Nastavení služby ADFS pro Office 365 pro jednotné přihlašování

Poznámka

Office 365 ProPlus se přejmenuje na Microsoft 365 Apps for enterprise. Pro další informace o této změně si přečtěte tento blog.

Toto video ukazuje, jak nastavit službu AD FS (Active Directory Federation Service) pro spolupráci s Office 365. Nezahrnuje scénář proxy serveru služby ADFS. Toto video popisuje ADFS pro Windows Server 2012 R2. Tento postup se však vztahuje také na 2,0 ADFS – kromě kroků 1, 3 a 7. V každém z těchto kroků najdete další informace o tom, jak tento postup použít v systému Windows Server 2008, v části Notes pro ADFS 2,0.

Užitečné poznámky k postupům v videu

Krok 1: instalace služby AD FS (Active Directory Federation Services)

Přidejte AD FS pomocí Průvodce přidáním rolí a funkcí.

Poznámky pro ADFS 2,0

Pokud používáte Windows Server 2008, musíte stáhnout a nainstalovat aktualizaci ADFS 2,0, abyste mohli pracovat s Office 365. ADFS 2,0 můžete získat na webu služby Stažení softwaru:

Služba AD FS (Active Directory Federation Services) 2,0

Po instalaci Stáhněte a nainstalujte všechny příslušné aktualizace pomocí Windows Update.

Krok 2: vyžádání certifikátu od třetí strany pro název federačního serveru

Office 365 vyžaduje důvěryhodný certifikát na serveru ADFS. Proto musíte získat certifikát od nezávislé certifikační autority.

Při úpravě žádosti o certifikát se ujistěte, že jste do pole Common Name (běžný název ) přidali název federačního serveru.

V tomto videu vysvětlujeme jenom postup generování žádosti o podepsání certifikátu (CSR). Soubor CSR musíte poslat certifikačnímu úřadu třetí strany. Certifikační úřad vám vrátí podepsaný certifikát. Potom pomocí těchto kroků importujte certifikát do úložiště certifikátů počítače:

  1. Spuštěním Certlm. msc otevřete úložiště certifikátů místního počítače.
  2. V navigačním podokně rozbalte položky osobní, rozbalit certifikát, klikněte pravým tlačítkem na složku certifikátu a potom klikněte na importovat.

O názvu federačního serveru

Název služby FS je internetový název serveru ADFS. Uživatel Office 365 bude pro ověření přesměrován na tuto doménu. Proto se ujistěte, že jste pro název domény přidali veřejný záznam A.

Krok 3: Konfigurace služby AD FS

Jako název federačního serveru nemůžete zadat název. Název je určen názvem subjektu (běžným názvem) certifikátu v úložišti certifikátů místního počítače.

Poznámky pro ADFS 2,0

V ADFS 2,0 se název federačního serveru určuje pomocí certifikátu, který se v internetové informační službě (IIS) váže k výchozímu webovému serveru. Před konfigurací služby AD FS musíte nový certifikát svázat s výchozím webem.

Jako účet služby můžete použít libovolný účet. Pokud vypršela platnost hesla účtu služby, služba AD FS přestane fungovat. Proto se ujistěte, že je heslo účtu nastaveno na neomezenou platnost.

Krok 4: stažení nástrojů Office 365

Modul Windows Azure Active Directory pro Windows PowerShell a zařízení synchronizace služby Azure Active Directory najdete na portálu Office 365. Pokud chcete získat nástroje, klikněte na aktivní uživateléa potom klikněte na jednotné přihlašování.

Krok 5: Přidání domény do Office 365

Video nevysvětluje, jak přidat a ověřit doménu v Office 365. Další informace o tomto postupu najdete v tématu ověření domény v Office 365.

Krok 6: připojení služby AD FS k Office 365

Pokud chcete připojit AD FS k Office 365, spusťte v modulu Windows Azure Directory modul pro Windows PowerShell následující příkazy.

Poznámka: V příkazu Set-MsolADFSContext zadejte plně kvalifikovaný název domény serveru ADFS ve vnitřní doméně místo názvu federačního serveru.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the ADFS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Office 365>

Pokud příkazy běží úspěšně, měli byste vidět následující:

  • Na server služby AD FS je přidaná skupina Microsoft Office 365, která označuje, že je nastaven vztah důvěryhodnosti předávající strany.
  • Uživatelé, kteří používají vlastní název domény jako příponu e-mailové adresy pro přihlášení k portálu Office 365, jsou přesměrováni na server ADFS.

Krok 7: synchronizace místních uživatelských účtů služby Active Directory s Office 365

Pokud se název interní domény liší od názvu externí domény, který se používá jako přípona e-mailové adresy, musíte přidat název externí domény jako alternativní příponu UPN v místní doméně Active Directory. Například název interní domény je "Company. local", ale název externí domény je "company.com". V této situaci musíte přidat "company.com" jako alternativní příponu UPN.

Synchronizujte uživatelské účty s Office 365 pomocí nástroje pro synchronizaci adresářů.

Poznámky pro ADFS 2,0

Pokud používáte AD FS 2,0, musíte před synchronizací účtu s Office 365 změnit hlavní název uživatele uživatelského účtu z "Company. local" na "company.com". Jinak se uživatel neověří na serveru ADFS. 

Krok 8: Konfigurace klientského počítače pro jednotné přihlašování

Po přidání názvu federačního serveru do zóny Místní intranet v Internet Exploreru se ověřování NTLM použije, když se uživatelé pokusí ověřit na serveru ADFS. Proto nejsou vyzváni k zadání svých přihlašovacích údajů.

Správci můžou implementovat nastavení zásad skupiny pro konfiguraci jednotného přihlašování v klientských počítačích, které jsou připojené k doméně.