AD FS instellen voor Microsoft 365 voor enkele Sign-On

  • Artikel
  • Van toepassing op:
    Microsoft 365

In deze video ziet u hoe u Active Directory Federation Service (AD FS) instelt om samen te werken met Microsoft 365. Het heeft geen betrekking op het scenario van de AD FS-proxyserver. In deze video wordt AD FS voor Windows Server 2012 R2 besproken. De procedure is echter ook van toepassing op AD FS 2.0, met uitzondering van stap 1, 3 en 7. Zie in elk van deze stappen de sectie 'Notities voor AD FS 2.0' voor meer informatie over het gebruik van deze procedure in Windows Server 2008.

Nuttige notities voor de stappen in de video

Stap 1: Active Directory Federation Services installeren

Voeg AD FS toe met behulp van de wizard Functies en onderdelen toevoegen.

Opmerkingen voor AD FS 2.0

Als u Windows Server 2008 gebruikt, moet u AD FS 2.0 downloaden en installeren om met Microsoft 365 te kunnen werken. U kunt AD FS 2.0 verkrijgen via de volgende website van het Microsoft Downloadcentrum:

Active Directory Federation Services 2.0 RTW

Gebruik na de installatie Windows Update om alle toepasselijke updates te downloaden en te installeren.

Stap 2: een certificaat aanvragen bij een externe CA voor de naam van de federatieserver

Microsoft 365 vereist een vertrouwd certificaat op uw AD FS-server. Daarom moet u een certificaat verkrijgen van een externe certificeringsinstantie (CA).

Wanneer u de certificaataanvraag aanpast, moet u ervoor zorgen dat u de naam van de federatieserver toevoegt in het veld Algemene naam .

In deze video wordt alleen uitgelegd hoe u een aanvraag voor certificaatondertekening (CSR) genereert. U moet het CSR-bestand verzenden naar een externe CA. De CA retourneert een ondertekend certificaat aan u. Voer vervolgens deze stappen uit om het certificaat te importeren in het certificaatarchief van uw computer:

  1. Voer uit Certlm.msc om het certificaatarchief van de lokale computer te openen.
  2. Vouw in het navigatiedeelvenster Persoonlijk uit, vouw Certificaat uit, klik met de rechtermuisknop op de map Certificaat en klik vervolgens op Importeren.

Over de naam van de federatieserver

De naam van de Federation-service is de internetgerichte domeinnaam van uw AD FS-server. De Microsoft 365-gebruiker wordt omgeleid naar dit domein voor verificatie. Zorg er daarom voor dat u een openbare A-record toevoegt voor de domeinnaam.

Stap 3: AD FS configureren

U kunt een naam niet handmatig typen als de naam van de federatieserver. De naam wordt bepaald door de onderwerpnaam (algemene naam) van een certificaat in het certificaatarchief van de lokale computer.

Opmerkingen voor AD FS 2.0

In AD FS 2.0 wordt de naam van de federatieserver bepaald door het certificaat dat is gebonden aan 'Standaardwebsite' in Internet Information Services (IIS). U moet het nieuwe certificaat verbinden met de standaardwebsite voordat u AD FS configureert.

U kunt elk account als serviceaccount gebruiken. Als het wachtwoord van het serviceaccount is verlopen, werkt AD FS niet meer. Zorg er daarom voor dat het wachtwoord van het account is ingesteld op nooit verlopen.

Stap 4: Microsoft 365-hulpprogramma's downloaden

Windows Azure Active Directory-module voor Windows PowerShell en Azure Active Directory Sync-apparaat zijn beschikbaar in de Microsoft 365-portal. Als u de hulpprogramma's wilt verkrijgen, klikt u op Actieve gebruikers en vervolgens op Eenmalige aanmelding: Instellen.

Stap 5: uw domein toevoegen aan Microsoft 365

In de video wordt niet uitgelegd hoe u uw domein aan Microsoft 365 toevoegt en verifieert. Zie Uw domein verifiëren in Microsoft 365 voor meer informatie over deze procedure.

Stap 6: AD FS verbinden met Microsoft 365

Als u AD FS wilt verbinden met Microsoft 365, voert u de volgende opdrachten uit in Windows Azure Directory Module voor Windows PowerShell.

Opmerking Geef in de Set-MsolADFSContext opdracht de FQDN van de AD FS-server in uw interne domein op in plaats van de naam van de federatieserver.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>

Opmerking

Azure AD- en MSOnline PowerShell-modules zijn afgeschaft vanaf 30 maart 2024. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot hulp bij migratie naar Microsoft Graph PowerShell SDK en beveiligingspatches. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

U wordt aangeraden te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: Versies 1.0.x van MSOnline kunnen na 30 juni 2024 worden onderbroken.

Als de opdrachten worden uitgevoerd, ziet u het volgende:

  • Er wordt een Relying Party-vertrouwensrelatie 'Microsoft 365 Identify Platform' toegevoegd aan uw AD FS-server.
  • Gebruikers die de aangepaste domeinnaam gebruiken als achtervoegsel voor e-mailadressen om zich aan te melden bij de Microsoft 365-portal, worden omgeleid naar uw AD FS-server.

Stap 7: Lokale Active Directory-gebruikersaccounts synchroniseren met Microsoft 365

Als uw interne domeinnaam verschilt van de externe domeinnaam die wordt gebruikt als e-mailadresachtervoegsel, moet u de externe domeinnaam toevoegen als een alternatief UPN-achtervoegsel in het lokale Active Directory-domein. De interne domeinnaam is bijvoorbeeld 'company.local' maar de externe domeinnaam is 'company.com'. In deze situatie moet u 'company.com' toevoegen als een alternatief UPN-achtervoegsel.

Synchroniseer de gebruikersaccounts met Microsoft 365 met behulp van het hulpprogramma Voor adreslijstsynchronisatie.

Opmerkingen voor AD FS 2.0

Als u AD FS 2.0 gebruikt, moet u de UPN van het gebruikersaccount wijzigen van 'company.local' in 'company.com' voordat u het account synchroniseert met Microsoft 365. Anders wordt de gebruiker niet gevalideerd op de AD FS-server.

Stap 8: de clientcomputer configureren voor één Sign-On

Nadat u de naam van de federatieserver hebt toegevoegd aan de lokale intranetzone in Internet Explorer, wordt de NTLM-verificatie gebruikt wanneer gebruikers zich proberen te verifiëren op de AD FS-server. Daarom wordt ze niet gevraagd om hun referenties in te voeren.

Beheerders kunnen groepsbeleid-instellingen implementeren om een oplossing met één Sign-On te configureren op clientcomputers die lid zijn van het domein.