將多個 Microsoft Entra ID 執行個體和單一 AD FS 執行個體建立同盟
如果樹系之間有雙向信任,單一高可用 AD FS 伺服器陣列就可以聯合多個樹系。 這些樹系可能會也可能不會對應到相同的 Microsoft Entra ID。 本文提供如何在單一 AD FS 部署和多個 Microsoft Entra ID 執行個體之間設定同盟的指示。
注意
在此案例中不支援裝置回寫和自動加入裝置。
注意
Microsoft Entra Connect 無法用來設定此案例中的同盟關係,因為 Microsoft Entra Connect 可以在單一 Microsoft Entra ID 中設定網域的同盟關係。
將 AD FS 和多個 Microsoft Entra ID 建立同盟的步驟
請將 Microsoft Entra contoso.onmicrosoft.com 中的網域 contoso.com 已經與 contoso.com 內部部署 Active Directory 環境中安裝的 AD FS 內部部署建立同盟這點列入考慮。 Fabrikam.com 是 fabrikam.onmicrosoft.com Microsoft Entra ID 中的網域。
步驟 1︰建立雙向信任
若要 contoso.com 中的 AD FS 能夠驗證 fabrikam.com 中的使用者,需要 contoso.com 和 fabrikam.com 之間的雙向信任。 請依照本文章的指導方針建立雙向信任。
步驟 2︰修改 contoso.com 同盟設定
與 AD FS 建立同盟的單一網域的預設簽發者為 "http://ADFSServiceFQDN/adfs/services/trust"",例如 http://fs.contoso.com/adfs/services/trust。 Microsoft Entra ID 要求每個同盟網域都需要擁有唯一簽發者。 由於 AD FS 會將兩個網域同盟,因此必須修改簽發者值,使其成為唯一值。
注意
自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被淘汰。 若要深入了解,請閱讀淘汰更新。 在此日期之後,對這些模組的支援僅限於對 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 淘汰的模組將繼續運作至 2025 年 3 月 30 日。
我們建議移轉至 Microsoft Graph PowerShell 以與 Microsoft Entra ID (以前稱為 Azure AD) 互動。 如需了解常見的移轉問題,請參閱移轉常見問題。 注意:MSOnline 1.0.x 版可能會在 2024 年 6 月 30 日之後發生中斷。
在 AD FS 伺服器上,開啟 Azure AD PowerShell (請確定您已安裝 MSOnline 模組) 並執行下列步驟︰
連接到包含網域 contoso.com 的 Microsoft Entra ID。
Connect-MsolService
更新 contoso.com 的同盟設定:
Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain
在網域同盟設定中的簽發者會變更為 http://contoso.com/adfs/services/trust,並會針對 Microsoft Entra ID 信賴憑證者信任新增發行宣告規則,以根據 UPN 尾碼發出正確的 issuerId 值。
步驟 3︰建立 fabrikam.com 與 AD FS 的同盟
在 Azure AD PowerShell 工作階段中執行下列步驟︰連線至包含網域 fabrikam.com 的 Microsoft Entra ID
Connect-MsolService
將 fabrikam.com 受控網域轉換為同盟︰
Convert-MsolDomainToFederated -DomainName fabrikam.com -Verbose -SupportMultipleDomain
上述作業會建立網域 fabrikam.com 與相同 AD FS 的同盟。 您可以使用兩個網域的 Get-msoldomainfederationsettings 確認網域設定。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應