Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este vídeo mostra como configurar o AD FS (Serviço de Federação do Active Directory) para trabalhar em conjunto com o Microsoft 365. Ele não abrange o cenário do servidor proxy do AD FS. Este vídeo discute o AD FS para Windows Server 2012 R2. No entanto, o procedimento também se aplica ao AD FS 2.0 , exceto para as etapas 1, 3 e 7. Em cada uma dessas etapas, consulte a seção "Anotações do AD FS 2.0" para obter mais informações sobre como usar esse procedimento no Windows Server 2008.
Notas úteis para as etapas no vídeo
Etapa 1: Instalar os Serviços de Federação do Active Directory
Adicione o AD FS usando o Assistente para Adicionar Funções e Recursos.
Anotações do AD FS 2.0
Se você estiver usando o Windows Server 2008, deverá baixar e instalar o AD FS 2.0 para poder trabalhar com o Microsoft 365. Você pode obter o AD FS 2.0 no seguinte site do Centro de Download da Microsoft:
Serviços de Federação do Active Directory 2.0 RTW
Após a instalação, use o Windows Update para baixar e instalar todas as atualizações aplicáveis.
Etapa 2: Solicitar um certificado de uma Autoridade Certificadora de terceiros para o nome do Servidor de Federação
O Microsoft 365 requer um certificado confiável no servidor do AD FS. Portanto, você deve obter um certificado de uma autoridade de certificação (AC) de terceiros.
Ao personalizar a solicitação de certificado, certifique-se de adicionar o nome do servidor federação no campo Nome Comum .
Neste vídeo, explicamos apenas como gerar uma CSR (solicitação de assinatura de certificado). Você deve enviar o arquivo CSR para uma AC de terceiros. A AC retorna um certificado assinado para você. Em seguida, siga estas etapas para importar o certificado para o repositório de certificados do computador:
- Execute
Certlm.mscpara abrir o repositório de certificados do computador local. - No painel de navegação, Expanda Pessoal, expanda Certificado, clique com o botão direito do mouse na pasta Certificado e clique em Importar.
Sobre o nome do servidor de federação
O nome do Serviço de Federação é o nome de domínio voltado para a Internet do servidor do AD FS. O usuário do Microsoft 365 é redirecionado para esse domínio para autenticação. Portanto, certifique-se de adicionar um registro A público para o nome de domínio.
Etapa 3: Configurar o AD FS
Você não pode digitar manualmente um nome como o nome do servidor de federação. O nome é determinado pelo nome do sujeito (nome comum) de um certificado no repositório de certificados do computador local.
Anotações do AD FS 2.0
No AD FS 2.0, o nome do servidor de federação é determinado pelo certificado associado ao "Site Padrão" nos Serviços de Informações da Internet (IIS). Você deve associar o novo certificado ao site padrão antes de configurar o AD FS.
Você pode usar qualquer conta como a conta de serviço. Se a senha da conta de serviço tiver expirado, o AD FS deixará de funcionar. Portanto, verifique se a senha da conta está definida para nunca expirar.
Etapa 4: Baixar ferramentas do Microsoft 365
O módulo do Windows Azure Active Directory para Windows PowerShell e o dispositivo de Sincronização do Azure Active Directory estão disponíveis no portal do Microsoft 365. Para obter as ferramentas, clique em Usuários Ativos e clique em Logon único: Configurar.
Etapa 5: Adicionar seu domínio ao Microsoft 365
O vídeo não explica como adicionar e verificar seu domínio ao Microsoft 365. Para obter mais informações sobre esse procedimento, consulte Verificar seu domínio no Microsoft 365.
Etapa 6: Conectar o AD FS ao Microsoft 365
Para conectar o AD FS ao Microsoft 365, execute os seguintes comandos no Módulo do Diretório do Windows Azure para Windows PowerShell.
NotaSet-MsolADFSContext No comando, especifique o FQDN do servidor AD FS em seu domínio interno em vez do nome do servidor de federação.
Enable-PSRemoting
Connect-MsolService
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>
Observação
Os módulos do Azure AD e do MSOnline PowerShell são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização sobre a reprovação. Após essa data, o suporte a esses módulos se limitará à assistência à migração para o SDK do Microsoft Graph PowerShell e às correções de segurança. Os módulos preteridos continuarão funcionando até março de 30 de 2025.
Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas Frequentes sobre Migração. Observação: As versões 1.0.x do MSOnline poderão sofrer interrupções após 30 de junho de 2024.
Se os comandos forem executados com êxito, você deverá ver o seguinte:
- Uma confiança de terceira parte confiável da "Plataforma de Identificação do Microsoft 365" é adicionada ao servidor do AD FS.
- Os usuários que usam o nome de domínio personalizado como sufixo de endereço de email para fazer logon no portal do Microsoft 365 são redirecionados para o servidor do AD FS.
Etapa 7: Sincronizar contas de usuário locais do Active Directory com o Microsoft 365
Se o nome de domínio interno for diferente do nome de domínio externo usado como sufixo de endereço de email, você precisará adicionar o nome de domínio externo como um sufixo UPN alternativo no domínio local do Active Directory. Por exemplo, o nome de domínio interno é "company.local", mas o nome de domínio externo é "company.com". Nessa situação, você precisa adicionar "company.com" como um sufixo UPN alternativo.
Sincronize as contas de usuário com o Microsoft 365 usando a Ferramenta de Sincronização de Diretório.
Anotações do AD FS 2.0
Se você estiver usando o AD FS 2.0, deverá alterar o UPN da conta de usuário de "company.local" para "company.com" antes de sincronizar a conta com o Microsoft 365. Caso contrário, o usuário não será validado no servidor do AD FS.
Etapa 8: Configurar o computador cliente para o modo Sign-On único
Depois de adicionar o nome do servidor federação à zona da Intranet local no Internet Explorer, a autenticação NTLM é usada quando os usuários tentam se autenticar no servidor do AD FS. Portanto, eles não são solicitados a inserir suas credenciais.
Os administradores podem implementar as configurações da Política de Grupo para definir uma solução Sign-On única em computadores cliente ingressados no domínio.