Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Jedna wysokodostępna farma AD FS może federować wiele lasów, jeśli jest między nimi dwukierunkowe zaufanie. Te wiele lasów może lub nie odpowiada temu samemu identyfikatorowi Entra firmy Microsoft. Ten artykuł zawiera instrukcje dotyczące konfigurowania federacji między jednym wdrożeniem usług AD FS i wieloma wystąpieniami identyfikatora Entra firmy Microsoft.
Uwaga
W tym scenariuszu nie jest obsługiwane zapisywanie zwrotne urządzeń ani automatyczne dołączanie urządzeń.
Uwaga
Nie można użyć programu Microsoft Entra Connect do skonfigurowania federacji w tym scenariuszu, ponieważ program Microsoft Entra Connect może skonfigurować federację dla domen w jednym identyfikatorze entra firmy Microsoft.
Kroki federacji AD FS z wieloma identyfikatorami Microsoft Entra
Rozważ domenę contoso.com w usłudze Microsoft Entra. contoso.onmicrosoft.com jest już sfederowana z lokalnie zainstalowanymi usługami AD FS w środowisku Active Directory w contoso.com. Fabrikam.com jest domeną w Microsoft Entra ID o adresie fabrikam.onmicrosoft.com.
Krok 1. Ustanów dwukierunkową relację zaufania
Aby usługa AD FS w domenie contoso.com mogła uwierzytelniać użytkowników w domenie fabrikam.com, między domenami contoso.com i fabrikam.com musi istnieć dwukierunkowa relacja zaufania. Postępuj zgodnie z wytycznymi w tym artykule, aby ustanowić dwukierunkową relację zaufania.
Krok 2. Zmodyfikuj ustawienia federacji domeny contoso.com
Domyślny wystawca ustawiony dla pojedynczej domeny federacyjnej z usługami AD FS to "http://ADFSServiceFQDN/adfs/services/trust"", na przykład http://fs.contoso.com/adfs/services/trust. Microsoft Entra ID wymaga unikatowego wystawcy dla każdej domeny federacyjnej. Ponieważ usługi AD FS będą federować dwie domeny, wartość identyfikatora wystawcy musi zostać zmodyfikowana, aby była unikalna.
Uwaga
Moduły usług Azure AD i MSOnline programu PowerShell zostaną uznane za przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.
Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą napotkać zakłócenia po 30 czerwca 2024 r.
Na serwerze usług AD FS otwórz program Azure AD PowerShell (upewnij się, że moduł MSOnline jest zainstalowany) i wykonaj następujące czynności:
Połącz się z identyfikatorem Entra firmy Microsoft zawierającym domenę contoso.com.
Connect-MsolService
Zaktualizuj ustawienia federacji dla elementu contoso.com:
Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain
Wystawca w ustawieniach federacji domeny jest zmieniany na http://contoso.com/adfs/services/trust, a dla Zaufania Zależnego Uczestnika Microsoft Entra ID dodawana jest zasada wydawania roszczeń, aby na podstawie sufiksu UPN wydać poprawną wartość issuerId.
Krok 3. Sfederuj domenę fabrikam.com z usługą AD FS
W sesji programu PowerShell usługi Azure AD wykonaj następujące czynności: Połącz się z Microsoft Entra ID, który zawiera domenę fabrikam.com.
Connect-MsolService
Konwertuj domenę zarządzaną fabrikam.com na domenę federacyjną:
Convert-MsolDomainToFederated -DomainName fabrikam.com -Verbose -SupportMultipleDomain
Poprzednia operacja federuje domenę fabrikam.com z tym samym AD FS. Ustawienia domeny możesz sprawdzić za pomocą polecenia Get-MsolDomainFederationSettings dla obu domen.