Federuj wiele wystąpień identyfikatora entra firmy Microsoft z pojedynczym wystąpieniem usług AD FS
Pojedyncza farma usługi AD FS o wysokiej dostępności może federować wiele lasów, jeśli istnieje między nimi dwukierunkowa relacja zaufania. Te wiele lasów może lub nie odpowiada temu samemu identyfikatorowi Entra firmy Microsoft. Ten artykuł zawiera instrukcje dotyczące konfigurowania federacji między jednym wdrożeniem usług AD FS i wieloma wystąpieniami identyfikatora Entra firmy Microsoft.
Uwaga
W tym scenariuszu nie jest obsługiwane zapisywanie zwrotne urządzeń ani automatyczne dołączanie urządzeń.
Uwaga
Microsoft Entra Połączenie nie może służyć do konfigurowania federacji w tym scenariuszu, ponieważ firma Microsoft Entra Połączenie może skonfigurować federację dla domen w jednym identyfikatorze Entra firmy Microsoft.
Procedura federowania usług AD FS z wieloma identyfikatorami entra firmy Microsoft
Rozważ contoso.com domeny w usłudze Microsoft Entra contoso.onmicrosoft.com jest już sfederowana z lokalnymi usługami AD FS zainstalowanymi w środowisku contoso.com lokalna usługa Active Directory. Fabrikam.com jest domeną w fabrikam.onmicrosoft.com Identyfikator entra firmy Microsoft.
Krok 1. Ustanów dwukierunkową relację zaufania
Aby usługa AD FS w domenie contoso.com mogła uwierzytelniać użytkowników w domenie fabrikam.com, między domenami contoso.com i fabrikam.com musi istnieć dwukierunkowa relacja zaufania. Postępuj zgodnie z wytycznymi w tym artykule, aby ustanowić dwukierunkową relację zaufania.
Krok 2. Zmodyfikuj ustawienia federacji domeny contoso.com
Domyślny wystawca ustawiony dla pojedynczej domeny federacyjnej z usługami AD FS to "http://ADFSServiceFQDN/adfs/services/trust", na przykład http://fs.contoso.com/adfs/services/trust. Identyfikator entra firmy Microsoft wymaga unikatowego wystawcy dla każdej domeny federacyjnej. Ponieważ usługi AD FS będą federować dwie domeny, wartość wystawcy musi zostać zmodyfikowana tak, aby była unikatowa.
Uwaga
Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.
Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.
Na serwerze usług AD FS otwórz program Azure AD PowerShell (upewnij się, że moduł MSOnline jest zainstalowany) i wykonaj następujące czynności:
Połączenie do identyfikatora Entra firmy Microsoft zawierającego domenę contoso.com Połączenie-MsolService zaktualizuj ustawienia federacji dla contoso.com Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain
Wystawca w ustawieniu federacji domeny zostanie zmieniony na "http://contoso.com/adfs/services/trust" a reguła oświadczenia wystawiania zostanie dodana dla zaufania jednostki uzależnionej identyfikatora firmy Microsoft w celu wystawienia poprawnej wartości issuerId na podstawie sufiksu nazwy UPN.
Krok 3. Sfederuj domenę fabrikam.com z usługą AD FS
W sesji programu PowerShell usługi Azure AD wykonaj następujące kroki: Połączenie do identyfikatora Entra firmy Microsoft zawierającego fabrikam.com domeny
Connect-MsolService
Konwertuj domenę zarządzaną fabrikam.com na domenę federacyjną:
Convert-MsolDomainToFederated -DomainName fabrikam.com -Verbose -SupportMultipleDomain
Powyższa operacja spowoduje sfederowanie domeny fabrikam.com z tą samą usługą AD FS. Ustawienia domeny możesz sprawdzić za pomocą polecenia Get-MsolDomainFederationSettings dla obu domen.