为单 Sign-On 设置 Microsoft 365 的 AD FS
此视频演示如何将 Active Directory 联合身份验证服务 (AD FS) 设置为与 Microsoft 365 协同工作。 它不涵盖 AD FS 代理服务器方案。 此视频介绍适用于 Windows Server 2012 R2 的 AD FS。 但是,此过程也适用于 AD FS 2.0 - 步骤 1、3 和 7 除外。 在上述每个步骤中,请参阅“AD FS 2.0 说明”部分,详细了解如何在 Windows Server 2008 中使用此过程。
视频中步骤的有用说明
步骤 1:安装 Active Directory 联合身份验证服务
使用“添加角色和功能向导”添加 AD FS。
AD FS 2.0 说明
如果你使用的是 Windows Server 2008,则必须下载并安装 AD FS 2.0 才能使用 Microsoft 365。 可以从以下Microsoft下载中心网站获取 AD FS 2.0:
Active Directory 联合身份验证服务 2.0 RTW
安装后,使用 Windows 更新下载并安装所有适用的更新。
步骤 2:从第三方 CA 请求联合服务器名称的证书
Microsoft 365 需要 AD FS 服务器上的受信任证书。 因此,必须从第三方证书颁发机构获取证书, (CA) 。
自定义证书请求时,请确保在 “公用名 ”字段中添加联合服务器名称。
在本视频中,我们仅说明如何 (CSR) 生成证书签名请求。 必须将 CSR 文件发送到第三方 CA。 CA 会返回已签名的证书。 然后,按照以下步骤将证书导入计算机证书存储:
- 运行
Certlm.msc以打开本地计算机的证书存储。 - 在导航窗格中,展开“ 个人”,展开“ 证书”,右键单击“证书”文件夹,然后单击“ 导入”。
关于联合服务器名称
联合身份验证服务名称是 AD FS 服务器的面向 Internet 的域名。 Microsoft 365 用户重定向到此域进行身份验证。 因此,请确保为域名添加公共 A 记录。
步骤 3:配置 AD FS
不能手动键入名称作为联合服务器名称。 该名称由本地计算机证书存储中证书的使用者名称 (公用名) 确定。
AD FS 2.0 说明
在 AD FS 2.0 中,联合服务器名称由绑定到 Internet Information Services (IIS) 中的“默认网站”的证书确定。 在配置 AD FS 之前,必须将新证书绑定到默认网站。
可以使用任何帐户作为服务帐户。 如果服务帐户的密码已过期,AD FS 将停止工作。 因此,请确保帐户的密码设置为永不过期。
步骤 4:下载Microsoft 365 工具
Microsoft 365 门户中提供了适用于 Windows PowerShell 和 Azure Active Directory 同步设备的 Windows Azure Active Directory 模块。 若要获取这些工具,请单击“ 活动用户”,然后单击“ 单一登录:设置”。
步骤 5:将域添加到 Microsoft 365
该视频没有说明如何将域添加到 Microsoft 365 并对其进行验证。 有关该过程的详细信息,请参阅 在 Microsoft 365 中验证域。
步骤 6:将 AD FS 连接到 Microsoft 365
若要将 AD FS 连接到 Microsoft 365,请在适用于 Windows PowerShell 的 Windows Azure 目录模块中运行以下命令。
注意Set-MsolADFSContext在 命令中,指定内部域中 AD FS 服务器的 FQDN,而不是联合服务器名称。
Enable-PSRemoting
Connect-MsolService
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>
注意
自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模块已弃用。 若要了解详细信息,请阅读 弃用更新。 在此日期之后,对这些模块的支持仅限于Microsoft Graph PowerShell SDK 和安全修补程序的迁移帮助。 弃用的模块将继续运行到 2025 年 3 月 30 日。
建议迁移到 Microsoft Graph PowerShell ,以Microsoft Entra ID (以前的 Azure AD) 进行交互。 有关常见的迁移问题,请参阅 迁移常见问题解答。 注意: MSOnline 1.0.x 版可能会在 2024 年 6 月 30 日之后遇到中断。
如果命令成功运行,应会看到以下内容:
- “Microsoft 365 标识平台”信赖方信任将添加到 AD FS 服务器。
- 使用自定义域名作为电子邮件地址后缀登录到 Microsoft 365 门户的用户将重定向到 AD FS 服务器。
步骤 7:将本地 Active Directory 用户帐户同步到 Microsoft 365
如果内部域名不同于用作电子邮件地址后缀的外部域名,则必须在本地 Active Directory 域中添加外部域名作为备用 UPN 后缀。 例如,内部域名为“company.local”,但外部域名为“company.com”。在这种情况下,必须添加“company.com”作为备用 UPN 后缀。
使用目录同步工具将用户帐户同步到 Microsoft 365。
AD FS 2.0 说明
如果使用 AD FS 2.0,则必须将用户帐户的 UPN 从“company.local”更改为“company.com”,然后才能将帐户同步到 Microsoft 365。 否则,不会在 AD FS 服务器上验证用户。
步骤 8:为单一 Sign-On 配置客户端计算机
将联合服务器名称添加到 Internet Explorer 中的本地 Intranet 区域后,当用户尝试在 AD FS 服务器上进行身份验证时,将使用 NTLM 身份验证。 因此,系统不会提示他们输入其凭据。
管理员可以实现组策略设置,以在加入域的客户端计算机上配置单 Sign-On 解决方案。