Nastavení služby AD FS pro Microsoft 365 pro jednu Sign-On

  • Článek
  • Platí pro:
    Microsoft 365

Toto video ukazuje, jak nastavit službu AD FS (Active Directory Federation Service) pro spolupráci s Microsoftem 365. Nepokrývá scénář proxy serveru služby AD FS. Toto video popisuje službu AD FS pro Windows Server 2012 R2. Tento postup se ale vztahuje také na službu AD FS 2.0 – s výjimkou kroků 1, 3 a 7. Další informace o použití tohoto postupu v systému Windows Server 2008 najdete v části Poznámky pro službu AD FS 2.0.

Užitečné poznámky k krokům ve videu

Krok 1: Instalace Active Directory Federation Services (AD FS)

Přidejte službu AD FS pomocí Průvodce přidáním rolí a funkcí.

Poznámky ke službě AD FS 2.0

Pokud používáte Windows Server 2008, musíte stáhnout a nainstalovat službu AD FS 2.0, abyste mohli pracovat s Microsoftem 365. Službu AD FS 2.0 můžete získat z následujícího webu služby Stažení softwaru:

Active Directory Federation Services (AD FS) 2.0 RTW

Po instalaci pomocí služba Windows Update stáhněte a nainstalujte všechny příslušné aktualizace.

Krok 2: Vyžádání certifikátu od certifikační autority třetí strany pro název federačního serveru

Microsoft 365 vyžaduje důvěryhodný certifikát na serveru AD FS. Proto musíte získat certifikát od certifikační autority (CA) třetí strany.

Při přizpůsobení žádosti o certifikát nezapomeňte do pole Běžný název přidat název federačního serveru.

V tomto videu vysvětlíme pouze to, jak vygenerovat žádost o podepsání certifikátu (CSR). Soubor CSR musíte odeslat certifikační autoritě třetí strany. Certifikační autorita vám vrátí podepsaný certifikát. Potom pomocí těchto kroků importujte certifikát do úložiště certifikátů počítače:

  1. Spuštěním příkazu Certlm.msc otevřete úložiště certifikátů místního počítače.
  2. V navigačním podokně rozbalte položku Osobní, rozbalte položku Certifikát, klikněte pravým tlačítkem na složku Certificate a potom klikněte na Importovat.

Název federačního serveru

Název federační služby je internetový název domény vašeho serveru AD FS. Uživatel Microsoftu 365 je přesměrován k ověření do této domény. Proto se ujistěte, že jste pro název domény přidali veřejný záznam A.

Krok 3: Konfigurace služby AD FS

Jako název federačního serveru nemůžete ručně zadat název. Název je určen názvem subjektu (běžný název) certifikátu v úložišti certifikátů místního počítače.

Poznámky ke službě AD FS 2.0

Ve službě AD FS 2.0 je název federačního serveru určen certifikátem, který je vázán na výchozí web v Internetové informační službě (IIS). Před konfigurací služby AD FS je nutné vytvořit vazbu nového certifikátu na výchozí web.

Jako účet služby můžete použít libovolný účet. Pokud vypršela platnost hesla účtu služby, služba AD FS přestane fungovat. Proto se ujistěte, že heslo účtu je nastavené tak, aby nikdy nevyprší platnost.

Krok 4: Stažení nástrojů Microsoft 365

Modul Windows Azure Active Directory pro Windows PowerShell a zařízení Azure Active Directory Sync jsou k dispozici na portálu Microsoft 365. Pokud chcete získat nástroje, klikněte na Aktivní uživatelé a potom klikněte na Jednotné přihlašování: Nastavit.

Krok 5: Přidání domény do Microsoftu 365

Video nevysvětluje, jak přidat a ověřit doménu do Microsoftu 365. Další informace o tomto postupu najdete v tématu Ověření domény v Microsoftu 365.

Krok 6: Připojení SLUŽBY AD FS k Microsoftu 365

Pokud chcete službu AD FS připojit k Microsoftu 365, spusťte následující příkazy v modulu Windows Azure Directory pro Windows PowerShell.

Poznámka V příkazu Set-MsolADFSContext zadejte plně kvalifikovaný název domény serveru SLUŽBY AD FS ve vaší interní doméně místo názvu federačního serveru.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>

Poznámka

Moduly PowerShellu Azure AD a MSOnline jsou k 30. březnu 2024 zastaralé. Další informace najdete v aktualizaci o vyřazení z provozu. Po tomto datu se podpora těchto modulů omezí na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou fungovat až do 30. března 2025.

Pokud chcete pracovat s Microsoft Entra ID (dříve Azure AD), doporučujeme migrovat na Microsoft Graph PowerShell. Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Po 30. červnu 2024 může dojít k přerušení verze 1.0.x nástroje MSOnline.

Pokud se příkazy úspěšně spustí, měli byste vidět následující:

  • Na server služby AD FS se přidá vztah důvěryhodnosti předávající strany Microsoft 365 Identify Platform.
  • Uživatelé, kteří používají vlastní název domény jako příponu e-mailové adresy pro přihlášení k portálu Microsoft 365, budou přesměrováni na server služby AD FS.

Krok 7: Synchronizace místních uživatelských účtů Active Directory s Microsoft 365

Pokud se interní název domény liší od názvu externí domény, který se používá jako přípona e-mailové adresy, musíte přidat externí název domény jako alternativní příponu UPN v místní doméně služby Active Directory. Například interní název domény je "company.local", ale externí název domény je "company.com". V takovém případě musíte jako alternativní příponu hlavního názvu uživatele (UPN) přidat "company.com".

Synchronizujte uživatelské účty do Microsoftu 365 pomocí nástroje pro synchronizaci adresářů.

Poznámky ke službě AD FS 2.0

Pokud používáte službu AD FS 2.0, musíte před synchronizací účtu s Microsoft 365 změnit hlavní název uživatele (UPN) uživatelského účtu z "company.local" na "company.com". V opačném případě se uživatel na serveru SLUŽBY AD FS neověřuje.

Krok 8: Konfigurace klientského počítače pro jeden Sign-On

Po přidání názvu federačního serveru do zóny místního intranetu v aplikaci Internet Explorer se ověřování NTLM použije, když se uživatelé pokusí ověřit na serveru služby AD FS. Proto se jim nezobrazí výzva k zadání přihlašovacích údajů.

Správci můžou implementovat nastavení Zásady skupiny a nakonfigurovat jedno řešení Sign-On na klientských počítačích připojených k doméně.