Az AD FS kezelése és testreszabása a Microsoft Entra Csatlakozás használatával

  • Cikk

Ez a cikk a Active Directory összevonási szolgáltatások (AD FS) (AD FS) Microsoft Entra Csatlakozás használatával történő kezelését és testreszabását ismerteti.

Megismerkedhet az AD FS-farmok teljes konfigurálásához szükséges egyéb gyakori AD FS-feladatokkal is. Ezek a tevékenységek a következő táblázatban találhatók:

Feladatok Leírás
AD FS kezelése
A megbízhatóság javítása Megtudhatja, hogyan javíthatja az összevonási megbízhatóságot a Microsoft 365-ben.
Microsoft Entra-azonosítóval való összevonás alternatív bejelentkezési azonosítóval Megtudhatja, hogyan konfigurálhatja az összevonást egy alternatív bejelentkezési azonosító használatával.
AD FS-kiszolgáló hozzáadása Megtudhatja, hogyan bővíthet egy AD FS-farmot egy további AD FS-kiszolgálóval.
AD FS webes alkalmazásproxy (WAP) kiszolgáló hozzáadása Megtudhatja, hogyan bővíthet egy AD FS-farmot egy további WAP-kiszolgálóval.
Összevont tartomány hozzáadása Megtudhatja, hogyan vehet fel összevont tartományt.
A TLS/SSL-tanúsítvány frissítése Megtudhatja, hogyan frissítheti egy AD FS-farm TLS/SSL-tanúsítványát.
Az AD FS testreszabása
Egyéni vállalati embléma vagy ábra hozzáadása Megtudhatja, hogyan szabhat testre egy AD FS bejelentkezési oldalt céges emblémával és illusztrációval.
Bejelentkezési leírás hozzáadása Megtudhatja, hogyan adhat hozzá bejelentkezési oldalleírást.
AD FS-jogcímszabályok módosítása Megtudhatja, hogyan módosíthatja az AD FS-jogcímeket a különböző összevonási forgatókönyvekhez.

AD FS kezelése

A Microsoft Entra Csatlakozás a Microsoft Entra Csatlakozás varázslóval minimális felhasználói beavatkozással elvégezhet különböző AD FS-sel kapcsolatos feladatokat. Miután befejezte a Microsoft Entra Csatlakozás telepítését a varázsló futtatásával, újra futtathatja más feladatok végrehajtásához.

A megbízhatóság javítása

A Microsoft Entra Csatlakozás használatával ellenőrizheti az AD FS és a Microsoft Entra ID megbízhatóságának aktuális állapotát, majd megfelelő műveleteket végezhet a megbízhatóság helyreállításához. A Microsoft Entra-azonosító és az AD FS megbízhatóságának javításához tegye a következőket:

  1. A feladatok listájában válassza a Microsoft Entra-azonosító és az ADFS-megbízhatóság javítása lehetőséget.

    Screenshot of the

  2. A Microsoft Entra ID-Csatlakozás lapon adja meg a Hibrid identitás Rendszergazda istrator hitelesítő adatait a Microsoft Entra-azonosítóhoz, majd válassza a Tovább gombot.

    Screenshot that shows the

  3. A Távelérés hitelesítő adatai lapon adja meg a tartományi rendszergazda hitelesítő adatait.

    Screenshot that shows the

  4. Válassza a Következő lehetőséget.

    A Microsoft Entra Csatlakozás ellenőrzi a tanúsítvány állapotát, és megjeleníti a problémákat.

    Screenshot of the

    A Konfigurálásra kész lapon láthatók a megbízhatóság javítása érdekében végrehajtandó műveletek.

    Screenshot that shows the

  5. Válassza a Telepítés lehetőséget a megbízhatóság helyreállításához.

Megjegyzés:

A Microsoft Entra Csatlakozás csak önaláírt tanúsítványokat javíthat vagy használhat. A Microsoft Entra Csatlakozás nem tudja kijavítani a külső tanúsítványokat.

A Microsoft Entra-azonosítóval való összevonás alternatív AZONOSÍTÓ használatával

Javasoljuk, hogy a helyszíni felhasználónevet (UPN) és a felhőbeli egyszerű felhasználónevet tartsa ugyanazzal a névvel. Ha a helyszíni UPN nem módosítható tartományt használ (például Contoso.local), vagy a helyi alkalmazásfüggőségek miatt nem módosítható, javasoljuk egy alternatív bejelentkezési azonosító beállítását. Egy másik bejelentkezési azonosító használatával olyan bejelentkezési felületet konfigurálhat, amelyben a felhasználók az UPN-ükön kívül más attribútummal, például e-mail-címmel is bejelentkezhetnek.

A Microsoft Entra-ban az UPN kiválasztása alapértelmezés szerint az Active Directory userPrincipalName attribútumára Csatlakozás. Ha az UPN bármely más attribútumát választja, és az AD FS használatával egyesít, a Microsoft Entra Csatlakozás konfigurálja az AD FS-t egy alternatív bejelentkezési azonosítóhoz.

Az UPN másik attribútumának kiválasztására az alábbi képen látható példa:

Screenshot that shows the

Az alternatív bejelentkezési azonosító konfigurálása az AD FS-hez két fő lépésből áll:

  1. A kiállítási jogcímek megfelelő halmazának konfigurálása: A Microsoft Entra ID függő entitás megbízhatóságának kiállítási jogcímszabályai úgy módosulnak, hogy a kiválasztott UserPrincipalName attribútumot használják a felhasználó alternatív azonosítójaként.

  2. Alternatív bejelentkezési azonosító engedélyezése az AD FS-konfigurációban: Az AD FS konfigurációja frissül, hogy az AD FS az alternatív azonosítóval megkereshesse a megfelelő erdők felhasználóit. Ez a konfiguráció támogatott a Windows Server 2012 R2 AD FS-ben (KB2919355) vagy újabb verzióiban. Ha az AD FS-kiszolgálók 2012 R2-nek számítanak, a Microsoft Entra Csatlakozás ellenőrzi a szükséges tudásbázis meglétét. Ha a rendszer nem észleli a tudásbázist, a konfiguráció befejezése után figyelmeztetés jelenik meg, ahogy az alábbi képen látható:

    Screenshot of the

    Ha hiányzik a tudásbázis, a konfigurációt a szükséges KB2919355 telepítésével orvosolhatja. Ezután a megbízhatóság javításához kövesse az utasításokat.

Megjegyzés:

Az alternatív azonosítóról és a manuális konfigurálás lépéseiről további információt az alternatív bejelentkezési azonosító konfigurálása című témakörben talál.

AD FS-kiszolgáló hozzáadása

Megjegyzés:

AD FS-kiszolgáló hozzáadásához a Microsoft Entra Csatlakozás PFX-tanúsítványt igényel. Ezért ezt a műveletet csak akkor hajthatja végre, ha az AD FS-farmot a Microsoft Entra Csatlakozás használatával konfigurálta.

  1. Válassza a További összevonási kiszolgáló üzembe helyezése, majd a Tovább gombot.

    Screenshot of the

  2. A Microsoft Entra ID-Csatlakozás lapon adja meg a Hibrid identitás Rendszergazda istrator hitelesítő adatait a Microsoft Entra-azonosítóhoz, majd válassza a Tovább gombot.

    Screenshot that shows the

  3. Adja meg a tartományi rendszergazda hitelesítő adatait.

    Screenshot that shows the

  4. A Microsoft Entra Csatlakozás kéri annak a PFX-fájlnak a jelszavát, amelyet akkor adott meg, amikor konfigurálta az új AD FS-farmot a Microsoft Entra Csatlakozás. A PFX-fájl jelszavának megadásához válassza az Enter Password (Jelszó megadása) lehetőséget.

    Screenshot of the

    Screenshot that shows the

  5. Az AD FS-kiszolgálók lapon adja meg az AD FS-farmhoz hozzáadni kívánt kiszolgálónevet vagy IP-címet.

    Screenshot that shows the

  6. Válassza a Tovább lehetőséget, majd folytassa a végleges Konfigurálás lap befejezését.

    Miután a Microsoft Entra Csatlakozás befejezte a kiszolgálók AD FS-farmhoz való hozzáadását, lehetősége lesz ellenőrizni a kapcsolatot.

    Screenshot that shows the

    Screenshot that shows the

AD FS WAP-kiszolgáló hozzáadása

Megjegyzés:

Webes alkalmazásproxy-kiszolgáló hozzáadásához a Microsoft Entra Csatlakozás a PFX-tanúsítványt igényli. Ezért ezt a műveletet csak akkor hajthatja végre, ha konfigurálta az AD FS-farmot a Microsoft Entra Csatlakozás használatával.

  1. Válassza a Webes alkalmazásproxy üzembe helyezése lehetőséget az elérhető feladatok listájából.

    Deploy Web Application Proxy

  2. Adja meg az Azure Hybrid Identity Rendszergazda istrator hitelesítő adatait.

    Screenshot that shows the

  3. Az SSL-tanúsítvány megadása lapon adja meg az AD FS-farm Microsoft Entra Csatlakozás konfigurálásakor megadott PFX-fájl jelszavát. Certificate password

    Specify TLS/SSL certificate

  4. Adja hozzá a WAP-kiszolgálóként hozzáadni kívánt kiszolgálót. Mivel előfordulhat, hogy a WAP-kiszolgáló nem csatlakozik a tartományhoz, a varázsló rendszergazdai hitelesítő adatokat kér a hozzáadandó kiszolgálóhoz.

    Administrative server credentials

  5. A Proxy megbízhatósági hitelesítő adatai lapon adjon meg rendszergazdai hitelesítő adatokat a proxy megbízhatóságának konfigurálásához és az elsődleges kiszolgáló eléréséhez az AD FS-farmban.

    Proxy trust credentials

  6. A konfigurálásra kész lapon a varázsló megjeleníti a végrehajtandó műveletek listáját.

    Screenshot that shows the

  7. A konfiguráció befejezéséhez válassza a Telepítés lehetőséget. A konfiguráció befejezése után a varázsló lehetővé teszi a kiszolgálókhoz való kapcsolódás ellenőrzését. Válassza az Ellenőrzés lehetőséget a kapcsolat ellenőrzéséhez.

    Installation complete

Összevont tartomány hozzáadása

A Microsoft Entra Csatlakozás használatával egyszerűen felvehet egy, a Microsoft Entra-azonosítóval összevonandó tartományt. A Microsoft Entra Csatlakozás hozzáadja az összevonási tartományt, és módosítja a jogcímszabályokat, hogy megfelelően tükrözzék a kiállítót, ha több tartományt összevont a Microsoft Entra-azonosítóval.

  1. Összevont tartomány hozzáadásához válassza a További Microsoft Entra-tartomány hozzáadása lehetőséget.

    Screenshot of the

  2. A varázsló következő lapján adja meg a Microsoft Entra-azonosító globális rendszergazdai hitelesítő adatait.

    Screenshot that shows the

  3. A Távelérés hitelesítő adatai lapon adja meg a tartományi rendszergazda hitelesítő adatait.

    Screenshot showing the

  4. A következő lapon a varázsló felsorolja azokat a Microsoft Entra-tartományokat, amelyekkel összevonhatja a helyszíni címtárat. Válassza ki a tartományt a listában.

    Screenshot of the

    A tartomány kiválasztása után a varázsló tájékoztatja a további műveletekről, valamint a konfiguráció hatásáról. Bizonyos esetekben, ha olyan tartományt választ ki, amely még nincs ellenőrizve a Microsoft Entra-azonosítóban, a varázsló segít ellenőrizni a tartományt. További információ: Egyéni tartománynév hozzáadása a Microsoft Entra-azonosítóhoz.

  5. Válassza a Következő lehetőséget.

    A Konfigurálásra kész lap felsorolja a Microsoft Entra Csatlakozás által végrehajtandó műveleteket.

    Screenshot of the

  6. A konfiguráció befejezéséhez válassza a Telepítés lehetőséget.

Megjegyzés:

A hozzáadott összevont tartományban lévő felhasználókat szinkronizálni kell, mielőtt bejelentkezhetnek a Microsoft Entra-azonosítóba.

Az AD FS testreszabása

Az alábbi szakaszok részletesen ismertetik az AD FS bejelentkezési oldal testreszabásához esetleg végrehajtandó gyakori feladatokat.

A bejelentkezési lapon megjelenő vállalat emblémájának módosításához használja az alábbi PowerShell-parancsmagot és szintaxist.

Megjegyzés:

Az embléma ajánlott méretei 260 x 35 @ 96 dpi méretűek, fájlmérete nem nagyobb, mint 10 KB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Megjegyzés:

A TargetName paraméter megadása kötelező. Az AD FS-ben kiadott alapértelmezett téma neve Alapértelmezett.

Bejelentkezési leírás hozzáadása

A bejelentkezési oldal leírásának a bejelentkezési laphoz való hozzáadásához használja az alábbi PowerShell-parancsmagot és szintaxist.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

AD FS-jogcímszabályok módosítása

Az AD FS támogatja az egyéni jogcímszabályok létrehozásához használható, gazdag jogcímnyelvet. További információ: A jogcímszabály nyelvének szerepe.

A következő szakaszok bemutatják, hogyan írhat egyéni szabályokat bizonyos, a Microsoft Entra ID és az AD FS összevonásához kapcsolódó forgatókönyvekhez.

Nem módosítható azonosító feltétele az attribútumban lévő értékhez

A Microsoft Entra Csatlakozás lehetővé teszi egy forráshorgonyként használandó attribútum megadását az objektumok Microsoft Entra-azonosítóval való szinkronizálásakor. Ha az egyéni attribútum értéke nem üres, előfordulhat, hogy nem módosítható azonosító jogcímet szeretne kibocsátani.

Választhat például a forráshorgony attribútumaként, ms-ds-consistencyguid és az ImmutableID-et is kiadhatja, mintha ms-ds-consistencyguid az attribútum értéke lenne ellene. Ha nincs érték az attribútummal szemben, akkor a probléma objectGuid nem módosítható azonosító. Az egyéni jogcímszabályok készletét az alábbi szakaszban leírtak szerint hozhatja létre.

1. szabály: Lekérdezési attribútumok

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

Ebben a szabályban a felhasználó és a felhasználó értékeit ms-ds-consistencyguidobjectGuid kérdezi le az Active Directoryból. Módosítsa az áruház nevét egy megfelelő tárolónévre az AD FS-példányban. Módosítsa a jogcímtípust az összevonás megfelelő jogcímtípusára is, a megadott objectGuid és ms-ds-consistencyguida .

Emellett elkerülheti, addissuehogy kimenő problémát adjon hozzá az entitáshoz, és köztes értékként is használhatja az értékeket. A jogcímet egy későbbi szabályban fogja kiadni, miután meghatározta, hogy melyik értéket használja megváltoztathatatlan azonosítóként.

2. szabály: Ellenőrizze, hogy létezik-e ms-ds-konzisztenciaguid a felhasználó számára

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Ez a szabály egy ideiglenes jelzőt határoz meg, amelynek az a beállítása idflaguseguid , hogy nincs-e ms-ds-consistencyguid feltöltve a felhasználó számára. Ennek logikája az, hogy az AD FS nem engedélyezi az üres jogcímeket. Amikor jogcímeket http://contoso.com/ws/2016/02/identity/claims/objectguid ad hozzá, és http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid az 1. szabályban csak akkor lesz msdsconsistencyguid jogcím, ha az érték fel van töltve a felhasználó számára. Ha nincs feltöltve, az AD FS azt látja, hogy üres értéket fog kapni, és azonnal elveti. Minden objektum rendelkezik objectGuid, így a jogcím mindig ott lesz az 1. szabály végrehajtása után.

3. szabály: Az ms-ds-konzisztencia nem módosítható azonosítóként való kiadása, ha az jelen van

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Ez egy implicit Exist ellenőrzés. Ha a jogcím értéke létezik, adja ki nem módosítható azonosítóként. Az előző példa a jogcímet nameidentifier használja. Ezt a környezet nem módosítható azonosítójának megfelelő jogcímtípusra kell módosítania.

4. szabály: Az objectGuid nem módosítható azonosítóként való kiadása, ha az ms-ds-consistencyGuid nincs jelen

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

Ezzel a szabálysal egyszerűen az ideiglenes jelzőt idflagellenőrzi. Ön dönti el, hogy az érték alapján adja-e ki a jogcímet.

Megjegyzés:

A szabályok sorrendje fontos.

Egyszeri bejelentkezés egy altartomány UPN-jével

Több összevont tartományt is hozzáadhat a Microsoft Entra Csatlakozás használatával, az Új összevont tartomány hozzáadása című cikkben leírtak szerint. A Microsoft Entra Csatlakozás 1.1.553.0-s és újabb verziói automatikusan létrehozzák a megfelelő jogcímszabálytissuerID. Ha nem tudja használni a Microsoft Entra Csatlakozás 1.1.553.0-s vagy újabb verzióját, javasoljuk, hogy a Microsoft Entra RPT jogcímszabályok eszközzel hozzon létre és állítson be helyes jogcímszabályokat a Microsoft Entra ID függő entitás megbízhatóságához.

További lépések

További információ a felhasználói bejelentkezési lehetőségekről.