Az ADFS beállítása az Office 365-hez egyszeri Sign-On

Megjegyzés

Az Office 365 ProPlus átnevezésre került Microsoft 365 Vállalati alkalmazásokra. A változásról további információért olvassa el ezt a blogbejegyzést.

Ez a videó bemutatja, hogy miként állíthatja be az Active Directory összevonási szolgáltatást (ADFS) az Office 365-nek való közös munkához. Nem vonatkozik az ADFS-proxykiszolgálói forgatókönyvre. Ez a videó a Windows Server 2012 R2 ADFS-ről készült. Az eljárás azonban az ADFS 2.0-ra is érvényes – az 1., 3. és 7. lépés kivételével. Az eljárás Windows Server 2008 rendszerben való alkalmazásának mikéntéről az "ADFS 2.0-jegyzetek" című szakaszban található további információ.

Hasznos jegyzetek a videó lépéseihez

1. lépés: Az Active Directory összevonási szolgáltatások telepítése

ADFS hozzáadása a Szerepkörök és szolgáltatások hozzáadása varázslóval.

Megjegyzések az ADFS 2.0-hez

Windows Server 2008 használata esetén le kell töltenie és telepítenie kell az ADFS 2.0-t ahhoz, hogy használni tudja az Office 365-öt. Az ADFS 2.0-t a Microsoft letöltőközpont következő webhelyéről szerezheti be:

Active Directory összevonási szolgáltatások 2.0 RTW

A telepítés után a Windows Update segítségével töltse le és telepítse az összes vonatkozó frissítést.

2. lépés: Tanúsítvány igénylése külső hitelesítésszolgáltatótól az összevonási kiszolgáló nevéhez

Az Office 365-nek megbízható tanúsítványra van szüksége az ADFS-kiszolgálón. Ezért egy külső hitelesítésszolgáltatótól kell beszereznie egy tanúsítványt.

A tanúsítványkérelem testreszabásakor vegye fel az összevonási kiszolgáló nevét a Közös név mezőbe.

Ebben a videóban csak azt ismertetjük, hogy miként hozhat létre tanúsítvány-aláírási kérést (CSR). A CSR-fájlt egy külső hitelesítésszolgáltatónak kell elküldenie. A hitelesítésszolgáltató egy aláírt tanúsítványt fog Önnek visszaadni. Ezután az alábbi lépéseket követve importálja a tanúsítványt a számítógép tanúsítványtárba:

  1. A certlm.msc futtatásával nyissa meg a helyi számítógép tanúsítványtárát.
  2. A navigációs ablakban bontsa ki a Személyes, bontsa ki a Tanúsítvány lehetőséget, kattintson a jobb gombbal a Tanúsítvány mappára, majd kattintson az Importálás parancsra.

Az összevonási kiszolgáló neve

Az összevonási szolgáltatás neve az ADFS-kiszolgáló internetes tartományneve. Az Office 365-felhasználót a rendszer átirányítja erre a tartományra hitelesítésre. Ezért győződjön meg arról, hogy a tartománynévhez nyilvános A rekordot ad hozzá.

3. lépés: Az ADFS konfigurálása

Az összevonási kiszolgáló neveként nem lehet manuálisan megadni a nevet. A nevet a helyi számítógép tanúsítványtárában található tanúsítvány tulajdonosának (Gyakori neve) határozza meg.

Megjegyzések az ADFS 2.0-hez

Az ADFS 2.0-ban az összevonási kiszolgáló nevét az Internet Information Services (IIS) "Alapértelmezett webhely" tanúsítványa határozza meg. Az ADFS konfigurálása előtt az új tanúsítványt az Alapértelmezett webhelyhez kell kötnie.

Bármilyen fiókot használhat szolgáltatásfiókként. Ha lejárt a szolgáltatásfiók jelszava, az ADFS leáll. Ezért győződjön meg arról, hogy a fiók jelszava soha nem jár le.

4. lépés: Az Office 365-eszközök letöltése

A Windows PowerShellhez és az Azure Active Directory szinkronizálási készülékhez használható Windows Azure Active Directory modul az Office 365 portálon érhető el. Az eszközök beszerzéséhez kattintson az Aktív felhasználók , majd az Egyszeri bejelentkezés: beállítás elemre.

5. lépés: A tartomány hozzáadása az Office 365-hez

A videó nem ismerteti, hogy miként adjuk hozzá és ellenőrizhetik a tartományát az Office 365-ben. Erről az eljárásról A tartomány igazolása az Office 365-ben.

6. lépés: Az ADFS csatlakoztatása az Office 365-hez

Az ADFS Office 365-hez való csatlakoztatásához futtassa az alábbi parancsokat a Windows PowerShellhez elérhető Windows Azure Directory modulban.

Megjegyzés A Set-MsolADFSContext az összevonási kiszolgáló neve helyett adja meg a belső tartomány ADFS-kiszolgálójának teljes tartománynevét.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the ADFS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Office 365>

Ha a parancsok futnak, az alábbiakat kell látnia:

  • Az ADFS-kiszolgálóhoz hozzáadjuk a "Microsoft Office 365 azonosítóplatform" megbízható platformot.
  • Azok a felhasználók, akik az egyéni tartománynevet e-mail-cím utótagként használják az Office 365-portálra való bejelentkezéshez, a rendszer átirányítja az ADFS-kiszolgálóra.

7. lépés: Helyi Active Directory-felhasználói fiókok szinkronizálása az Office 365-be

Ha a belső tartománynév eltér az e-mail-cím utótagjaként használt külső tartománynévtől, akkor a külső tartománynevet kell hozzáadni helyettesítő upn utótagként a helyi Active Directory-tartományban. A belső tartománynév például "company.local", a külső tartománynév viszont "company.com". Ilyen esetben a "company.com" előtagot kell hozzáadnia.

Szinkronizálja a felhasználói fiókokat az Office 365-be a Címtár-szinkronizáló eszközzel.

Megjegyzések az ADFS 2.0-hez

ADFS 2.0 használata esetén a fiók Office 365-be való szinkronizálása előtt át kell változtatnia a felhasználói fiók upn-ját "company.local" felhasználóról "company.com" szóra. Ellenkező esetben a felhasználó nem lesz érvényes az ADFS-kiszolgálón.

8. lépés: Az ügyfélszámítógép beállítása egyszeri Sign-On

Miután hozzáadta az összevonási kiszolgáló nevét a helyi intranet zónához az Internet Explorerben, a rendszer az NTLM-hitelesítést használja, amikor a felhasználók megpróbálnak hitelesítést végezni az ADFS-kiszolgálón. Ezért a rendszer nem kéri a hitelesítő adataik megadását.

A rendszergazdák csoportházirend-beállításokat alkalmazva konfigurálhatják az Sign-On ügyfélszámítógépeken, amelyek csatlakoznak a tartományhoz.