam van de federatieserver toevoegt in het veld Algemene naam .

In deze video wordt alleen uitgelegd hoe u een aanvraag voor certificaatondertekening (CSR) genereert. U moet het CSR-bestand verzenden naar een externe CERTIFICERINGsinstantie. De CA retourneert een ondertekend certificaat aan u. Volg vervolgens deze stappen om het certificaat te importeren in het certificaatarchief van uw computer:

  1. Voer deze opdracht uit Certlm.msc om het certificaatarchief van de lokale computer te openen.
  2. Vouw persoonlijk uit in het navigatiedeelvenster, vouw Certificaat uit, klik met de rechtermuisknop op de map Certificaat en klik vervolgens op Importeren.

Over de naam van de federatieserver

De naam van de Federation-service is de internetgerichte domeinnaam van uw AD FS-server. De Microsoft 365-gebruiker wordt omgeleid naar dit domein voor verificatie. Zorg er daarom voor dat u een openbare A-record voor de domeinnaam toevoegt.

Stap 3: AD FS configureren

U kunt geen naam handmatig typen als de naam van de federatieserver. De naam wordt bepaald door de onderwerpnaam (algemene naam) van een certificaat in het certificaatarchief van de lokale computer.

Opmerkingen voor AD FS 2.0

In AD FS 2.0 wordt de naam van de federatieserver bepaald door het certificaat dat is gebonden aan "Standaardwebsite" in Internet Information Services (IIS). U moet het nieuwe certificaat binden aan de standaardwebsite voordat u AD FS configureert.

U kunt elk account gebruiken als serviceaccount. Als het wachtwoord van het serviceaccount is verlopen, werkt AD FS niet meer. Zorg er daarom voor dat het wachtwoord van het account zo is ingesteld dat het nooit verloopt.

Stap 4: Download Microsoft 365-tools

De Windows Azure Active Directory-module voor Windows PowerShell en het Azure Active Directory Sync-apparaat zijn beschikbaar in de Microsoft 365-portal. Als u de hulpprogramma's wilt ophalen, klikt u op Actieve gebruikers en vervolgens op Eenmalige aanmelding: Instellen.

Stap 5: Uw domein toevoegen aan Microsoft 365

In de video wordt niet uitgelegd hoe u uw domein toevoegt en verifieert aan Microsoft 365. Zie Uw domein verifiëren in Microsoft 365 voor meer informatie over deze procedure.

Stap 6: AD FS verbinden met Microsoft 365

Als u AD FS wilt verbinden met Microsoft 365, voert u de volgende opdrachten uit in de Windows Azure Directory-module voor Windows PowerShell.

Notitie Geef in de Set-MsolADFSContext opdracht de FQDN van de AD FS-server in uw interne domein op in plaats van de naam van de federatieserver.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>

Opmerking

Azure AD- en MSOnline PowerShell-modules zijn vanaf 30 maart 2024 afgeschaft. Lees de uitfaseringsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot migratieondersteuning voor Microsoft Graph PowerShell SDK en beveiligingsoplossingen. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

Het is raadzaam om te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: versies 1.0.x van MSOnline kunnen na 30 juni 2024 onderbrekingen ondervinden.

Als de opdrachten zijn uitgevoerd, ziet u het volgende:

  • Er wordt een Relying Party Trust van Microsoft 365 Identify Platform toegevoegd aan uw AD FS-server.
  • Gebruikers die de aangepaste domeinnaam als e-mailadresachtervoegsel gebruiken om u aan te melden bij de Microsoft 365-portal, worden omgeleid naar uw AD FS-server.

Stap 7: lokale Active Directory-gebruikersaccounts synchroniseren met Microsoft 365

Als uw interne domeinnaam verschilt van de externe domeinnaam die wordt gebruikt als e-mailadresachtervoegsel, moet u de externe domeinnaam toevoegen als alternatief UPN-achtervoegsel in het lokale Active Directory-domein. De interne domeinnaam is bijvoorbeeld 'company.local', maar de externe domeinnaam is 'company.com'. In deze situatie moet u 'company.com' toevoegen als alternatief UPN-achtervoegsel.

Synchroniseer de gebruikersaccounts met Microsoft 365 met behulp van het hulpprogramma directorysynchronisatie.

Opmerkingen voor AD FS 2.0

Als u AD FS 2.0 gebruikt, moet u de UPN van het gebruikersaccount wijzigen van company.local in 'company.com' voordat u het account synchroniseert met Microsoft 365. Anders wordt de gebruiker niet gevalideerd op de AD FS-server.

Stap 8: de clientcomputer configureren voor één Sign-On

Nadat u de naam van de federatieserver hebt toegevoegd aan de lokale intranetzone in Internet Explorer, wordt de NTLM-verificatie gebruikt wanneer gebruikers proberen te verifiëren op de AD FS-server. Daarom wordt ze niet gevraagd hun referenties in te voeren.

Beheerders kunnen groepsbeleidsinstellingen implementeren om één Sign-On-oplossing te configureren op clientcomputers die lid zijn van het domein.