針對單一 Sign-On 設定 Microsoft 365 的 AD FS

• 適用於:

  Microsoft 365

這段影片示範如何設定 Active Directory 同盟服務 (AD FS) 與 Microsoft 365 搭配使用。 它並未涵蓋AD FS Proxy 伺服器案例。 這段影片將討論適用於 Windows Server 2012 R2 的 AD FS。 不過，此程式也適用於AD FS 2.0，但步驟1、3和7除外。 In each of those steps, see the "Notes for AD FS 2.0" section for more information about how to use this procedure in Windows Server 2008.

影片中步驟的實用注意事項

步驟 1：安裝 Active Directory 同盟服務

使用 [新增角色和功能精靈] 新增 AD FS。

AD FS 2.0 的注意事項

如果您使用 Windows Server 2008，您必須下載並安裝 AD FS 2.0，才能使用 Microsoft 365。 您可以從下列 Microsoft 下載中心網站取得 AD FS 2.0：

Active Directory 同盟服務 2.0 RTW

安裝之後，請使用 Windows Update 下載並安裝所有適用的更新。

步驟 2：向第三方 CA 要求同盟伺服器名稱的憑證

Microsoft 365 需要 AD FS 伺服器上受信任的憑證。 因此，您必須從第三方證書頒發機構單位取得憑證 (CA) 。

當您自定義憑證要求時，請確定您在 [ 一般名稱] 字 段中新增同盟伺服器名稱。

在這段影片中，我們只會說明如何 (CSR) 產生憑證簽署要求。 您必須將 CSR 檔案傳送至第三方 CA。 CA 會傳回已簽署的憑證給您。 然後，遵循下列步驟將憑證匯入計算機證書存儲：

1. 執行 Certlm.msc 以開啟本機計算機的證書存儲。
2. 在瀏覽窗格中，展開 [ 個人]，展開 [ 憑證]，以滑鼠右鍵按兩下 [憑證] 資料夾，然後按兩下 [ 匯入]。

關於同盟伺服器名稱

同盟服務名稱是AD FS 伺服器的因特網對向功能變數名稱。 Microsoft 365 用戶會重新導向至此網域進行驗證。 因此，請務必為功能變數名稱新增公用 A 記錄。

步驟 3：設定 AD FS

您無法手動輸入名稱作為同盟伺服器名稱。 名稱是由本機計算機證書存儲中憑證的一般名稱) (主體名稱所決定。

AD FS 2.0 的注意事項

在 AD FS 2.0 中，同盟伺服器名稱取決於系結至 Internet Information Services (IIS) 中「預設網站」的憑證。 您必須先將新憑證系結至默認網站，才能設定AD FS。

您可以使用任何帳戶作為服務帳戶。 如果服務帳戶的密碼已過期，AD FS 就會停止運作。 因此，請確定帳戶的密碼設定為永不過期。

步驟 4：下載 Microsoft 365 工具

適用於 Windows PowerShell 和 Azure Active Directory 同步處理設備的 Windows Azure Active Directory 模組可在 Microsoft 365 入口網站中取得。 若要取得工具，請按兩下 [ 作用中使用者]，然後按兩下 [單一登錄：設定]。

步驟 5：將您的網域新增至 Microsoft 365

影片不會說明如何將您的網域新增至 Microsoft 365 並加以驗證。 如需該程式的詳細資訊，請 參閱在 Microsoft 365 中驗證您的網域。

步驟 6：將 AD FS 連線至 Microsoft 365

若要將 AD FS 連線到 Microsoft 365，請在適用於 Windows PowerShell 的 Windows Azure 目錄模組中執行下列命令。

注意 在命令中 Set-MsolADFSContext ，指定內部網域中 AD FS 伺服器的 FQDN，而不是同盟伺服器名稱。

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>

注意事項

自 2024 年 3 月 30 日起，Azure AD 和 MSOnline PowerShell 模組已被取代。 若要深入瞭解，請閱讀 淘汰更新。 在此日期之後，這些模組的支援僅限於 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 已淘汰的模組會繼續運作到 2025 年 3 月 30 日。

建議您移轉至 Microsoft Graph PowerShell，以與 Microsoft Entra ID (先前的 Azure AD) 互動。 如需常見的移轉問題，請參閱 移轉常見問題。 注意： 1.0.x 版的 MSOnline 可能會在 2024 年 6 月 30 日之後中斷。

如果命令執行成功，您應該會看到下列專案：

• 「Microsoft 365 識別平臺」信賴憑證者信任已新增至您的 AD FS 伺服器。
• 使用自定義功能變數名稱做為電子郵件地址後綴來登入 Microsoft 365 入口網站的使用者，會重新導向至您的 AD FS 伺服器。

步驟 7：將本機 Active Directory 用戶帳戶同步至 Microsoft 365

如果您的內部功能變數名稱與做為電子郵件地址後綴的外部功能變數名稱不同，您必須將外部功能變數名稱新增為本機 Active Directory 網域中的替代 UPN 後綴。 例如，內部功能變數名稱是 「company.local」。，但外部功能變數名稱是 「company.com」。在此情況下，您必須新增 「company.com」 作為替代 UPN 後綴。

使用目錄同步工具將用戶帳戶同步至 Microsoft 365。

AD FS 2.0 的注意事項

如果您使用 AD FS 2.0，則必須先將用戶帳戶的 UPN 從 “company.local” 變更為 “company.com”，才能將帳戶同步至 Microsoft 365。 否則，不會在 AD FS 伺服器上驗證使用者。

步驟 8：設定單一 Sign-On 的用戶端電腦

將同盟伺服器名稱新增至 Internet Explorer 中的本機內部網路區域之後，當用戶嘗試在 AD FS 伺服器上進行驗證時，就會使用 NTLM 驗證。 因此，系統不會提示他們輸入認證。

系統管理員可以實作 群組原則 設定，在已加入網域的用戶端計算機上設定單一 Sign-On 解決方案。