Identità federata per l'ambiente di testing di Microsoft 365Federated identity for your Microsoft 365 test environment

Questa guida del laboratorio di testing può essere utilizzata per ambienti di testing Microsoft 365 per Enterprise e Office 365 Enterprise.This Test Lab Guide can be used for both Microsoft 365 for enterprise and Office 365 Enterprise test environments.

Microsoft 365 supporta l'identità federativa. Questo indica che invece di eseguire la convalida delle credenziali autonomamente, Microsoft 365 fa riferimento all'utente connesso a un server di autenticazione federata che Microsoft 365 considera attendibile. Se le credenziali dell'utente sono corrette, il server di autenticazione federata emette un token di sicurezza che il client invia quindi a Microsoft 365 come prova di autenticazione. L'identità federativa consente l'offload e la scalabilità in verticale di autenticazione per una sottoscrizione a Microsoft 365 e scenari di sicurezza e autenticazione avanzata.Microsoft 365 supports federated identity. This means that instead of performing the validation of credentials itself, Microsoft 365 refers the connecting user to a federated authentication server that Microsoft 365 trusts. If the user's credentials are correct, the federated authentication server issues a security token that the client then sends to Microsoft 365 as proof of authentication. Federated identity allows for the offloading and scaling up of authentication for a Microsoft 365 subscription and advanced authentication and security scenarios.

In questo articolo viene descritto come configurare l'autenticazione federata per l'ambiente di testing di Microsoft 365, ottenendo quanto segue:This article describes how you can configure federated authentication for your Microsoft 365 test environment, resulting in the following:

Autenticazione federata per l'ambiente di testing di Office 365

Questa configurazione è costituita da:This configuration consists of:

  • Un abbonamento di valutazione o di produzione Microsoft 365 E5.A Microsoft 365 E5 trial or production subscription.

  • Una rete Intranet dell'organizzazione semplificata connessa a Internet e costituita da cinque macchine virtuali in una sottorete di una rete virtuale Azure (DC1, APP1, CLIENT1, ADFS1 e PROXY1).A simplified organization intranet connected to the Internet, consisting of five virtual machines on a subnet of an Azure virtual network (DC1, APP1, CLIENT1, ADFS1, and PROXY1). Azure AD Connect viene eseguito su APP1 per sincronizzare l'elenco degli account nel dominio di servizi di dominio Active Directory con Microsoft 365.Azure AD Connect runs on APP1 to synchronize the list of accounts in the Active Directory Domain Services domain to Microsoft 365. PROXY1 riceve le richieste di autenticazione in arrivo.PROXY1 receives the incoming authentication requests. ADFS1 convalida le credenziali con DC1 e rilascia token di sicurezza.ADFS1 validates credentials with DC1 and issues security tokens.

La configurazione dell'ambiente di testing prevede cinque fasi:There are five phases to setting up this test environment:

  1. Creare l'ambiente di testing aziendale simulato con la sincronizzazione dell'hash delle password.Create the simulated enterprise test environment with password hash synchronization.

  2. Creare il server ADFS (ADFS1).Create the AD FS server (ADFS1).

  3. Creare il server proxy Web (PROXY1).Create the web proxy server (PROXY1).

  4. Creare un certificato autofirmato e configurare ADFS1 e PROXY1.Create a self-signed certificate and configure ADFS1 and PROXY1.

  5. Configurare Microsoft 365 per l'identità federativa.Configure Microsoft 365 for federated identity.

Nota

Non è possibile configurare l'ambiente di testing con un abbonamento di valutazione di Azure.You cannot configure this test environment with an Azure Trial subscription.

Fase 1: configurare la sincronizzazione hash delle password per l'ambiente di testing di Microsoft 365Phase 1: Configure password hash synchronization for your Microsoft 365 test environment

Seguire le istruzioni riportate in sincronizzazione hash delle password per Microsoft 365. Di seguito è riportata la configurazione risultante.Follow the instructions in password hash synchronization for Microsoft 365. Here is your resulting configuration.

L'organizzazione simulata con ambiente di testing per la sincronizzazione hash delle password

Questa configurazione è costituita da:This configuration consists of:

  • Una versione di valutazione di Microsoft 365 E5 o abbonamenti A pagamento.A Microsoft 365 E5 trial or paid subscriptions.
  • Una intranet dell’organizzazione semplificata connessa a Internet e costituita dalle macchine virtuali DC1 APP1 e CLIENT1 in una sottorete di una rete virtuale Azure.A simplified organization intranet connected to the Internet, consisting of the DC1, APP1, and CLIENT1 virtual machines on a subnet of an Azure virtual network. Azure AD Connect viene eseguito su APP1 per sincronizzare periodicamente il dominio TESTLAB di Active Directory Domain Services con il tenant di Azure AD degli abbonamenti a Microsoft 365.Azure AD Connect runs on APP1 to synchronize the TESTLAB AD DS domain to the Azure AD tenant of your Microsoft 365 subscriptions periodically.

Fase 2: creare il server AD FSPhase 2: Create the AD FS server

Un server AD FS fornisce l'autenticazione federata tra Microsoft 365 e gli account nel dominio corp.contoso.com ospitato su DC1.An AD FS server provides federated authentication between Microsoft 365 and the accounts in the corp.contoso.com domain hosted on DC1.

Per creare una macchina virtuale Azure per ADFS1, inserire il nome della sottoscrizione, il gruppo di risorse e la posizione di Azure per la configurazione di base, quindi eseguire questi comandi al prompt dei comandi di Azure PowerShell nel computer locale.To create an Azure virtual machine for ADFS1, fill in the name of your subscription and the resource group and Azure location for your Base Configuration, and then run these commands at the Azure PowerShell command prompt on your local computer.

$subscrName="<your Azure subscription name>"
$rgName="<the resource group name of your Base Configuration>"
$vnetName="TlgBaseConfig-01-VNET"
# NOTE: If you built your simulated intranet with Azure PowerShell, comment the previous line with a "#" and remove the "#" from the next line.
#$vnetName="TestLab"
Connect-AzAccount
Select-AzSubscription -SubscriptionName $subscrName
$staticIP="10.0.0.100"
$locName=(Get-AzResourceGroup -Name $rgName).Location
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$pip = New-AzPublicIpAddress -Name ADFS1-PIP -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$nic = New-AzNetworkInterface -Name ADFS1-NIC -ResourceGroupName $rgName -Location $locName -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName ADFS1 -VMSize Standard_D2_v2
$cred=Get-Credential -Message "Type the name and password of the local administrator account for ADFS1."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName ADFS1 -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name "ADFS-OS" -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType "Standard_LRS"
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

Successivamente, utilizzare il portale di Azure per connettersi alla macchina virtuale ADFS1 usando il nome e la password dell'account Administrator locale di ADFS1, quindi aprire un prompt dei comandi di Windows PowerShell.Next, use the Azure portal to connect to the ADFS1 virtual machine using the ADFS1 local administrator account name and password, and then open a Windows PowerShell command prompt.

Per controllare la risoluzione del nome e la comunicazione della rete tra ADFS1 e DC1, eseguire il comando ping dc1.corp.contoso.com e verificare che siano presenti quattro risposte.To check name resolution and network communication between ADFS1 and DC1, run the ping dc1.corp.contoso.com command and check that there are four replies.

Unire quindi la macchina virtuale ADFS1 al dominio CORP immettendo questi comandi nel prompt dei comandi di Windows PowerShell in ADFS1.Next, join the ADFS1 virtual machine to the CORP domain with these commands at the Windows PowerShell prompt on ADFS1.

$cred=Get-Credential -UserName "CORP\User1" -Message "Type the User1 account password."
Add-Computer -DomainName corp.contoso.com -Credential $cred
Restart-Computer

Questa è la configurazione risultante.Here is your resulting configuration.

Server AD FS aggiunto a DirSync per l'ambiente di testing di Microsoft 365

Fase 3: Creare il server proxy WebPhase 3: Create the web proxy server

PROXY1 consente l'inoltro dei messaggi di autenticazione tra gli utenti e ADFS1.PROXY1 provides proxying of authentication messages between users trying to authenticate and ADFS1.

Per creare una macchina virtuale Azure per PROXY1, inserire il nome del gruppo di risorse e la posizione di Azure, quindi eseguire questi comandi al prompt dei comandi di Azure PowerShell nel computer locale.To create an Azure virtual machine for PROXY1, fill in the name of your resource group and Azure location, and then run these commands at the Azure PowerShell command prompt on your local computer.

$rgName="<the resource group name of your Base Configuration>"
$vnetName="TlgBaseConfig-01-VNET"
# NOTE: If you built your simulated intranet with Azure PowerShell, comment the previous line with a "#" and remove the "#" from the next line.
#$vnetName="TestLab"
$staticIP="10.0.0.101"
$locName=(Get-AzResourceGroup -Name $rgName).Location
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$pip = New-AzPublicIpAddress -Name PROXY1-PIP -ResourceGroupName $rgName -Location $locName -AllocationMethod Static
$nic = New-AzNetworkInterface -Name PROXY1-NIC -ResourceGroupName $rgName -Location $locName -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName PROXY1 -VMSize Standard_D2_v2
$cred=Get-Credential -Message "Type the name and password of the local administrator account for PROXY1."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName PROXY1 -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name "PROXY1-OS" -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType "Standard_LRS"
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

Nota

A PROXY1 viene assegnato un indirizzo IP pubblico statico perché verrà creato un record DNS pubblico che punta a esso e non deve essere modificato quando si riavvia la macchina virtuale PROXY1.PROXY1 is assigned a static public IP address because you will create a public DNS record that points to it and it must not change when you restart the PROXY1 virtual machine.

Aggiungere quindi una regola al gruppo di sicurezza di rete per la sottorete CorpNet per consentire il traffico in ingresso non sollecitato da Internet all'indirizzo IP privato di PROXY1 e la porta TCP 443. Eseguire questi comandi al prompt dei comandi di Azure PowerShell nel computer locale.Next, add a rule to the network security group for the CorpNet subnet to allow unsolicited inbound traffic from the Internet to PROXY1's private IP address and TCP port 443. Run these commands at the Azure PowerShell command prompt on your local computer.

$rgName="<the resource group name of your Base Configuration>"
Get-AzNetworkSecurityGroup -Name CorpNet -ResourceGroupName $rgName | Add-AzNetworkSecurityRuleConfig -Name "HTTPS-to-PROXY1" -Description "Allow TCP 443 to PROXY1" -Access "Allow" -Protocol "Tcp" -Direction "Inbound" -Priority 101 -SourceAddressPrefix "Internet" -SourcePortRange "*" -DestinationAddressPrefix "10.0.0.101" -DestinationPortRange "443" | Set-AzNetworkSecurityGroup

Successivamente, utilizzare il portale di Azure per connettersi alla macchina virtuale PROXY1 usando il nome e la password dell'account Administrator locale di PROXY1, quindi aprire un prompt dei comandi di Windows PowerShell in PROXY1.Next, use the Azure portal to connect to the PROXY1 virtual machine using the PROXY1 local administrator account name and password, and then open a Windows PowerShell command prompt on PROXY1.

Per controllare la risoluzione del nome e la comunicazione della rete tra PROXY1 e DC1, eseguire il comando ping dc1.corp.contoso.com e verificare che siano presenti quattro risposte.To check name resolution and network communication between PROXY1 and DC1, run the ping dc1.corp.contoso.com command and check that there are four replies.

Unire quindi la macchina virtuale PROXY1 al dominio CORP immettendo questi comandi nel prompt dei comandi di Windows PowerShell in PROXY1.Next, join the PROXY1 virtual machine to the CORP domain with these commands at the Windows PowerShell prompt on PROXY1.

$cred=Get-Credential -UserName "CORP\User1" -Message "Type the User1 account password."
Add-Computer -DomainName corp.contoso.com -Credential $cred
Restart-Computer

Visualizzare l'indirizzo IP pubblico di PROXY1 con questi comandi PowerShell di Azure nel computer locale:Display the public IP address of PROXY1 with these Azure PowerShell commands on your local computer:

Write-Host (Get-AzPublicIpaddress -Name "PROXY1-PIP" -ResourceGroup $rgName).IPAddress

Successivamente, collaborare con il proprio provider DNS pubblico e creare un nuovo record DNS A pubblico per ** fs.testlab. <your DNS domain name> che consenta di risolvere l’indirizzo IP visualizzato dal comando ** Write-Host. Il fs.testlab.<your DNS domain name> verrà di seguito indicato come nome di dominio completo del servizio federativo.Next, work with your public DNS provider and create a new public DNS A record for fs.testlab.<your DNS domain name> that resolves to the IP address displayed by the Write-Host command. The fs.testlab.<your DNS domain name> is hereafter referred to as the federation service FQDN.

Successivamente, utilizzare il portale di Azure per connettersi alla macchina virtuale DC1 usando le credenziali di CORP\User1, quindi eseguire i comandi seguenti a un prompt dei comandi di Windows PowerShell a livello di amministratore:Next, use the Azure portal to connect to the DC1 virtual machine using the CORP\User1 credentials, and then run the following commands at an administrator-level Windows PowerShell command prompt:

Add-DnsServerPrimaryZone -Name corp.contoso.com -ZoneFile corp.contoso.com.dns
Add-DnsServerResourceRecordA -Name "fs" -ZoneName corp.contoso.com -AllowUpdateAny -IPv4Address "10.0.0.100" -TimeToLive 01:00:00

Tali comandi consentono di creare un record DNS A interno in modo che le macchine virtuali nella rete virtuale di Azure possano risolvere il nome di dominio completo interno della federazione nell'indirizzo IP privato di ADFS1.These commands create an internal DNS A record so that virtual machines on the Azure virtual network can resolve the internal federation FQDN to ADFS1's private IP address.

Questa è la configurazione risultante.Here is your resulting configuration.

Server proxy dell'applicazione Web aggiunto a DirSync per l'ambiente di testing di Microsoft 365

Fase 4: Creare un certificato autofirmato e configurare ADFS1 e PROXY1Phase 4: Create a self-signed certificate and configure ADFS1 and PROXY1

In questa fase, viene creato un certificato digitale autofirmato per il nome di dominio completo del servizio federativo e vengono configurati ADFS1 e PROXY1 come farm AD FS.In this phase, you create a self-signed digital certificate for your federation service FQDN and configure ADFS1 and PROXY1 as an AD FS farm.

Per prima cosa, utilizzare il portale di Azure per connettersi alla macchina virtuale DC1 usando le credenziali di CORP\CORPUser1, quindi aprire un prompt dei comandi di Windows PowerShell a livello di amministratore. First, use the Azure portal to connect to the DC1 virtual machine using the CORP\User1 credentials, and then open an administrator-level Windows PowerShell command prompt.

Successivamente, creare un account del servizio AD FS con questo comando al prompt dei comandi di Windows PowerShell in DC1:Next, create AD FS service account with this command at the Windows PowerShell command prompt on DC1:

New-ADUser -SamAccountName ADFS-Service -AccountPassword (read-host "Set user password" -assecurestring) -name "ADFS-Service" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false

Tenere presente che questo comando chiede di specificare la password dell'account. Scegliere una password complessa e annotarla in una posizione sicura. Sarà necessaria per questa e la fase successiva.Note that this command prompts you to supply the account password. Choose a strong password and record it in a secured location. You will need it for this phase and Phase 5.

Utilizzare il portale di Azure per connettersi alla macchina virtuale ADFS1 utilizzando le credenziali di CORP\CORPUser1. Aprire un prompt dei comandi di Windows PowerShell a livello di amministratore su ADFS1, immettere il nome di dominio completo del servizio federativo e quindi eseguire questi comandi per creare un certificato autofirmato:Use the Azure portal to connect to the ADFS1 virtual machine using the CORP\User1 credentials. Open an administrator-level Windows PowerShell command prompt on ADFS1, fill in your federation service FQDN, and then run these commands to create a self-signed certificate:

$fedServiceFQDN="<federation service FQDN>"
New-SelfSignedCertificate -DnsName $fedServiceFQDN -CertStoreLocation "cert:\LocalMachine\My"
New-Item -path c:\Certs -type directory
New-SmbShare -name Certs -path c:\Certs -changeaccess CORP\User1

Successivamente, seguire questi passaggi per salvare il nuovo certificato autofirmato come file.Next, use these steps to save the new self-signed certificate as a file.

  1. Fare clic sul pulsante Start, digitare mmc.exe, quindi premere INVIO.Click Start, type mmc.exe, and then press Enter.

  2. Fare clic su File > Aggiungi/Rimuovi snap-in.Click File > Add/Remove Snap-in.

  3. In Aggiungi o rimuovi snap-in, fare doppio clic su Certificati nell'elenco di snap-in disponibili, fare clic su Account del computer, quindi fare clic su Avanti.In Add or Remove Snap-ins, double-click Certificates in the list of available snap-ins, click Computer account, and then click Next.

  4. In Seleziona computer, fare clic su Fine e quindi su OK.In Select Computer, click Finish, and then click OK.

  5. Nel riquadro dell'albero, aprire Certificati (computer locali) > Personale > Certificati.In the tree pane, open Certificates (Local Computer) > Personal > Certificates.

  6. Fare clic con il pulsante destro del mouse sul certificato con il nome di dominio completo del servizio federativo, fare clic su Tutte le attività, quindi su Esporta.Right-click the certificate with your federation service FQDN, click All tasks, and then click Export.

  7. Nella pagina iniziale, scegliere Avanti.On the Welcome page, click Next.

  8. Nella pagina Esportazione della chiave privata con il certificato fare clic su , quindi su Avanti.On the Export Private Key page, click Yes, and then click Next.

  9. Nella pagina Formato file di esportazione fare clic su Esporta tutte le proprietà estese, quindi su Avanti.On the Export File Format page, click Export all extended properties, and then click Next.

  10. Nella pagina Sicurezza fare clic su Password e digitare una password in Password e Conferma password.On the Security page, click Password and type a password in Password and Confirm password.

  11. Nella pagina File da esportare fare clic su Sfoglia.On the File to Export page, click Browse.

  12. Passare alla cartella C:\Certs, digitare SSL in Nome file e quindi fare clic su Salva.Browse to the C:\Certs folder, type SSL in File name, and then click Save.

  13. Nella pagina File da esportare fare clic su Avanti.On the File to Export page, click Next.

  14. Nella pagina Completamento dell'Esportazione guidata certificati fare clic su Fine. Quando richiesto, fare clic su OK.On the Completing the Certificate Export Wizard page, click Finish. When prompted, click OK.

Successivamente, installare il servizio AD FS con questo comando al prompt dei comandi di Windows PowerShell in ADFS1:Next, install the AD FS service with this command at the Windows PowerShell command prompt on ADFS1:

Install-WindowsFeature ADFS-Federation -IncludeManagementTools

Attendere che venga stabilita la connessione.Wait for the installation to complete.

Successivamente, configurare il servizio AD FS seguendo questi passaggi:Next, configure the AD FS service with these steps:

  1. Fare clic sul pulsante Start e quindi fare clic sull'icona Server Manager.Click Start, and then click the Server Manager icon.

  2. Nel riquadro dell'albero di Server Manager, fare clic su AD FS.In the tree pane of Server Manager, click AD FS.

  3. Nella barra degli strumenti nella parte superiore, fare clic sul simbolo di attenzione arancione e quindi fare clic su Configurare il servizio federativo nel server.In the tool bar at the top, click the orange caution symbol, and then click Configure the federation service on this server.

  4. Nella pagina di benvenuto in Configurazione guidata Active Directory Federation Services, fare clic su Avanti.On the Welcome page of the Active Directory Federation Services Configuration Wizard, click Next.

  5. Nella pagina Connessione a Servizi di dominio Active Directory fare clic su Avanti.On the Connect to AD DS page, click Next.

  6. Nella pagina Impostazione proprietà del servizio:On the Specify Service Properties page:

  • Per Certificato SSL fare clic sulla freccia in giù, quindi selezionare il certificato con il nome di dominio completo del servizio federativo.For SSL Certificate, click the down arrow, and then click the certificate with the name of your federation service FQDN.

  • In Nome visualizzato del servizio federativo, digitare il nome dell'organizzazione fittizia.In Federation Service Display Name, type the name of your fictional organization.

  • Fare clic su Avanti.Click Next.

  1. Nella pagina Impostazione account del servizio fare clic su Seleziona per Nome account.On the Specify Service Account page, click Select for Account name.

  2. In Seleziona utente o account del servizio digitare Servizio ADFS, fare clic su Controlla nomi, quindi su OK.In Select User or Service Account, type ADFS-Service, click Check Names, and then click OK.

  3. In Password account digitare la password per l'account del servizio ADFS, quindi fare clic su Avanti.In Account Password, type the password for the ADFS-Service account, and then click Next.

  4. Nella pagina Impostazione database di configurazione fare clic su Avanti.On the Specify Configuration Database page, click Next.

  5. Nella pagina Verifica opzioni fare clic su Avanti.On the Review Options page, click Next.

  6. Nella pagina Controlli dei prerequisiti fare clic su Configura.On the Pre-requisite Checks page, click Configure.

  7. Nella pagina Risultati fare clic su Chiudi.On the Results page, click Close.

  8. Fare clic sul pulsante Start, selezionare l'icona di alimentazione, fare clic su Riavvia e quindi su Continua.Click Start, click the power icon, click Restart, and then click Continue.

Dal portale Azure, connettersi a PROXY1 con le credenziali dell'account CORP\User1.From the Azure portal, connect to PROXY1 with the CORP\User1 account credentials.

Successivamente, seguire questi passaggi per installare il certificato autofirmato sia in PROXY1 che in APP1.Next, use these steps to install the self-signed certificate on both PROXY1 and APP1.

  1. Fare clic sul pulsante Start, digitare mmc.exe, quindi premere INVIO.Click Start, type mmc.exe, and then press Enter.

  2. Fare clic su File > Aggiungi/Rimuovi snap-in.Click File > Add/Remove Snap-in.

  3. In Aggiungi o rimuovi snap-in, fare doppio clic su Certificati nell'elenco di snap-in disponibili, fare clic su Account del computer, quindi fare clic su Avanti.In Add or Remove Snap-ins, double-click Certificates in the list of available snap-ins, click Computer account, and then click Next.

  4. In Seleziona computer, fare clic su Fine e quindi su OK.In Select Computer, click Finish, and then click OK.

  5. Nel riquadro dell'albero, aprire Certificati (computer locali) > Personale > Certificati.In the tree pane, open Certificates (Local Computer) > Personal > Certificates.

  6. Fare clic con il pulsante destro del mouse su Personale, selezionare Tutte le attività e fare clic su Importa.Right-click Personal, click All tasks, and then click Import.

  7. Nella pagina iniziale, scegliere Avanti.On the Welcome page, click Next.

  8. Nella pagina File da importare digitare \\adfs1\certs\ssl.pfx, quindi fare clic su Avanti.On the File to Import page, type \\adfs1\certs\ssl.pfx, and then click Next.

  9. Nella pagina Protezione della chiave privata digitare la password del certificato in Password, quindi fare clic su Avanti.On the Private key protection page, type the certificate password in Password, and then click Next.

  10. Nella pagina Archivio certificati fare clic su Avanti.On the Certificate store page, click Next.

  11. Nella pagina Completamento in corso fare clic su Fine.On the Completing page, click Finish.

  12. Nella pagina Archivio certificati fare clic su Avanti.On the Certificate Store page, click Next.

  13. Quando viene richiesto, fare clic su OK.When prompted, click OK.

  14. Fare clic su Certificati nel riquadro dell'albero.Click Certificates in the tree pane.

  15. Fare clic con il pulsante destro del mouse sul certificato, quindi su Copia.Right-click the certificate, and then click Copy.

  16. Nel riquadro dell'albero, aprire Autorità di certificazione radice attendibili > Certificati.In the tree pane, open Trusted Root Certification Authorities > Certificates.

  17. Spostare il puntatore del mouse sotto l'elenco di certificati installati rapida, fare clic con il pulsante destro e quindi selezionare Incolla.Move your mouse pointer below the list of installed certificates, right-click, and then click Paste.

Aprire un prompt dei comandi PowerShell a livello di amministratore ed eseguire il comando seguente:Open an administrator-level PowerShell command prompt and run the following command:

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

Attendere che venga stabilita la connessione.Wait for the installation to complete.

Seguire questi passaggi per configurare il servizio proxy dell'applicazione Web in modo da utilizzare ADFS1 come server federativo:Use these steps to configure the web application proxy service to use ADFS1 as its federation server:

  1. Fare clic sul pulsante Start e quindi scegliere Server Manager.Click Start, and then click Server Manager.

  2. Nel riquadro dell'albero fare clic su Accesso remoto.In the tree pane, click Remote Access.

  3. Nella barra degli strumenti nella parte superiore, fare clic sul simbolo di attenzione arancione e quindi fare clic su Apre la procedura guidata per il proxy dell'applicazione Web.In the tool bar at the top, click the orange caution symbol, and then click Open the Web Application Proxy Wizard.

  4. Nella pagina di benvenuto nella Configurazione guidata proxy applicazione Web, fare clic su Avanti.On the Welcome page of the Web Application Proxy Configuration Wizard, click Next.

  5. Nella pagina Server federativo:On the Federation Server page:

  • Digitare il nome di dominio completo del servizio federativo in Nome servizio federativo.Type your federation service FQDN in Federation service name.

  • Digitare CORP\User1 in Nome utente.Type CORP\User1 in User name.

  • Digitare la password per l'account User1 nel campo Password.Type the password for the User1 account in Password.

  • Fare clic su Avanti.Click Next.

  1. Nella pagina Certificato proxy AD FS fare clic sulla freccia in giù, selezionare il certificato con il nome di dominio completo del servizio federativo e fare clic su Avanti.On the AD FS Proxy Certificate page, click the down arrow, click the certificate with your federation service FQDN, and then click Next.

  2. Nella pagina Conferma fare clic su Configura.On the Confirmation page, click Configure.

  3. Nella pagina Risultati fare clic su Chiudi.On the Results page, click Close.

Fase 5: Configurare Microsoft 365 per l'identità federativaPhase 5: Configure Microsoft 365 for federated identity

Utilizzare il portale di Azure per connettersi alla macchina virtuale APP1 utilizzando le credenziali dell'account di CORP\CORPUser1.Use the Azure portal to connect to the APP1 virtual machine with the CORP\User1 account credentials.

Attenersi a questa procedura per configurare Azure AD Connect e l'abbonamento a Microsoft 365 per l'autenticazione federata:Use these steps to configure Azure AD Connect and your Microsoft 365 subscription for federated authentication:

  1. Dal desktop, fare doppio clic su Azure AD Connect.From the desktop, double-click Azure AD Connect.

  2. Nella pagina Azure AD Connect fare clic su Configura.On the Welcome to Azure AD Connect page, click Configure.

  3. Nella pagina Attività aggiuntive fare clic su Cambia l'accesso utente, quindi su Avanti.On the Additional tasks page, click Change user sign-in, and then click Next.

  4. Nella pagina Connessione ad Azure AD, digitare il nome e la password dell'account amministratore globale e fare clic su Avanti.On the Connect to Azure AD page, type your global administrator account name and password, and then click Next.

  5. Nella pagina Accesso utente, fare clic su Federazione tramite ADFS, quindi fare clic su Avanti.On the User sign-in page, click Federation with AD FS, and then click Next.

  6. Nella pagina Farm AD FS fare clic su Usa una farm AD FS esistente, digitare ADFS1 in Nome del server e quindi fare clic su Avanti.On the AD FS farm page, click Use an existing AD FS farm, type ADFS1 in Server Name, and then click Next.

  7. Quando vengono richieste le credenziali del server, immettere quelle dell'account di CORP\CORPUser1, quindi fare clic su OK.When prompted for server credentials, enter the credentials of the CORP\User1 account, and then click OK.

  8. Nella pagina delle credenziali dell'amministratore di dominio digitare CORP\User1 in Nome utente e la password dell'account in Password, quindi fare clic su Avanti.On the Domain Administrator credentials page, type CORP\User1 in Username and the account password in Password, and then click Next.

  9. Nella pagina Account del servizio ADFS digitare CORP\ADFS-Service in Nome utente di dominio e la password dell'account in Password utente di dominio, quindi fare clic su Avanti.On the AD FS service account page, type CORP\ADFS-Service in Domain Username and the account password in Domain User Password, and then click Next.

  10. Nella pagina Dominio di Azure AD, in Dominio selezionare il nome del dominio precedentemente creato e aggiunto all'abbonamento nella fase 1, quindi fare clic su Avanti.On the Azure AD Domain page, in Domain, select the name of the domain you previously created and added to your subscription in Phase 1, and then click Next.

  11. Nella pagina Pronto per la configurazione fare clic su Configura.On the Ready to configure page, click Configure.

  12. Nella pagina Installazione completata fare clic su Verifica.On the Installation complete page, click Verify.

    Verranno visualizzati messaggi che confermano la corretta configurazione Internet e Intranet.You should see messages indicating that both the intranet and Internet configuration was verified.

  13. Nella pagina Installazione completata, fare clic su Chiudi.On the Installation complete page, click Exit.

Per verificare il funzionamento dell'autenticazione federata, eseguire le operazioni seguenti:To demonstrate that federated authentication is working:

  1. Aprire una nuova istanza privata del browser nel computer locale e andare a https://admin.microsoft.com.Open a new private instance of your browser on your local computer and go to https://admin.microsoft.com.

  2. Per le credenziali di accesso, digitare user1@<the domain created in Phase 1>.For the sign-in credentials, type user1@<the domain created in Phase 1>.

    Ad esempio, se il dominio di test è testlab.contoso.com, digitare "user1@testlab.contoso.com". Premere TAB o consentire a Microsoft 365 di eseguire il reindirizzamento automatico.For example, if your test domain is testlab.contoso.com, you would type "user1@testlab.contoso.com". Press TAB or allow Microsoft 365 to automatically redirect you.

    Viene visualizzata una pagina La connessione non è privata. Accade questo perché è stato installato un certificato autofirmato su ADFS1 che non può essere convalidato dal computer desktop. In una distribuzione di produzione di autenticazione federata, utilizzare un certificato rilasciato da un'autorità di certificazione attendibile per fare in modo che gli utenti non visualizzino questa pagina.You should now see a Your connection is not private page. You are seeing this because you installed a self-signed certificate on ADFS1 that your desktop computer cannot validate. In a production deployment of federated authentication, you would use a certificate from a trusted certification authority and your users would not see this page.

  3. Nella pagina La connessione non è privata, fare clic su Avanzate, quindi su Continua a <your federation service FQDN>.On the Your connection is not private page, click Advanced, and then click Proceed to <your federation service FQDN>.

  4. Nella pagina con il nome dell'organizzazione fittizia accedere con le seguenti credenziali:On the page with the name of your fictional organization, sign in with the following:

  • CORP\User1 per il nomeCORP\User1 for the name

  • La password per l'account User1The password for the User1 account

    Verrà visualizzata la Home Page Microsoft Office.You should see the Microsoft Office Home page.

Questa procedura dimostra che l'abbonamento di valutazione è federato con il dominio corp.contoso.com di Active Directory Domain Services ospitato su DC1. Ecco i concetti di base del processo di autenticazione:This procedure demonstrates that your trial subscription is federated with the AD DS corp.contoso.com domain hosted on DC1. Here are the basics of the authentication process:

  1. Quando si utilizza il dominio federato creato nella fase 1 all'interno del nome dell'account di accesso, Microsoft 365 reindirizza il browser al nome di dominio completo del servizio federativo e PROXY1.When you use the federated domain that you created in Phase 1 within the sign-in account name, Microsoft 365 redirects your browser to your federation service FQDN and PROXY1.

  2. PROXY1 invia al computer locale la pagina di accesso della società fittizia.PROXY1 sends your local computer the fictional company sign-in page.

  3. Quando si invia CORP\CORPUser1 e la password a PROXY1, quest'ultimo li reinvia ad ADFS1.When you send CORP\User1 and the password to PROXY1, it forwards them to ADFS1.

  4. ADFS1 convalida CORP\CORPUser1 e la password con DC1 e invia al computer locale un token di sicurezza.ADFS1 validates CORP\User1 and the password with DC1 and sends your local computer a security token.

  5. Il computer locale invia il token di sicurezza a Microsoft 365.Your local computer sends the security token to Microsoft 365.

  6. Microsoft 365 verifica che il token di sicurezza è stato creato da ADFS1 e consente l'accesso.Microsoft 365 validates that the security token was created by ADFS1 and allows access.

L'abbonamento di valutazione è ora configurato con l'autenticazione federata. È possibile usare questo ambiente di sviluppo/test per scenari di autenticazione avanzata.Your trial subscription is now configured with federated authentication. You can use this dev/test environment for advanced authentication scenarios.

Passaggio successivoNext step

Quando si è pronti a distribuire l'autenticazione federata pronta per la produzione a disponibilità elevata per Microsoft 365 in Azure, vedere deploy High Availability Federated Authentication for microsoft 365 in Azure.When you are ready to deploy production-ready, high availability federated authentication for Microsoft 365 in Azure, see Deploy high availability federated authentication for Microsoft 365 in Azure.