Implementera och hantera federation

  • 1 minut

Federationen kan använda en ny eller befintlig lokal Active Directory servergrupp i Windows Server 2012 R2 (eller senare) och Microsoft Entra Anslut göra det möjligt för användare att logga in på Microsoft Entra-resurser med sitt lokala lösenord.

Diagram of federation between on-premises and Microsoft Entra ID. Shows users able log into both on-premises and cloud resources with a single shared login.

Federation är en samling av domäner som har upprättat förtroende. Förtroendenivån varierar, men omfattar vanligtvis autentisering och omfattar nästan alltid auktorisering. En typisk federation kan innehålla ett antal organisationer som har upprättat förtroende för delad åtkomst till en uppsättning resurser.

Du kan federera din lokala miljö med Microsoft Entra-ID och använda den här federationen för autentisering och auktorisering. Med en här inloggningsmetoden sker all användarautentisering lokalt. Med den här metoden kan administratörer implementera mer rigorösa nivåer av åtkomstkontroll. Federation med AD FS och PingFederate är tillgänglig.

Med federerad inloggning kan användarna logga in på Microsoft Entra-baserade tjänster med sina lokala lösenord. När de är i företagsnätverket behöver de inte ens ange sina lösenord. Genom att använda federationsalternativet med AD FS kan du distribuera en ny eller befintlig servergrupp med AD FS i Windows Server 2012 R2 eller senare. Om du väljer att ange en befintlig servergrupp konfigurerar Microsoft Entra Anslut förtroendet mellan din servergrupp och Microsoft Entra-ID så att användarna kan logga in.

Krav på att distribuera federation med AD FS och Microsoft Entra Anslut

När du distribuerar till en AD FS-servergrupp behöver du:

  • Autentiseringsuppgifter för lokal administratör på federationsservrarna.
  • Autentiseringsuppgifter för lokal administratör på arbetsgruppsservrar (inte domänanslutna) som du tänker distribuera webb-Programproxy roll på.
  • Den dator som du kör guiden på för att kunna ansluta till andra datorer som du vill installera AD FS eller Web Programproxy på med hjälp av Windows Remote Management.

Konfigurera din federation med Microsoft Entra Anslut för att ansluta till en AD FS-servergrupp

Screenshot of Microsoft Entra Connect application showing the create and connect to an AD FS farm dialog.

Ange AD FS-servrar Ange de servrar där du vill installera AD FS. Du kan lägga till en eller flera servrar, beroende på dina kapacitetsbehov. Innan du konfigurerar den här konfigurationen ansluter du alla AD FS-servrar till Active Directory. Det här steget krävs inte för webbservrarna Programproxy. Microsoft rekommenderar att du installerar en enskild AD FS-server för test- och pilotdistributioner. Efter den inledande konfigurationen kan du lägga till och distribuera fler servrar för att uppfylla dina skalningsbehov genom att köra Microsoft Entra Anslut igen.

Ange webbservrarna Programproxy Ange dina webbservrar Programproxy. Webbservern Programproxy distribueras i perimeternätverket, mot extranätet. Den stöder autentiseringsbegäranden från extranätet. Du kan lägga till en eller flera servrar, beroende på dina kapacitetsbehov. Efter den inledande konfigurationen kan du lägga till och distribuera fler servrar för att uppfylla dina skalningsbehov genom att köra Microsoft Entra Anslut igen.

Ange tjänstkontot för AD FS-tjänsten AD FS-tjänsten kräver ett domäntjänstkonto för att autentisera användare och söka efter användarinformation i Active Directory. Två typer av tjänstkonton stöds:

  • Grupphanterat tjänstkonto
  • Domänanvändarkonto

Välj den Microsoft Entra-domän som du vill federera Använd domänsidan Microsoft Entra för att konfigurera federationsrelationen mellan AD FS och Microsoft Entra-ID. Här konfigurerar du AD FS för att tillhandahålla säkerhetstoken till Microsoft Entra-ID. Du konfigurerar också Microsoft Entra-ID för att lita på token från den här AD FS-instansen. På den här sidan kan du bara konfigurera en enda domän i den första installationen. Du kan konfigurera fler domäner senare genom att köra Microsoft Entra Anslut igen.

Microsoft Entra Anslut verktyg för att hantera din federation

Du kan utföra olika AD FS-relaterade uppgifter i Microsoft Entra Anslut med minimal användarintervention med hjälp av guiden Microsoft Entra Anslut. Även när du har installerat Microsoft Entra Anslut genom att köra guiden kan du köra guiden igen för att utföra andra uppgifter. Du kan till exempel använda guiden för att reparera förtroendet med Microsoft 365, federera med Microsoft Entra-ID med hjälp av alternativt inloggnings-ID och lägga till en AD FS Web Programproxy-server (WAP).

Reparera förtroendet Du kan använda Microsoft Entra Anslut för att kontrollera det aktuella hälsotillståndet för AD FS- och Microsoft Entra-ID-förtroendet och vidta lämpliga åtgärder för att reparera förtroendet.

Federera med Microsoft Entra-ID med Hjälp av AlternateID Det rekommenderas att det lokala användarens huvudnamn (UPN) och molnets användarhuvudnamn behålls på samma sätt. Om det lokala UPN:t använder en icke-dirigerbar domän (t.ex. Contoso.local) eller inte kan ändras på grund av lokala programberoenden rekommenderar vi att du konfigurerar alternativt inloggnings-ID. Med alternativt inloggnings-ID kan du konfigurera en inloggningsupplevelse där användare kan logga in med ett annat attribut än deras UPN, till exempel e-post. Valet för Användarens huvudnamn i Microsoft Entra-ID Anslut standardvärdet för attributet userPrincipalName i Active Directory. Om du väljer något annat attribut för användarens huvudnamn och federerar med AD FS konfigurerar Microsoft Entra Anslut AD FS för alternativt inloggnings-ID.

Lägg till en federerad domän Det är enkelt att lägga till en domän som ska federeras med Microsoft Entra-ID med hjälp av Microsoft Entra Anslut. Microsoft Entra Anslut lägger till domänen för federation och ändrar anspråksreglerna för att korrekt återspegla utfärdaren när du har flera domäner federerade med Microsoft Entra-ID.

Tillsammans med Add och AD FS Server och Add an AD FS Web Programproxy server.

Tillbakaskrivning av enheter

Tillbakaskrivning av enhet används för att aktivera enhetsbaserad villkorlig åtkomst för ADFS-skyddade enheter. Den här villkorliga åtkomsten ger extra säkerhet och försäkran om att åtkomst till program endast beviljas till betrodda enheter. Tillbakaskrivning av enheter möjliggör den här säkerheten genom att synkronisera alla enheter som är registrerade i Azure tillbaka till lokal Active Directory. När du konfigurerar under installationen utförs följande åtgärder för att förbereda AD-skogen:

  • Om de inte redan finns skapar och konfigurerar du nya containrar och objekt under: CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest dn ].
  • Om de inte redan finns skapar och konfigurerar du nya containrar och objekt under: CN=RegisteredDevices,[domain-dn]. Enhetsobjekt skapas i den här containern.
  • Ange nödvändiga behörigheter för Microsoft Entra Anslut eller-kontot för att hantera enheter i Active Directory.