Поделиться через


Настройка AD FS для Microsoft 365 для одного Sign-On

В этом видео показано, как настроить службу федерации Active Directory (AD FS) для совместной работы с Microsoft 365. Он не охватывает сценарий прокси-сервера AD FS. В этом видео рассматривается AD FS для Windows Server 2012 R2. Однако эта процедура также применяется к AD FS 2.0, за исключением шагов 1, 3 и 7. На каждом из этих шагов дополнительные сведения об использовании этой процедуры в Windows Server 2008 см. в разделе "Заметки для AD FS 2.0".

Полезные примечания к шагам в видео

Шаг 1. Установка служб федерации Active Directory

Добавление AD FS с помощью мастера добавления ролей и компонентов.

Заметки для AD FS 2.0

Если вы используете Windows Server 2008, необходимо скачать и установить AD FS 2.0, чтобы иметь возможность работать с Microsoft 365. Ad FS 2.0 можно получить на следующем веб-сайте Центра загрузки Майкрософт:

Службы федерации Active Directory 2.0 RTW

После установки используйте Центр обновления Windows, чтобы скачать и установить все применимые обновления.

Шаг 2. Запрос сертификата из стороннего ЦС для имени сервера федерации

Для Microsoft 365 требуется доверенный сертификат на сервере AD FS. Поэтому необходимо получить сертификат от стороннего центра сертификации (ЦС).

При настройке запроса на сертификат необходимо добавить имя сервера федерации в поле Общее имя .

В этом видео мы объясним только, как создать запрос на подпись сертификата (CSR). CsR-файл необходимо отправить в сторонний ЦС. ЦС возвращает подписанный сертификат. Затем выполните следующие действия, чтобы импортировать сертификат в хранилище сертификатов компьютера:

  1. Запустите Certlm.msc , чтобы открыть хранилище сертификатов локального компьютера.
  2. В области навигации разверните узел Личный, разверните узел Сертификат, щелкните правой кнопкой мыши папку Сертификат и выберите команду Импорт.

Сведения об имени сервера федерации

Имя службы федерации — это доменное имя сервера AD FS с выходом в Интернет. Пользователь Microsoft 365 перенаправляется в этот домен для проверки подлинности. Поэтому убедитесь, что вы добавили общедоступную запись A для доменного имени.

Шаг 3. Настройка AD FS

Вы не можете вручную ввести имя в качестве имени сервера федерации. Имя определяется именем субъекта (общее имя) сертификата в хранилище сертификатов локального компьютера.

Заметки для AD FS 2.0

В AD FS 2.0 имя сервера федерации определяется сертификатом, который привязывается к веб-сайту по умолчанию в службах IIS. Перед настройкой AD FS необходимо привязать новый сертификат к веб-сайту по умолчанию.

В качестве учетной записи службы можно использовать любую учетную запись. Если срок действия пароля учетной записи службы истек, AD FS перестает работать. Поэтому убедитесь, что срок действия пароля учетной записи не истекает.

Шаг 4. Скачивание средств Microsoft 365

Модуль Windows Azure Active Directory для Windows PowerShell и устройство синхронизации Azure Active Directory доступны на портале Microsoft 365. Чтобы получить средства, щелкните Активные пользователи, а затем выберите Единый вход: Настройка.

Шаг 5. Добавление домена в Microsoft 365

В видео не объясняется, как добавить и проверить домен в Microsoft 365. Дополнительные сведения об этой процедуре см . в разделе Проверка домена в Microsoft 365.

Шаг 6. Подключение AD FS к Microsoft 365

Чтобы подключить AD FS к Microsoft 365, выполните следующие команды в модуле каталогов Windows Azure для Windows PowerShell.

Заметка В команде Set-MsolADFSContext укажите полное доменное имя сервера AD FS во внутреннем домене, а не имя сервера федерации.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>

Примечание.

Модули PowerShell Azure AD и MSOnline устарели с 30 марта 2024 г. Дополнительные сведения см. в статье Обновление для прекращения поддержки. После этой даты поддержка этих модулей ограничивается поддержкой миграции пакета SDK Для Microsoft Graph PowerShell и исправлениями безопасности. Устаревшие модули будут работать до 30 марта 2025 г.

Мы рекомендуем выполнить миграцию в Microsoft Graph PowerShell , чтобы взаимодействовать с Идентификатором Microsoft Entra (прежнее название — Azure AD). Распространенные вопросы о миграции см. в разделе Вопросы и ответы о миграции. Заметка: В версиях 1.0.x MSOnline может возникнуть сбой после 30 июня 2024 г.

Если команды выполняются успешно, вы увидите следующее:

  • На сервер AD FS добавляется доверие проверяющей стороны "Microsoft 365 Identify Platform".
  • Пользователи, использующие имя личного домена в качестве суффикса адреса электронной почты для входа на портал Microsoft 365, перенаправляются на сервер AD FS.

Шаг 7. Синхронизация локальных учетных записей пользователей Active Directory с Microsoft 365

Если внутреннее доменное имя отличается от имени внешнего домена, используемого в качестве суффикса адреса электронной почты, необходимо добавить имя внешнего домена в качестве альтернативного суффикса имени участника-пользователя в локальном домене Active Directory. Например, внутреннее доменное имя — company.local, а внешнее доменное имя — company.com. В этом случае необходимо добавить "company.com" в качестве альтернативного суффикса имени участника-пользователя.

Синхронизируйте учетные записи пользователей с Microsoft 365 с помощью средства синхронизации каталогов.

Заметки для AD FS 2.0

Если вы используете AD FS 2.0, необходимо изменить имя участника-пользователя с "company.local" на "company.com", прежде чем синхронизировать учетную запись с Microsoft 365. В противном случае пользователь не проверяется на сервере AD FS.

Шаг 8. Настройка клиентского компьютера для одного Sign-On

После добавления имени сервера федерации в локальную зону интрасети в Internet Explorer проверка подлинности NTLM используется, когда пользователи пытаются пройти проверку подлинности на сервере AD FS. Поэтому им не предлагается ввести свои учетные данные.

Администраторы могут реализовать параметры групповой политики, чтобы настроить решение с одним Sign-On на клиентских компьютерах, присоединенных к домену.