Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym filmie wideo pokazano, jak skonfigurować usługę federacyjną Active Directory (AD FS) do współpracy z platformą Microsoft 365. Nie obejmuje scenariusza serwera proxy usług AD FS. W tym filmie wideo omówiono usługi AD FS dla systemu Windows Server 2012 R2. Jednak procedura dotyczy również usług AD FS 2.0 — z wyjątkiem kroków 1, 3 i 7. W każdym z tych kroków zobacz sekcję "Uwagi dotyczące usług AD FS 2.0", aby uzyskać więcej informacji o sposobie korzystania z tej procedury w systemie Windows Server 2008.
Przydatne uwagi dotyczące kroków w filmie wideo
Krok 1. Instalowanie usług Active Directory Federation Services
Dodaj AD FS, korzystając z Kreatora dodawania ról i funkcji.
Uwagi dotyczące usług AD FS 2.0
Jeśli używasz systemu Windows Server 2008, musisz pobrać i zainstalować usługi AD FS 2.0, aby móc pracować z platformą Microsoft 365. Można pobrać AD FS 2.0 na stronie centrum pobierania Microsoft:
Active Directory Federation Services 2.0 RTW
Po zakończeniu instalacji użyj usługi Windows Update, aby pobrać i zainstalować wszystkie odpowiednie aktualizacje.
Krok 2. Żądaj certyfikatu z zewnętrznego urzędu certyfikacji dla nazwy serwera federacyjnego
Platforma Microsoft 365 wymaga zaufanego certyfikatu na serwerze usług AD FS. W związku z tym należy uzyskać certyfikat od zewnętrznego urzędu certyfikacji.
Podczas dostosowywania żądania certyfikatu upewnij się, że w polu Nazwa pospolita została dodana nazwa serwera federacyjnego.
W tym filmie wideo wyjaśniono tylko, jak wygenerować żądanie podpisania certyfikatu (CSR). Musisz wysłać plik CSR do centrum certyfikacji strony trzeciej. Urząd certyfikacji zwraca podpisany certyfikat tobie. Następnie wykonaj następujące kroki, aby zaimportować certyfikat do magazynu certyfikatów komputera:
- Uruchom polecenie
Certlm.msc, aby otworzyć magazyn certyfikatów komputera lokalnego. - W okienku nawigacji rozwiń węzeł Osobisty, rozwiń węzeł Certyfikaty, kliknij prawym przyciskiem myszy folder Certyfikaty, a następnie kliknij Importuj.
Informacje o nazwie serwera federacyjnego
Nazwa usługi federacyjnej to nazwa domeny dostępnej z Internetu serwera usług AD FS. Użytkownik platformy Microsoft 365 jest przekierowywany do tej domeny na potrzeby uwierzytelniania. W związku z tym upewnij się, że dodano publiczny rekord A dla nazwy domeny.
Krok 3. Konfigurowanie usług AD FS
Nie można ręcznie wpisać nazwy jako nazwy serwera federacyjnego. Nazwa jest określana przez nazwę podmiotu (Common name) certyfikatu w magazynie certyfikatów na komputerze lokalnym.
Uwagi dotyczące usług AD FS 2.0
W AD FS 2.0, nazwa serwera federacyjnego jest określana przez certyfikat, który wiąże się z "Domyślną witryną sieci Web" w Usługach informacyjnych Internetu (IIS). Przed skonfigurowaniem usług AD FS należy powiązać nowy certyfikat z domyślną witryną internetową.
Możesz użyć dowolnego konta jako konta usługi. Jeśli hasło konta usługi wygasło, usługi AD FS przestaną działać. W związku z tym upewnij się, że hasło konta jest ustawione tak, aby nigdy nie wygasało.
Krok 4. Pobieranie narzędzi platformy Microsoft 365
Moduł Windows Azure Active Directory dla programu Windows PowerShell i urządzenia synchronizacji usługi Azure Active Directory jest dostępny w portalu platformy Microsoft 365. Aby uzyskać narzędzia, kliknij pozycję Aktywni użytkownicy, a następnie kliknij pozycję Logowanie jednokrotne: Konfigurowanie.
Krok 5. Dodawanie domeny do platformy Microsoft 365
Wideo nie wyjaśnia, jak dodać i zweryfikować domenę na platformie Microsoft 365. Aby uzyskać więcej informacji na temat tej procedury, zobacz Weryfikowanie domeny na platformie Microsoft 365.
Krok 6. Łączenie usług AD FS z platformą Microsoft 365
Aby połączyć usługi AD FS z platformą Microsoft 365, uruchom następujące polecenia w module usługi Windows Azure Directory dla programu Windows PowerShell.
Uwaga W poleceniu Set-MsolADFSContext określ nazwę FQDN serwera usług AD FS w domenie wewnętrznej, w miejsce nazwy serwera federacyjnego.
Enable-PSRemoting
Connect-MsolService
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>
Uwaga / Notatka
Moduły Azure AD i MSOnline PowerShell będą wycofane z dniem 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację na temat wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.
Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: Wersje 1.0.x usługi MSOnline mogą napotkać zakłócenia po 30 czerwca 2024 r.
Jeśli polecenia są uruchamiane pomyślnie, powinny zostać wyświetlone następujące elementy:
- Zaufanie Relying Party "Platforma Tożsamości Microsoft 365" jest dodawane do serwera AD FS.
- Użytkownicy, którzy używają niestandardowej nazwy domeny jako sufiksu adresu e-mail, aby zalogować się do portalu platformy Microsoft 365, są przekierowywani do serwera usług AD FS.
Krok 7. Synchronizowanie lokalnych kont użytkowników usługi Active Directory z platformą Microsoft 365
Jeśli nazwa domeny wewnętrznej różni się od nazwy domeny zewnętrznej, która jest używana jako sufiks adresu e-mail, musisz dodać nazwę domeny zewnętrznej jako alternatywny sufiks nazwy UPN w lokalnej domenie usługi Active Directory. Na przykład wewnętrzna nazwa domeny to "company.local", ale nazwa domeny zewnętrznej to "company.com". W takiej sytuacji należy dodać "company.com" jako alternatywny sufiks nazwy UPN.
Zsynchronizuj konta użytkowników z platformą Microsoft 365 przy użyciu narzędzia synchronizacji katalogów.
Uwagi dotyczące usług AD FS 2.0
Jeśli używasz usług AD FS 2.0, musisz zmienić nazwę UPN konta użytkownika z "company.local" na "company.com" przed zsynchronizowanie konta z platformą Microsoft 365. W przeciwnym razie użytkownik nie jest weryfikowany na serwerze usług AD FS.
Krok 8: Skonfiguruj komputer kliencki na tryb Single Sign-On
Po dodaniu nazwy serwera federacyjnego do lokalnej strefy intranetowej w programie Internet Explorer uwierzytelnianie NTLM jest używane, gdy użytkownicy próbują uwierzytelnić się na serwerze usług AD FS. Dlatego nie są proszeni o wprowadzenie poświadczeń.
Administratorzy mogą zaimplementować ustawienia Zasad Grupy w celu skonfigurowania pojedynczego rozwiązania Sign-On na komputerach klienckich dołączonych do domeny.