A Microsoft Entra ID több példányának összevonása egyetlen AD FS-példánysal
Egyetlen magas rendelkezésre állású AD FS farm összevonhat több erdőt, ha azok között kétirányú megbízhatósági kapcsolat áll fenn. Ez a több erdő ugyanahhoz a Microsoft Entra-azonosítóhoz tartozhat, vagy nem. Ez a cikk bemutatja, hogyan konfigurálhatja az összevonást egyetlen AD FS-telepítés és a Microsoft Entra ID több példánya között.
Feljegyzés
Ebben az esetben az eszközvisszaírás és automatikus eszköz-csatlakoztatás nem támogatott.
Feljegyzés
Ebben a forgatókönyvben a Microsoft Entra Csatlakozás nem használható összevonás konfigurálására, mivel a Microsoft Entra Csatlakozás egyetlen Microsoft Entra-azonosítóban konfigurálhatja a tartományok összevonását.
Az AD FS több Microsoft Entra-azonosítóval való összevonásának lépései
Fontolja meg, hogy egy tartomány contoso.com a Microsoft Entra contoso.onmicrosoft.com már össze van osztva az contoso.com helyi Active Directory környezetben telepített helyszíni AD FS-sel. Fabrikam.com egy tartomány fabrikam.onmicrosoft.com Microsoft Entra-azonosítóban.
1. lépés: A kétirányú megbízhatósági kapcsolat létrehozása
Ahhoz, hogy a contoso.com-beli AD FS hitelesíthesse a fabrikam.com-beli felhasználókat, kétirányú megbízhatósági kapcsolatra van szükség a contoso.com és fabrikam.com között. A k kétirányú megbízhatósági kapcsolat létrehozásához kövesse a cikk iránymutatását.
2. lépés: A contoso.com összevonási beállításainak módosítása
Az AD FS-hez összevont egyetlen tartomány alapértelmezett kiállítója a következő: "http://ADFSServiceFQDN/adfs/services/trust", például http://fs.contoso.com/adfs/services/trust. A Microsoft Entra-azonosító minden egyes összevont tartományhoz egyedi kiállítót igényel. Mivel az AD FS két tartományt fog összevonni, a kiállító értékét módosítani kell, hogy egyedi legyen.
Feljegyzés
Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.
Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.
Az AD FS-kiszolgálón nyissa meg az Azure AD PowerShellt (győződjön meg arról, hogy az MSOnline modul telepítve van), és hajtsa végre a következő lépéseket:
Csatlakozás a Contoso.com Csatlakozás-MsolService tartományt tartalmazó Microsoft Entra-azonosítóra frissítse az összevonási beállításokat contoso.com Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain
A tartomány-összevonási beállítás kiállítója a következőre módosul: "http://contoso.com/adfs/services/trust" és egy kiállítási jogcímszabályt ad hozzá a Microsoft Entra ID függő entitás megbízhatóságához, amely a megfelelő issuerId értéket állítja ki az UPN-utótag alapján.
3. lépés: A fabrikam.com összevonása az AD FS-szel
Az Azure AD PowerShell-munkamenetben hajtsa végre a következő lépéseket: Csatlakozás a tartományt tartalmazó Microsoft Entra-azonosítóra fabrikam.com
Connect-MsolService
Konvertálja a fabrikam.com felügyelt tartományt összevontra:
Convert-MsolDomainToFederated -DomainName fabrikam.com -Verbose -SupportMultipleDomain
A fenti művelet összevonja a fabrikam.com tartományt ugyanazon AD FS-szel. Mindkét tartományban a Get-MsolDomainFederationSettings használatával ellenőrizheti a tartomány beállításait.