Identità federata per l'ambiente di testing di Microsoft 365Federated identity for your Microsoft 365 test environment

Questa guida del laboratorio di testing può essere utilizzata per ambienti di testing Microsoft 365 per Enterprise e Office 365 Enterprise.This Test Lab Guide can be used for both Microsoft 365 for enterprise and Office 365 Enterprise test environments.

Microsoft 365 supporta l'identità federativa. Questo indica che invece di eseguire la convalida delle credenziali autonomamente, Microsoft 365 fa riferimento all'utente connesso a un server di autenticazione federata che Microsoft 365 considera attendibile. Se le credenziali dell'utente sono corrette, il server di autenticazione federata emette un token di sicurezza che il client invia quindi a Microsoft 365 come prova di autenticazione. L'identità federativa consente l'offload e la scalabilità in verticale di autenticazione per una sottoscrizione a Microsoft 365 e scenari di sicurezza e autenticazione avanzata.Microsoft 365 supports federated identity. This means that instead of performing the validation of credentials itself, Microsoft 365 refers the connecting user to a federated authentication server that Microsoft 365 trusts. If the user's credentials are correct, the federated authentication server issues a security token that the client then sends to Microsoft 365 as proof of authentication. Federated identity allows for the offloading and scaling up of authentication for a Microsoft 365 subscription and advanced authentication and security scenarios.

In questo articolo viene descritto come configurare l'autenticazione federata per l'ambiente di testing di Microsoft 365, ottenendo quanto segue:This article describes how to configure federated authentication for your Microsoft 365 test environment, resulting in the following:

Autenticazione federata per l'ambiente di testing di Office 365

Questa configurazione è costituita da:This configuration consists of:

  • Un abbonamento di valutazione o di produzione Microsoft 365 E5.A Microsoft 365 E5 trial or production subscription.

  • Una Intranet dell'organizzazione semplificata connessa a Internet, costituita da cinque macchine virtuali in una subnet di una rete virtuale di Azure (DC1, APP1, CLIENT1, ADFS1 e PROXY1).A simplified organization intranet connected to the internet, consisting of five virtual machines on a subnet of an Azure virtual network (DC1, APP1, CLIENT1, ADFS1, and PROXY1). Azure AD Connect viene eseguito su APP1 per sincronizzare l'elenco degli account nel dominio di servizi di dominio Active Directory con Microsoft 365.Azure AD Connect runs on APP1 to synchronize the list of accounts in the Active Directory Domain Services domain to Microsoft 365. PROXY1 riceve le richieste di autenticazione in arrivo.PROXY1 receives the incoming authentication requests. ADFS1 convalida le credenziali con DC1 e rilascia token di sicurezza.ADFS1 validates credentials with DC1 and issues security tokens.

La configurazione di questo ambiente di testing comporta cinque fasi:Setting up this test environment involves five phases:

Nota

Non è possibile configurare l'ambiente di testing con una sottoscrizione di valutazione di Azure.You can't configure this test environment with an Azure Trial subscription.

Fase 1: configurare la sincronizzazione hash delle password per l'ambiente di testing di Microsoft 365Phase 1: Configure password hash synchronization for your Microsoft 365 test environment

Seguire le istruzioni riportate in sincronizzazione hash delle password per Microsoft 365.Follow the instructions in password hash synchronization for Microsoft 365. La configurazione risultante è simile alla seguente:Your resulting configuration looks like this:

L'organizzazione simulata con ambiente di testing per la sincronizzazione hash delle password

Questa configurazione è costituita da:This configuration consists of:

  • Una versione di valutazione di Microsoft 365 E5 o abbonamenti A pagamento.A Microsoft 365 E5 trial or paid subscriptions.
  • Una Intranet dell'organizzazione semplificata connessa a Internet, costituita dalle macchine virtuali DC1, APP1 e CLIENT1 in una subnet di una rete virtuale di Azure.A simplified organization intranet connected to the internet, consisting of the DC1, APP1, and CLIENT1 virtual machines on a subnet of an Azure virtual network. Azure AD Connect viene eseguito su APP1 per sincronizzare periodicamente il dominio servizi di dominio Active Directory (AD DS) di TESTLAB con il tenant di Azure AD delle sottoscrizioni di Microsoft 365.Azure AD Connect runs on APP1 to synchronize the TESTLAB Active Directory Domain Services (AD DS) domain to the Azure AD tenant of your Microsoft 365 subscriptions periodically.

Fase 2: creare il server AD FSPhase 2: Create the AD FS server

Un server AD FS fornisce l'autenticazione federata tra Microsoft 365 e gli account nel dominio corp.contoso.com ospitato su DC1.An AD FS server provides federated authentication between Microsoft 365 and the accounts in the corp.contoso.com domain hosted on DC1.

Per creare una macchina virtuale Azure per ADFS1, inserire il nome della sottoscrizione, il gruppo di risorse e la posizione di Azure per la configurazione di base, quindi eseguire questi comandi al prompt dei comandi di Azure PowerShell nel computer locale.To create an Azure virtual machine for ADFS1, fill in the name of your subscription and the resource group and Azure location for your Base Configuration, and then run these commands at the Azure PowerShell command prompt on your local computer.

$subscrName="<your Azure subscription name>"
$rgName="<the resource group name of your Base Configuration>"
$vnetName="TlgBaseConfig-01-VNET"
# NOTE: If you built your simulated intranet with Azure PowerShell, comment the previous line with a "#" and remove the "#" from the next line.
#$vnetName="TestLab"
Connect-AzAccount
Select-AzSubscription -SubscriptionName $subscrName
$staticIP="10.0.0.100"
$locName=(Get-AzResourceGroup -Name $rgName).Location
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$pip = New-AzPublicIpAddress -Name ADFS1-PIP -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$nic = New-AzNetworkInterface -Name ADFS1-NIC -ResourceGroupName $rgName -Location $locName -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName ADFS1 -VMSize Standard_D2_v2
$cred=Get-Credential -Message "Type the name and password of the local administrator account for ADFS1."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName ADFS1 -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name "ADFS-OS" -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType "Standard_LRS"
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

Successivamente, utilizzare il portale di Azure per connettersi alla macchina virtuale ADFS1 usando il nome e la password dell'account Administrator locale di ADFS1, quindi aprire un prompt dei comandi di Windows PowerShell.Next, use the Azure portal to connect to the ADFS1 virtual machine using the ADFS1 local administrator account name and password, and then open a Windows PowerShell command prompt.

Per controllare la risoluzione del nome e la comunicazione della rete tra ADFS1 e DC1, eseguire il comando ping dc1.corp.contoso.com e verificare che siano presenti quattro risposte.To check name resolution and network communication between ADFS1 and DC1, run the ping dc1.corp.contoso.com command and check that there are four replies.

Unire quindi la macchina virtuale ADFS1 al dominio CORP immettendo questi comandi nel prompt dei comandi di Windows PowerShell in ADFS1.Next, join the ADFS1 virtual machine to the CORP domain with these commands at the Windows PowerShell prompt on ADFS1.

$cred=Get-Credential -UserName "CORP\User1" -Message "Type the User1 account password."
Add-Computer -DomainName corp.contoso.com -Credential $cred
Restart-Computer

La configurazione risultante è simile alla seguente:Your resulting configuration looks like this:

Server AD FS aggiunto a DirSync per l'ambiente di testing di Microsoft 365

Fase 3: Creare il server proxy WebPhase 3: Create the web proxy server

PROXY1 consente l'inoltro dei messaggi di autenticazione tra gli utenti e ADFS1.PROXY1 provides proxying of authentication messages between users trying to authenticate and ADFS1.

Per creare una macchina virtuale Azure per PROXY1, inserire il nome del gruppo di risorse e la posizione di Azure, quindi eseguire questi comandi al prompt dei comandi di Azure PowerShell nel computer locale.To create an Azure virtual machine for PROXY1, fill in the name of your resource group and Azure location, and then run these commands at the Azure PowerShell command prompt on your local computer.

$rgName="<the resource group name of your Base Configuration>"
$vnetName="TlgBaseConfig-01-VNET"
# NOTE: If you built your simulated intranet with Azure PowerShell, comment the previous line with a "#" and remove the "#" from the next line.
#$vnetName="TestLab"
$staticIP="10.0.0.101"
$locName=(Get-AzResourceGroup -Name $rgName).Location
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$pip = New-AzPublicIpAddress -Name PROXY1-PIP -ResourceGroupName $rgName -Location $locName -AllocationMethod Static
$nic = New-AzNetworkInterface -Name PROXY1-NIC -ResourceGroupName $rgName -Location $locName -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName PROXY1 -VMSize Standard_D2_v2
$cred=Get-Credential -Message "Type the name and password of the local administrator account for PROXY1."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName PROXY1 -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name "PROXY1-OS" -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType "Standard_LRS"
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

Nota

A PROXY1 viene assegnato un indirizzo IP pubblico statico perché verrà creato un record DNS pubblico che punta a esso e non deve essere modificato quando si riavvia la macchina virtuale PROXY1.PROXY1 is assigned a static public IP address because you will create a public DNS record that points to it and it must not change when you restart the PROXY1 virtual machine.

Successivamente, aggiungere una regola al gruppo di sicurezza di rete per la subnet CorpNet per consentire il traffico in ingresso non richiesto da Internet all'indirizzo IP privato PROXY1's e alla porta TCP 443.Next, add a rule to the network security group for the CorpNet subnet to allow unsolicited inbound traffic from the internet to PROXY1's private IP address and TCP port 443. Eseguire questi comandi al prompt dei comandi di Azure PowerShell nel computer locale.Run these commands at the Azure PowerShell command prompt on your local computer.

$rgName="<the resource group name of your Base Configuration>"
Get-AzNetworkSecurityGroup -Name CorpNet -ResourceGroupName $rgName | Add-AzNetworkSecurityRuleConfig -Name "HTTPS-to-PROXY1" -Description "Allow TCP 443 to PROXY1" -Access "Allow" -Protocol "Tcp" -Direction "Inbound" -Priority 101 -SourceAddressPrefix "Internet" -SourcePortRange "*" -DestinationAddressPrefix "10.0.0.101" -DestinationPortRange "443" | Set-AzNetworkSecurityGroup

Successivamente, utilizzare il portale di Azure per connettersi alla macchina virtuale PROXY1 usando il nome e la password dell'account Administrator locale di PROXY1, quindi aprire un prompt dei comandi di Windows PowerShell in PROXY1.Next, use the Azure portal to connect to the PROXY1 virtual machine using the PROXY1 local administrator account name and password, and then open a Windows PowerShell command prompt on PROXY1.

Per controllare la risoluzione del nome e la comunicazione della rete tra PROXY1 e DC1, eseguire il comando ping dc1.corp.contoso.com e verificare che siano presenti quattro risposte.To check name resolution and network communication between PROXY1 and DC1, run the ping dc1.corp.contoso.com command and check that there are four replies.

Unire quindi la macchina virtuale PROXY1 al dominio CORP immettendo questi comandi nel prompt dei comandi di Windows PowerShell in PROXY1.Next, join the PROXY1 virtual machine to the CORP domain with these commands at the Windows PowerShell prompt on PROXY1.

$cred=Get-Credential -UserName "CORP\User1" -Message "Type the User1 account password."
Add-Computer -DomainName corp.contoso.com -Credential $cred
Restart-Computer

Visualizzare l'indirizzo IP pubblico di PROXY1 con questi comandi di Azure PowerShell nel computer locale.Display the public IP address of PROXY1 with these Azure PowerShell commands on your local computer.

Write-Host (Get-AzPublicIpaddress -Name "PROXY1-PIP" -ResourceGroup $rgName).IPAddress

Successivamente, collaborare con il proprio provider DNS pubblico e creare un nuovo record DNS A pubblico per ** fs.testlab. <your DNS domain name> che consenta di risolvere l’indirizzo IP visualizzato dal comando ** Write-Host. Il fs.testlab.<your DNS domain name> verrà di seguito indicato come nome di dominio completo del servizio federativo.Next, work with your public DNS provider and create a new public DNS A record for fs.testlab.<your DNS domain name> that resolves to the IP address displayed by the Write-Host command. The fs.testlab.<your DNS domain name> is hereafter referred to as the federation service FQDN.

Successivamente, utilizzare il portale di Azure per connettersi alla macchina virtuale DC1 usando le credenziali di CORP\User1, quindi eseguire i comandi seguenti a un prompt dei comandi di Windows PowerShell a livello di amministratore:Next, use the Azure portal to connect to the DC1 virtual machine using the CORP\User1 credentials, and then run the following commands at an administrator-level Windows PowerShell command prompt:

Add-DnsServerPrimaryZone -Name corp.contoso.com -ZoneFile corp.contoso.com.dns
Add-DnsServerResourceRecordA -Name "fs" -ZoneName corp.contoso.com -AllowUpdateAny -IPv4Address "10.0.0.100" -TimeToLive 01:00:00

Questi comandi consentono di creare un record DNS interno in modo che le macchine virtuali nella rete virtuale di Azure possano risolvere l'FQDN del servizio federativo interno con l'indirizzo IP privato di ADFS1's.These commands create an internal DNS A record so that virtual machines on the Azure virtual network can resolve the internal federation service FQDN to ADFS1's private IP address.

La configurazione risultante è simile alla seguente:Your resulting configuration looks like this:

Server proxy dell'applicazione Web aggiunto a DirSync per l'ambiente di testing di Microsoft 365

Fase 4: Creare un certificato autofirmato e configurare ADFS1 e PROXY1Phase 4: Create a self-signed certificate and configure ADFS1 and PROXY1

In questa fase, viene creato un certificato digitale autofirmato per il nome di dominio completo del servizio federativo e vengono configurati ADFS1 e PROXY1 come farm AD FS.In this phase, you create a self-signed digital certificate for your federation service FQDN and configure ADFS1 and PROXY1 as an AD FS farm.

Per prima cosa, utilizzare il portale di Azure per connettersi alla macchina virtuale DC1 usando le credenziali di CORP\CORPUser1, quindi aprire un prompt dei comandi di Windows PowerShell a livello di amministratore. First, use the Azure portal to connect to the DC1 virtual machine using the CORP\User1 credentials, and then open an administrator-level Windows PowerShell command prompt.

Successivamente, creare un account del servizio AD FS con questo comando al prompt dei comandi di Windows PowerShell su DC1:Next, create an AD FS service account with this command at the Windows PowerShell command prompt on DC1:

New-ADUser -SamAccountName ADFS-Service -AccountPassword (read-host "Set user password" -assecurestring) -name "ADFS-Service" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false

Tenere presente che questo comando chiede di specificare la password dell'account.Note that this command prompts you to supply the account password. Scegliere una password complessa e annotarla in una posizione sicura.Choose a strong password and record it in a secured location. Sarà necessario per questa fase e per la fase 5.You will need it for this phase and for Phase 5.

Utilizzare il portale di Azure per connettersi alla macchina virtuale ADFS1 utilizzando le credenziali di CORP\CORPUser1. Aprire un prompt dei comandi di Windows PowerShell a livello di amministratore su ADFS1, immettere il nome di dominio completo del servizio federativo e quindi eseguire questi comandi per creare un certificato autofirmato:Use the Azure portal to connect to the ADFS1 virtual machine using the CORP\User1 credentials. Open an administrator-level Windows PowerShell command prompt on ADFS1, fill in your federation service FQDN, and then run these commands to create a self-signed certificate:

$fedServiceFQDN="<federation service FQDN>"
New-SelfSignedCertificate -DnsName $fedServiceFQDN -CertStoreLocation "cert:\LocalMachine\My"
New-Item -path c:\Certs -type directory
New-SmbShare -name Certs -path c:\Certs -changeaccess CORP\User1

Successivamente, seguire questi passaggi per salvare il nuovo certificato autofirmato come file.Next, use these steps to save the new self-signed certificate as a file.

  1. Fare clic sul pulsante Start, immettere mmc.exee quindi premere invio.Select Start, enter mmc.exe, and then press Enter.

  2. Selezionare file > Aggiungi/Rimuovi snap-in.Select File > Add/Remove Snap-in.

  3. In Aggiungi o Rimuovi snap- in, fare doppio clic su certificati nell'elenco di snap-in disponibili, selezionare account computer, quindi selezionare Avanti.In Add or Remove Snap-ins, double-click Certificates in the list of available snap-ins, select Computer account, and then select Next.

  4. In Seleziona computerselezionare finee quindi fare clic su OK.In Select Computer, select Finish, and then select OK.

  5. Nel riquadro dell'albero, aprire Certificati (computer locali) > Personale > Certificati.In the tree pane, open Certificates (Local Computer) > Personal > Certificates.

  6. Seleziona e tieni premuto (o fai clic con il pulsante destro del mouse) sul certificato con il nome di dominio completo del servizio federativo, seleziona tutte le attivitàe quindi Esporta.Select and hold (or right-click) the certificate with your federation service FQDN, select All tasks, and then select Export.

  7. Nella pagina iniziale , selezionare Avanti.On the Welcome page, select Next.

  8. Nella pagina Esporta chiave privata selezionare , quindi fare clic su Avanti.On the Export Private Key page, select Yes, and then select Next.

  9. Nella pagina formato file di esportazione selezionare Esporta tutte le proprietà estese, quindi fare clic su Avanti.On the Export File Format page, select Export all extended properties, and then select Next.

  10. Nella pagina sicurezza selezionare password e immettere una password in password e Conferma password.On the Security page, select Password and enter a password in Password and Confirm password.

  11. Nella pagina file da esportare selezionare Browse.On the File to Export page, select Browse.

  12. Passare alla cartella C: \ certs , immettere SSL in nome filee quindi fare clic su Salva.Browse to the C:\Certs folder, enter SSL in File name, and then select Save.

  13. Nella pagina file da esportare fare clic su Avanti.On the File to Export page, select Next.

  14. Nella pagina completamento dell'esportazione guidata certificati selezionare fine.On the Completing the Certificate Export Wizard page, select Finish. Quando richiesto, selezionare OK.When prompted, select OK.

Successivamente, installare il servizio AD FS con questo comando al prompt dei comandi di Windows PowerShell in ADFS1:Next, install the AD FS service with this command at the Windows PowerShell command prompt on ADFS1:

Install-WindowsFeature ADFS-Federation -IncludeManagementTools

Attendere che venga stabilita la connessione.Wait for the installation to complete.

Successivamente, configurare il servizio AD FS seguendo questi passaggi:Next, configure the AD FS service with these steps:

  1. Fare clic su Start, quindi selezionare l'icona Server Manager .Select Start, and then select the Server Manager icon.

  2. Nel riquadro dell'albero di Server Manager , selezionare ADFS.In the tree pane of Server Manager, select AD FS.

  3. Nella barra degli strumenti nella parte superiore, selezionare il simbolo di attenzione arancione e quindi selezionare Configure the Federation Service on this server.In the tool bar at the top, select the orange caution symbol, and then select Configure the federation service on this server.

  4. Nella pagina di benvenuto della configurazione guidata di Active Directory Federation Services, selezionare Avanti.On the Welcome page of the Active Directory Federation Services Configuration Wizard, select Next.

  5. Nella pagina connessione AD ad DS , selezionare Avanti.On the Connect to AD DS page, select Next.

  6. Nella pagina Impostazione proprietà del servizio:On the Specify Service Properties page:

  • Per il certificato SSL, selezionare la freccia in giù, quindi selezionare il certificato con il nome FQDN del servizio federativo.For SSL Certificate, select the down arrow, and then select the certificate with the name of your federation service FQDN.

  • In nome visualizzato del servizio federativo, immettere il nome dell'organizzazione fittizia.In Federation Service Display Name, enter the name of your fictional organization.

  • Selezionare Avanti.Select Next.

  1. Nella pagina specificare l'account del servizio selezionare Seleziona per nome account.On the Specify Service Account page, select Select for Account name.

  2. In Seleziona account utente o di servizio, immettere ADFS-Service, selezionare Controlla nomie quindi fare clic su OK.In Select User or Service Account, enter ADFS-Service, select Check Names, and then select OK.

  3. In password accountimmettere la password per l'account ADFS-Service e quindi fare clic su Avanti.In Account Password, enter the password for the ADFS-Service account, and then select Next.

  4. Nella pagina impostazione database di configurazione fare clic su Avanti.On the Specify Configuration Database page, select Next.

  5. Nella pagina Opzioni di revisione selezionare Avanti.On the Review Options page, select Next.

  6. Nella pagina controlli prerequisiti , selezionare Configure.On the Pre-requisite Checks page, select Configure.

  7. Nella pagina dei risultati , selezionare Chiudi.On the Results page, select Close.

  8. Fare clic su Start, selezionare l'icona di alimentazione, fare clic su Riavviae quindi su continua.Select Start, select the power icon, select Restart, and then select Continue.

Dal portale Azure, connettersi a PROXY1 con le credenziali dell'account CORP\User1.From the Azure portal, connect to PROXY1 with the CORP\User1 account credentials.

Successivamente, seguire questi passaggi per installare il certificato autofirmato sia in PROXY1 che in APP1.Next, use these steps to install the self-signed certificate on both PROXY1 and APP1.

  1. Fare clic sul pulsante Start, immettere mmc.exee quindi premere invio.Select Start, enter mmc.exe, and then press Enter.

  2. Selezionare File > Aggiungi/Rimuovi snap-in.Select File > Add/Remove Snap-in.

  3. In Aggiungi o Rimuovi snap- in, fare doppio clic su certificati nell'elenco di snap-in disponibili, selezionare account computer, quindi selezionare Avanti.In Add or Remove Snap-ins, double-click Certificates in the list of available snap-ins, select Computer account, and then select Next.

  4. In Seleziona computerselezionare finee quindi fare clic su OK.In Select Computer, select Finish, and then select OK.

  5. Nel riquadro dell'albero, aprire certificati personali (computer locale) > Personal > Certificates.In the tree pane, open Certificates (Local Computer) > Personal > Certificates.

  6. Seleziona e tieni premuto (o fai clic con il pulsante destro del mouse) su personale, seleziona tutte le attivitàe quindi Importa.Select and hold (or right-click) Personal, select All tasks, and then select Import.

  7. Nella pagina iniziale , selezionare Avanti.On the Welcome page, select Next.

  8. Nella pagina file da importare immettere ** \ \ adfs1 \ certs \ SSL. pfx**e quindi fare clic su Avanti.On the File to Import page, enter \\adfs1\certs\ssl.pfx, and then select Next.

  9. Nella pagina protezione della chiave privata immettere la password del certificato in passworde quindi fare clic su Avanti.On the Private key protection page, enter the certificate password in Password, and then select Next.

  10. Nella pagina archivio certificati selezionare Avanti.On the Certificate store page, select Next.

  11. Nella pagina completamento selezionare fine.On the Completing page, select Finish.

  12. Nella pagina archivio certificati selezionare Avanti.On the Certificate Store page, select Next.

  13. Quando richiesto, selezionare OK.When prompted, select OK.

  14. Nel riquadro dell'albero, selezionare certificati.In the tree pane, select Certificates.

  15. Seleziona e tieni premuto (o fai clic con il pulsante destro del mouse) sul certificato e quindi seleziona copia.Select and hold (or right-click) the certificate, and then select Copy.

  16. Nel riquadro dell'albero, aprire certificati Autorità di certificazione radice attendibili > Certificates.In the tree pane, open Trusted Root Certification Authorities > Certificates.

  17. Sposta il puntatore del mouse sotto l'elenco dei certificati installati, seleziona e tieni premuto (o fai clic con il pulsante destro del computer) e quindi seleziona Incolla.Move your mouse pointer below the list of installed certificates, select and hold (or right-click), and then select Paste.

Aprire un prompt dei comandi PowerShell a livello di amministratore ed eseguire il comando seguente:Open an administrator-level PowerShell command prompt and run the following command:

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

Attendere che venga stabilita la connessione.Wait for the installation to complete.

Seguire questi passaggi per configurare il servizio proxy dell'applicazione Web in modo da utilizzare ADFS1 come server federativo:Use these steps to configure the web application proxy service to use ADFS1 as its federation server:

  1. Selezionare Starte quindi Server Manager.Select Start, and then select Server Manager.

  2. Nel riquadro dell'albero, selezionare accesso remoto.In the tree pane, select Remote Access.

  3. Nella barra degli strumenti nella parte superiore, selezionare il simbolo di attenzione arancione e quindi selezionare Apri la procedura guidata del proxy dell'applicazione Web.In the tool bar at the top, select the orange caution symbol, and then select Open the Web Application Proxy Wizard.

  4. Nella pagina di benvenuto della procedura guidata di configurazione del proxy applicazione Web, selezionare Avanti.On the Welcome page of the Web Application Proxy Configuration Wizard, select Next.

  5. Nella pagina Server federativo:On the Federation Server page:

  • Nella casella nome servizio federativo immettere l'FQDN del servizio federativo.In the Federation service name box, enter your federation service FQDN.

  • Nella casella nome utente immettere Corp \ User1.In the User name box, enter CORP\User1.

  • Nella casella password immettere la password per l'account User1.In the Password box, enter the password for the User1 account.

  • Selezionare Avanti.Select Next.

  1. Nella pagina certificato proxy ad FS selezionare la freccia in giù, selezionare il certificato con il nome di dominio completo del servizio federativo e quindi fare clic su Avanti.On the AD FS Proxy Certificate page, select the down arrow, select the certificate with your federation service FQDN, and then select Next.

  2. Nella pagina conferma , selezionare Configura.On the Confirmation page, select Configure.

  3. Nella pagina dei risultati , selezionare Chiudi.On the Results page, select Close.

Fase 5: Configurare Microsoft 365 per l'identità federativaPhase 5: Configure Microsoft 365 for federated identity

Utilizzare il portale di Azure per connettersi alla macchina virtuale APP1 utilizzando le credenziali dell'account di CORP\CORPUser1.Use the Azure portal to connect to the APP1 virtual machine with the CORP\User1 account credentials.

Attenersi a questa procedura per configurare Azure AD Connect e l'abbonamento a Microsoft 365 per l'autenticazione federata:Use these steps to configure Azure AD Connect and your Microsoft 365 subscription for federated authentication:

  1. Dal desktop, fare doppio clic su Azure AD Connect.From the desktop, double-click Azure AD Connect.

  2. Nella pagina Welcome to Azure ad Connect , selezionare Configure.On the Welcome to Azure AD Connect page, select Configure.

  3. Nella pagina attività aggiuntive selezionare Cambia accesso utentee quindi fare clic su Avanti.On the Additional tasks page, select Change user sign-in, and then select Next.

  4. Nella pagina connessione ad Azure ad , immettere il nome e la password dell'account amministratore globale e quindi fare clic su Avanti.On the Connect to Azure AD page, enter your global administrator account name and password, and then select Next.

  5. Nella pagina di accesso dell'utente , selezionare Federazione con ADFS, quindi fare clic su Avanti.On the User sign-in page, select Federation with AD FS, and then select Next.

  6. Nella pagina Farm ADFS, selezionare Usa una farm ad FS esistente, immettere ADFS1 nella casella nome server e quindi fare clic su Avanti.On the AD FS farm page, select Use an existing AD FS farm, enter ADFS1 in the Server Name box, and then select Next.

  7. Quando vengono richieste le credenziali del server, immettere le credenziali dell' \ account Corp User1 e quindi fare clic su OK.When prompted for server credentials, enter the credentials of the CORP\User1 account, and then select OK.

  8. Nella pagina credenziali di amministratore di dominio , immettere Corp \ User1 nella casella nome utente , immettere la password dell'account nella casella password e quindi fare clic su Avanti.On the Domain Administrator credentials page, enter CORP\User1 in the Username box, enter the account password in the Password box, and then select Next.

  9. Nella pagina account del servizio ADFS, immettere Corp \ ADFS-Service nella casella nome utente dominio , immettere la password dell'account nella casella password utente di dominio e quindi fare clic su Avanti.On the AD FS service account page, enter CORP\ADFS-Service in the Domain Username box, enter the account password in the Domain User Password box, and then select Next.

  10. Nella pagina dominio di Azure ad , in dominio, selezionare il nome del dominio precedentemente creato e aggiunto all'abbonamento nella fase 1, quindi selezionare Avanti.On the Azure AD Domain page, in Domain, select the name of the domain that you previously created and added to your subscription in Phase 1, and then select Next.

  11. Nella pagina pronto per la configurazione , selezionare Configure.On the Ready to configure page, select Configure.

  12. Nella pagina installazione completata selezionare Verifica.On the Installation complete page, select Verify.

    Verrà visualizzato un messaggio che indica che sia la configurazione Intranet sia quella Internet sono state verificate.You should see messages indicating that both the intranet and internet configuration was verified.

  13. Nella pagina installazione completata selezionare Esci.On the Installation complete page, select Exit.

Per verificare il funzionamento dell'autenticazione federata, eseguire le operazioni seguenti:To demonstrate that federated authentication is working:

  1. Aprire una nuova istanza privata del browser nel computer locale e andare a https://admin.microsoft.com.Open a new private instance of your browser on your local computer and go to https://admin.microsoft.com.

  2. Per le credenziali di accesso, immettere User1@ <the domain created in Phase 1> .For the sign-in credentials, enter user1@<the domain created in Phase 1>.

    Ad esempio, se il dominio di prova è testlab.contoso.com, immettere "User1@testlab.contoso.com".For example, if your test domain is testlab.contoso.com, you would enter "user1@testlab.contoso.com". Premere il tasto Tab o consentire a Microsoft 365 di reindirizzare automaticamente l'utente.Press the Tab key or allow Microsoft 365 to automatically redirect you.

    Viene visualizzata una pagina La connessione non è privata.You should now see a Your connection is not private page. Si sta vedendo questo dato che è stato installato un certificato autofirmato su ADFS1 che il computer desktop non è in grado di convalidare.You are seeing this because you installed a self-signed certificate on ADFS1 that your desktop computer can't validate. In una distribuzione di produzione di autenticazione federata, utilizzare un certificato rilasciato da un'autorità di certificazione attendibile per fare in modo che gli utenti non visualizzino questa pagina.In a production deployment of federated authentication, you would use a certificate from a trusted certification authority and your users would not see this page.

  3. Nella pagina la connessione non è privata selezionare Avanzate, quindi **fare <your federation service FQDN> **clic su continua.On the Your connection is not private page, select Advanced, and then select Proceed to <your federation service FQDN>.

  4. Nella pagina con il nome dell'organizzazione fittizia accedere con le seguenti credenziali:On the page with the name of your fictional organization, sign in with the following:

  • CORP\User1 per il nomeCORP\User1 for the name

  • La password per l'account User1The password for the User1 account

    Verrà visualizzata la Home Page Microsoft Office.You should see the Microsoft Office Home page.

Questa procedura dimostra che l'abbonamento di valutazione è federato con il dominio corp.contoso.com di Active Directory Domain Services ospitato su DC1. Ecco i concetti di base del processo di autenticazione:This procedure demonstrates that your trial subscription is federated with the AD DS corp.contoso.com domain hosted on DC1. Here are the basics of the authentication process:

  1. Quando si utilizza il dominio federato creato nella fase 1 all'interno del nome dell'account di accesso, Microsoft 365 reindirizza il browser al nome di dominio completo del servizio federativo e PROXY1.When you use the federated domain that you created in Phase 1 within the sign-in account name, Microsoft 365 redirects your browser to your federation service FQDN and PROXY1.

  2. PROXY1 invia al computer locale la pagina di accesso della società fittizia.PROXY1 sends your local computer the fictional company sign-in page.

  3. Quando si invia CORP\CORPUser1 e la password a PROXY1, quest'ultimo li reinvia ad ADFS1.When you send CORP\User1 and the password to PROXY1, it forwards them to ADFS1.

  4. ADFS1 convalida CORP\CORPUser1 e la password con DC1 e invia al computer locale un token di sicurezza.ADFS1 validates CORP\User1 and the password with DC1 and sends your local computer a security token.

  5. Il computer locale invia il token di sicurezza a Microsoft 365.Your local computer sends the security token to Microsoft 365.

  6. Microsoft 365 verifica che il token di sicurezza è stato creato da ADFS1 e consente l'accesso.Microsoft 365 validates that the security token was created by ADFS1 and allows access.

L'abbonamento di valutazione è ora configurato con l'autenticazione federata. È possibile usare questo ambiente di sviluppo/test per scenari di autenticazione avanzata.Your trial subscription is now configured with federated authentication. You can use this dev/test environment for advanced authentication scenarios.

Passaggio successivoNext step

Quando si è pronti a distribuire l'autenticazione federata pronta per la produzione a disponibilità elevata per Microsoft 365 in Azure, vedere deploy High Availability Federated Authentication for microsoft 365 in Azure.When you are ready to deploy production-ready, high availability federated authentication for Microsoft 365 in Azure, see Deploy high availability federated authentication for Microsoft 365 in Azure.