Einrichten von AD FS für Microsoft 365 für single Sign-On

  • Artikel
  • Gilt für::
    Microsoft 365

In diesem Video wird gezeigt, wie Sie den Active Directory-Verbunddienst (AD FS) für die Zusammenarbeit mit Microsoft 365 einrichten. Das AD FS-Proxyserverszenario wird nicht behandelt. In diesem Video wird AD FS für Windows Server 2012 R2 erläutert. Das Verfahren gilt jedoch auch für AD FS 2.0 – mit Ausnahme der Schritte 1, 3 und 7. Weitere Informationen zur Verwendung dieses Verfahrens in Windows Server 2008 finden Sie in jedem dieser Schritte im Abschnitt "Hinweise für AD FS 2.0".

Nützliche Hinweise zu den Schritten im Video

Schritt 1: Installieren von Active Directory-Verbunddienste (AD FS)

Fügen Sie AD FS mithilfe des Assistenten zum Hinzufügen von Rollen und Features hinzu.

Hinweise zu AD FS 2.0

Wenn Sie Windows Server 2008 verwenden, müssen Sie AD FS 2.0 herunterladen und installieren, um mit Microsoft 365 arbeiten zu können. Sie können AD FS 2.0 auf der folgenden Microsoft Download Center-Website abrufen:

Active Directory-Verbunddienste (AD FS) 2.0 RTW

Verwenden Sie nach der Installation Windows Update, um alle anwendbaren Updates herunterzuladen und zu installieren.

Schritt 2: Anfordern eines Zertifikats von einer Drittanbieterzertifizierungsstelle für den Namen des Verbundservers

Microsoft 365 erfordert ein vertrauenswürdiges Zertifikat auf Ihrem AD FS-Server. Daher müssen Sie ein Zertifikat von einer Drittanbieterzertifizierungsstelle (Ca) erhalten.

Wenn Sie die Zertifikatanforderung anpassen, stellen Sie sicher, dass Sie den Namen des Verbundservers im Feld Allgemeiner Name hinzufügen.

In diesem Video wird nur erläutert, wie eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) generiert wird. Sie müssen die CSR-Datei an eine Drittanbieterzertifizierungsstelle senden. Die Zertifizierungsstelle gibt ein signiertes Zertifikat an Sie zurück. Führen Sie dann die folgenden Schritte aus, um das Zertifikat in ihren Computerzertifikatspeicher zu importieren:

  1. Führen Sie aus Certlm.msc , um den Zertifikatspeicher des lokalen Computers zu öffnen.
  2. Erweitern Sie im Navigationsbereich Persönlich erweitern, erweitern Sie Zertifikat, klicken Sie mit der rechten Maustaste auf den Ordner Zertifikat, und klicken Sie dann auf Importieren.

Informationen zum Namen des Verbundservers

Der Verbunddienstname ist der Internetdomänenname Ihres AD FS-Servers. Der Microsoft 365-Benutzer wird zur Authentifizierung an diese Domäne umgeleitet. Stellen Sie daher sicher, dass Sie einen öffentlichen A-Eintrag für den Domänennamen hinzufügen.

Schritt 3: Konfigurieren von AD FS

Sie können keinen Namen manuell als Verbundservernamen eingeben. Der Name wird durch den Antragstellernamen (allgemeiner Name) eines Zertifikats im Zertifikatspeicher des lokalen Computers bestimmt.

Hinweise zu AD FS 2.0

In AD FS 2.0 wird der Name des Verbundservers durch das Zertifikat bestimmt, das in Internetinformationsdienste (IIS) an "Standardwebsite" gebunden ist. Sie müssen das neue Zertifikat an die Standardwebsite binden, bevor Sie AD FS konfigurieren.

Sie können ein beliebiges Konto als Dienstkonto verwenden. Wenn das Kennwort des Dienstkontos abgelaufen ist, funktioniert AD FS nicht mehr. Stellen Sie daher sicher, dass das Kennwort des Kontos nie abläuft.

Schritt 4: Herunterladen von Microsoft 365-Tools

Das Windows Azure Active Directory-Modul für Windows PowerShell und azure Active Directory Sync Anwendung sind im Microsoft 365-Portal verfügbar. Klicken Sie zum Abrufen der Tools auf Aktive Benutzer und dann auf Einmaliges Anmelden: Einrichten.

Schritt 5: Hinzufügen Ihrer Domäne zu Microsoft 365

Im Video wird nicht erläutert, wie Sie Ihre Domäne zu Microsoft 365 hinzufügen und überprüfen. Weitere Informationen zu diesem Verfahren finden Sie unter Überprüfen Ihrer Domäne in Microsoft 365.

Schritt 6: Verbinden von AD FS mit Microsoft 365

Um AD FS mit Microsoft 365 zu verbinden, führen Sie die folgenden Befehle im Windows Azure-Verzeichnismodul für Windows PowerShell aus.

Hinweis Geben Sie im Set-MsolADFSContext Befehl den FQDN des AD FS-Servers in Ihrer internen Domäne anstelle des Verbundservernamens an.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Veralteten Update. Nach diesem Datum ist die Unterstützung für diese Module auf Migrationsunterstützung zum Microsoft Graph PowerShell SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Häufig gestellte Fragen zur Migration finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Version 1.0.x von MSOnline kann nach dem 30. Juni 2024 unterbrochen werden.

Wenn die Befehle erfolgreich ausgeführt werden, sollte Folgendes angezeigt werden:

  • Ihrem AD FS-Server wird eine Vertrauensstellung der vertrauenden Seite "Microsoft 365 Identify Platform" hinzugefügt.
  • Benutzer, die den benutzerdefinierten Domänennamen als E-Mail-Adresssuffix verwenden, um sich beim Microsoft 365-Portal anzumelden, werden zu Ihrem AD FS-Server umgeleitet.

Schritt 7: Synchronisieren lokaler Active Directory-Benutzerkonten mit Microsoft 365

Wenn sich Ihr interner Domänenname vom externen Domänennamen unterscheidet, der als E-Mail-Adresssuffix verwendet wird, müssen Sie den externen Domänennamen als alternatives UPN-Suffix in der lokalen Active Directory-Domäne hinzufügen. Der interne Domänenname lautet z. B. "company.local", der name der externen Domäne jedoch "company.com". In diesem Fall müssen Sie "company.com" als alternatives UPN-Suffix hinzufügen.

Synchronisieren Sie die Benutzerkonten mit Microsoft 365, indem Sie das Verzeichnissynchronisierungstool verwenden.

Hinweise zu AD FS 2.0

Wenn Sie AD FS 2.0 verwenden, müssen Sie den UPN des Benutzerkontos von "company.local" in "company.com" ändern, bevor Sie das Konto mit Microsoft 365 synchronisieren. Andernfalls wird der Benutzer nicht auf dem AD FS-Server überprüft.

Schritt 8: Konfigurieren des Clientcomputers für single Sign-On

Nachdem Sie den Namen des Verbundservers der lokalen Intranetzone in Internet Explorer hinzugefügt haben, wird die NTLM-Authentifizierung verwendet, wenn Benutzer versuchen, sich auf dem AD FS-Server zu authentifizieren. Daher werden sie nicht aufgefordert, ihre Anmeldeinformationen einzugeben.

Administratoren können Gruppenrichtlinie Einstellungen implementieren, um eine Single Sign-On-Lösung auf Clientcomputern zu konfigurieren, die mit der Domäne verknüpft sind.