AD FS instellen voor Office 365 voor eenmalige aanmelding

Deze video laat zien hoe u Active Directory Federation service (ADFS) instelt om samen te werken met Office 365. Dit geldt niet voor het scenario van de AD FS-proxyserver. Deze video bespreekt ADFS voor Windows Server 2012 R2. De procedure is echter ook van toepassing op AD FS 2,0, met uitzondering van stap 1, 3 en 7. In elk van deze stappen, zie de sectie ' opmerkingen voor AD FS 2,0 ' voor meer informatie over het gebruik van deze procedure in Windows Server 2008.

Handige opmerkingen voor de stappen in de video

Stap 1: Active Directory Federation Services installeren

ADFS toevoegen met behulp van de wizard functies en onderdelen toevoegen.

Opmerkingen voor ADFS 2,0

Als u Windows Server 2008 gebruikt, moet u ADFS 2,0 downloaden en installeren om met Office 365 te kunnen werken. U ADFS 2,0 verkrijgen via de volgende website van Microsoft Download Center:

Active Directory Federation Services 2,0 RTW

Na de installatie gebruikt u Windows Update om alle toepasselijke updates te downloaden en te installeren.

Stap 2: een certificaat aanvragen bij een CERTIFICERINGSINSTANTIE van een derde partij voor de naam van de Federation-server

Office 365 vereist een vertrouwd certificaat op de AD FS-server. Daarom moet u een certificaat verkrijgen bij een certificeringsinstantie (CA) van een andere partij.

Wanneer u de certificaataanvraag aanpast, zorg ervoor dat u de naam van de Federation-server in het veld algemene naam toevoegen.

In deze video leggen we alleen uit hoe u een aanvraag voor certificaatondertekening (CSR) genereert. U moet het CSR-bestand naar een CERTIFICERINGSINSTANTIE van derden verzenden. De CA stuurt een ondertekend certificaat naar u terug. Voer vervolgens de volgende stappen uit om het certificaat te importeren in het certificaatarchief van uw computer:

  1. Voer Certlm. msc uit om het certificaatarchief van de lokale computer te openen.
  2. In het navigatiedeelvenster uitvouwen persoonlijk, vouw certificaat, klik met de rechtermuisknop op de map certificaat en klik vervolgens op importeren.

Over de naam van de Federation-server

De naam van de Federation-service is de Internet gerichte domeinnaam van uw AD FS-server. De gebruiker van Office 365 wordt omgeleid naar dit domein voor verificatie. Zorg er daarom voor dat u een openbare A-record voor de domeinnaam toevoegt.

Stap 3: ADFS configureren

U een naam niet handmatig typen als de naam van de Federation-server. De naam wordt bepaald door de onderwerpnaam (algemene naam) van een certificaat in het certificaatarchief van de lokale computer.

Opmerkingen voor ADFS 2,0

In ADFS 2,0, wordt de naam van de Federation-server bepaald door het certificaat dat wordt gebonden aan ' Standaardwebsite ' in Internet Information Services (IIS). U moet het nieuwe certificaat binden aan de standaardwebsite voordat u ADFS configureert.

U elk account als serviceaccount gebruiken. Als het wachtwoord van de serviceaccount is verlopen, werkt ADFS niet meer. Zorg er daarom voor dat het wachtwoord van het account is ingesteld op nooit verlopen.

Stap 4: Office 365-hulpprogramma's downloaden

Windows Azure Active Directory-module voor Windows PowerShell en Azure Active Directory Sync Appliance zijn beschikbaar in de Office 365-Portal. U de hulpprogramma's, klikt u op actieve gebruikers, en klik vervolgens op eenmalige aanmelding: instellen.

Stap 5: uw domein toevoegen aan Office 365

In de video wordt niet uitgelegd hoe u uw domein toevoegt aan en verifieert op Office 365. Zie uw domein verifiëren in Office 365voor meer informatie over deze procedure.

Stap 6: verbinding maken met ADFS met Office 365

Om AD FS verbinding met Office 365, voert u de volgende opdrachten in Windows Azure Directory-module voor Windows PowerShell.

Opmerking Geef in de opdracht set-MsolADFSContext de FQDN van de AD FS-server in uw interne domein op in plaats van de naam van de Federation-server.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the ADFS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Office 365>

Als de opdrachten met succes worden uitgevoerd, ziet u het volgende:

  • Een ' Microsoft Office 365 identificeren platform ' Relying Party Trust wordt toegevoegd aan uw AD FS-server.
  • Gebruikers die gebruikmaken van de aangepaste domeinnaam als achtervoegsel voor e-mailadres voor aanmelding bij de Office 365-Portal worden omgeleid naar de AD FS-server.

Stap 7: lokale Active Directory-gebruikersaccounts synchroniseren met Office 365

Als uw interne domeinnaam verschilt van de externe domeinnaam die wordt gebruikt als achtervoegsel voor e-mailadressen, moet u de externe domeinnaam toevoegen als een alternatief UPN-achtervoegsel in het lokale Active Directory-domein. De naam van het interne domein is bijvoorbeeld ' Company. local ', maar de naam van het externe domein is ' company.com '. In dit geval moet u ' company.com ' toevoegen als een alternatief UPN-achtervoegsel.

Synchroniseer de gebruikersaccounts met Office 365 met behulp van het hulpprogramma Directory synchronisatie.

Opmerkingen voor ADFS 2,0

Als u ADFS 2,0 gebruikt, moet u de UPN van de gebruikersaccount van ' Company. local ' wijzigen in ' company.com ' voordat u het account synchroniseert met Office 365. Anders wordt de gebruiker niet worden gevalideerd op de AD FS-server. 

Stap 8: de clientcomputer configureren voor eenmalige aanmelding

Nadat u de naam van de Federation-server aan de zone Lokaal intranet in Internet Explorer toevoegen, wordt de NTLM-verificatie wordt gebruikt wanneer gebruikers proberen te verifiëren op de AD FS-server. Daarom worden ze niet gevraagd hun referenties in te voeren.

Beheerders kunnen instellingen voor Groepsbeleid implementeren om een oplossing voor eenmalige aanmelding te configureren op clientcomputers die lid zijn van het domein.