Настройте AD FS для Microsoft 365 для Single Sign-On

В этом видео показано, как настроить службу федерации Active Directory (AD FS) для совместной работы с Microsoft 365. Он не охватывает сценарий прокси-сервера AD FS. В этом видео рассматривается AD FS для Windows Server 2012 R2. Однако процедура также применяется к AD FS 2.0, за исключением шагов 1, 3 и 7. На каждом из этих шагов см. раздел "Заметки для AD FS 2.0" для получения дополнительной информации о том, как использовать эту процедуру в Windows Server 2008.

Полезные заметки по шагам в видео

Шаг 1. Установите службы федерации Active Directory (ADFS)

Добавьте AD FS с помощью мастера добавления ролей и компонентов.

Заметки для AD FS 2.0

Если вы используете Windows Server 2008, необходимо скачать и установить AD FS 2.0, чтобы работать с Microsoft 365. Вы можете получить AD FS 2.0 на следующем веб-сайте Центра загрузки Майкрософт:

Службы федерации Active Directory 2.0 RTW

После установки используйте Центр обновления Windows для скачивания и установки всех применимых обновлений.

Шаг 2. Запрос сертификата из стороннего ЦС для имени сервера федерации

Для Microsoft 365 требуется доверенный сертификат на сервере AD FS. Поэтому необходимо получить сертификат от стороннего центра сертификации (ЦС).

При настройке запроса на сертификат необходимо добавить имя сервера федерации в поле "Общее имя ".

В этом видео мы объясним, как создать запрос на подпись сертификата (CSR). Необходимо отправить CSR-файл в сторонний УЦ. ЦС возвращает вам подписанный сертификат. Затем выполните следующие действия, чтобы импортировать сертификат в хранилище сертификатов компьютера:

1. Запустите Certlm.msc , чтобы открыть хранилище сертификатов локального компьютера.
2. В области навигации разверните Личное, разверните Сертификаты, щелкните правой кнопкой мыши по папке "Сертификаты", а затем нажмите Импорт.

Сведения о имени сервера федерации

Имя службы федерации — это доменное имя сервера AD FS, подключенного к Интернету. Пользователь Microsoft 365 перенаправляется в этот домен для проверки подлинности. Поэтому убедитесь, что вы добавите общедоступную запись A для доменного имени.

Шаг 3. Настройка AD FS

Вы не можете вручную ввести имя в качестве имени сервера федерации. Имя определяется именем субъекта (общим именем) сертификата в хранилище сертификатов локального компьютера.

Заметки для AD FS 2.0

В AD FS 2.0 имя сервера федерации определяется сертификатом, который привязывается к веб-сайту по умолчанию в службах IIS. Перед настройкой AD FS необходимо привязать новый сертификат к веб-сайту по умолчанию.

Вы можете использовать любую учетную запись в качестве учетной записи службы. Если срок действия пароля учетной записи службы истек, AD FS перестает работать. Поэтому убедитесь, что пароль учетной записи не истекает.

Шаг 4. Скачивание средств Microsoft 365

Модуль Windows Azure Active Directory для Windows PowerShell и устройства синхронизации Azure Active Directory доступны на портале Microsoft 365. Чтобы получить инструменты, щелкните Активные пользователи, а затем нажмите Единый вход: Настройка.

Шаг 5. Добавление домена в Microsoft 365

Видео не объясняет, как добавить и проверить домен в Microsoft 365. Дополнительные сведения об этой процедуре см. в статье "Проверка домена" в Microsoft 365.

Шаг 6. Подключение AD FS к Microsoft 365

Чтобы подключить AD FS к Microsoft 365, выполните следующие команды в модуле Windows Azure Directory для Windows PowerShell.

Заметка В команде укажите полное доменное Set-MsolADFSContext имя сервера AD FS в внутреннем домене вместо имени сервера федерации.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>

Замечание

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Чтобы узнать больше, прочитайте обновлённую информацию о прекращении поддержки. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Мы рекомендуем перейти на Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание: Возможны перебои в работе версий 1.0.x MSOnline после 30 июня 2024 г.

Если команды выполняются успешно, вы увидите следующее:

• На ваш сервер AD FS добавляется доверительная связь «Microsoft 365 Identify Platform».
• Пользователи, использующие имя личного домена в качестве суффикса электронной почты для входа на портал Microsoft 365, перенаправляются на сервер AD FS.

Шаг 7. Синхронизация локальных учетных записей пользователей Active Directory с Microsoft 365

Если внутреннее доменное имя отличается от имени внешнего домена, используемого в качестве суффикса адреса электронной почты, необходимо добавить внешнее доменное имя в качестве альтернативного суффикса имени участника-пользователя в локальном домене Active Directory. Например, внутреннее доменное имя — "company.local", но внешнее доменное имя — "company.com". В этой ситуации необходимо добавить "company.com" в качестве альтернативного UPN суффикса.

Синхронизация учетных записей пользователей с Microsoft 365 с помощью средства синхронизации каталогов.

Заметки для AD FS 2.0

Если вы используете AD FS 2.0, перед синхронизацией учетной записи пользователя с Microsoft 365 необходимо изменить UPN пользователя с "company.local" на "company.com". В противном случае пользователь не проверяется на сервере AD FS.

Шаг 8. Настройка клиентского компьютера для одиночного Sign-On

После добавления имени сервера федерации в локальную зону интрасети в Internet Explorer проверка подлинности NTLM используется, когда пользователи пытаются выполнить проверку подлинности на сервере AD FS. Поэтому им не предлагается ввести свои учетные данные.

Администраторы могут реализовать параметры групповой политики для настройки единого решения Sign-On на клиентских компьютерах, присоединенных к домену.