Konfigurere ADFS for Office 365 for enkel pålogging

Obs!

Office 365 ProPlus får nytt navn og heter nå Microsoft 365-apper for enterprise. Hvis du vil ha mer informasjon om denne endringen, kan du lese dette blogginnlegget.

Denne videoen viser hvordan du konfigurerer tjeneste for Active Directory Federation (ADFS) til å fungere sammen med Office 365. Det dekker ikke det ADFS-proxy-server-scenarioet. Denne videoen diskuterer ADFS for Windows Server 2012 R2. Fremgangs måten gjelder imidlertid også for ADFS 2,0 – bortsett fra trinn 1, 3 og 7. I hver av disse trinnene kan du se delen «notater for ADFS 2,0» Hvis du vil ha mer informasjon om hvordan du bruker denne prosedyren i Windows Server 2008.

Nyttige notater for Fremgangs måten i videoen

Trinn 1: installere Active Directory Federation Services

Legg til ADFS ved hjelp av vei viseren for å legge til roller og funksjoner.

Merknader for ADFS 2,0

Hvis du bruker Windows Server 2008, må du laste ned og installere ADFS 2,0 for å kunne arbeide med Office 365. Du kan få ADFS 2,0 fra følgende Web område for Microsoft Download Center:

Active Directory Federation Services 2,0 RTW

Når installasjonen er ferdig, kan du bruke Windows Update til å laste ned og installere alle gjeldende oppdateringer.

Trinn 2: be om et sertifikat fra en tredje parts sertifiserings instans for navnet på Forbunds serveren

Office 365 krever et klarert sertifikat på ADFS-serveren. Derfor må du skaffe deg et sertifikat fra en tredje parts sertifiserings instans (CA).

Når du tilpasser sertifikat forespørselen, må du passe på at du legger til navnet på Forbunds serveren i feltet felles navn .

I denne videoen forklarer vi bare hvordan du genererer en sertifikat signerings forespørsel (CSR). Du må sende CSR-filen til en tredje parts sertifiserings instans. Sertifiserings instansen vil returnere et signert sertifikat til deg. Følg deretter disse trinnene for å importere sertifikatet til data maskinens sertifikat lager:

  1. Kjør Certlm. msc for å åpne den lokale data maskinens sertifikat lager.
  2. I navigasjons ruten utvider du personlig, Utvid sertifikat, høyre klikk på sertifikat-mappen, og klikk deretter på Importer.

Om navnet på Forbunds serveren

Navnet på Federation-tjenesten er det Internett-motstående domene navnet for ADFS-serveren. Office 365-brukeren blir omdirigert til dette domenet for godkjenning. Pass derfor på at du legger til en offentlig oppføring for domene navnet.

Trinn 3: konfigurere ADFS

Du kan ikke skrive inn et navn manuelt som navnet på Forbunds serveren. Navnet bestemmes av subjekt navnet (felles navn) for et sertifikat i den lokale data maskinens sertifikat lager.

Merknader for ADFS 2,0

I ADFS 2,0 fastsettes navnet på Forbunds serveren av sertifikatet som bindes til standard Web område i Internet Information Services (IIS). Du må binde det nye sertifikatet til standard nettstedet før du konfigurerer ADFS.

Du kan bruke en hvilken som helst konto som tjeneste konto. Hvis tjeneste kontoens passord er utløpt, vil ADFS slutte å virke. Pass derfor på at passordet for kontoen er satt til aldri å utløpe.

Trinn 4: Last ned Office 365-verktøy

Windows Azure Active Directory-modul for Windows PowerShell og synkroniserings aktivering av Azure Active Directory er tilgjengelig i Office 365-portalen. Hvis du vil hente verktøyene, klikker du aktive brukereog deretter enkel pålogging: konfigurere.

Trinn 5: legge til domenet i Office 365

Videoen forklarer ikke hvordan du legger til og bekrefter domenet ditt i Office 365. Hvis du vil ha mer informasjon om denne prosedyren, kan du se bekrefte domenet i Office 365.

Trinn 6: koble ADFS til Office 365

Hvis du vil koble ADFS til Office 365, kjører du følgende kommandoer i Windows Azure katalog modul for Windows PowerShell.

Obs! Angi FQDN for ADFS-serveren i det interne domenet i stedet for navnet på Federation-serveren i set-MsolADFSContext-kommandoen.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the ADFS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Office 365>

Hvis kommandoene kjører på feil måte, skal du se følgende:

  • En "Microsoft Office 365 identifiserings plattform" som er klar for festing, legges til på ADFS-serveren.
  • Brukere som bruker det egen definerte domene navnet som et e-postadresse suffiks til å logge på Office 365-portalen, omdirigeres til ADFS-serveren.

Trinn 7: synkronisere lokale Active Directory-brukerkontoer til Office 365

Hvis det interne domene navnet er forskjellig fra det eksterne domene navnet som brukes som et e-postadresse suffiks, må du legge til det eksterne domene navnet som et alternativt UPN-suffiks i det lokale Active Directory-domenet. Det interne domene navnet er for eksempel «firma. local», men det eksterne domene navnet er "company.com". I denne situasjonen må du legge til «company.com» som et alternativt UPN-suffiks.

Synkroniser bruker kontoene til Office 365 ved hjelp av katalog synkroniserings verktøyet.

Merknader for ADFS 2,0

Hvis du bruker ADFS 2,0, må du endre UPN for bruker kontoen fra «Company. local» til "company.com" før du synkroniserer kontoen til Office 365. Ellers blir ikke brukeren validert på ADFS-serveren. 

Trinn 8: konfigurere klient data maskinen for enkel pålogging

Når du har lagt til navnet på Forbunds serveren i sonen Lokalt intranett i Internet Explorer, brukes NTLM-godkjenning når brukere prøver å godkjenne på ADFS-serveren. Derfor blir de ikke bedt om å angi legitimasjonen.

Administratorer kan implementere gruppe policy innstillinger for å konfigurere en løsning for enkel pålogging på klient data maskiner som er koblet til domenet.