Konfigurowanie usług ADFS dla usługi Office 365 dla usługi Single Sign-On

Uwaga

Nazwa usługi Office 365 ProPlus została zmieniona na Aplikacje usługi Microsoft 365 dla przedsiębiorstw. Aby uzyskać więcej informacji na temat tej zmiany, przeczytaj ten wpis w blogu.

W tym klipie wideo pokazano, jak skonfigurować usługę federacyjną Active Directory (ADFS) do współpracy z usługą Office 365. Nie osłania to scenariusza serwera proxy usług ADFS. W tym klipie wideo omówiono usługi ADFS dla systemu Windows Server 2012 R2. Ta procedura dotyczy jednak również usług ADFS 2.0 — z wyjątkiem kroków 1, 3 i 7. W każdej z tych czynności zobacz sekcję "Uwagi dla systemu ADFS 2.0", aby uzyskać więcej informacji o używaniu tej procedury w systemie Windows Server 2008.

Przydatne notatki do kroków w klipie wideo

Krok 1. Instalowanie usług feder siatkowych Active Directory

Dodaj usługi ADFS przy użyciu Kreatora dodawania ról i funkcji.

Uwagi dotyczące usługi ADFS 2.0

Jeśli korzystasz z systemu Windows Server 2008, musisz pobrać i zainstalować program ADFS 2.0, aby móc pracować z usługą Office 365. Program ADFS 2.0 można uzyskać z następującej witryny internetowej Centrum pobierania Microsoft:

Active Directory Federation Services 2.0 RTW

Po zakończeniu instalacji użyj usługi Windows Update, aby pobrać i zainstalować wszystkie odpowiednie aktualizacje.

Krok 2. Żądanie certyfikatu nazwy serwera federacji od zewnętrznego urzędu certyfikacji

Usługa Office 365 wymaga zaufanego certyfikatu na serwerze usług ADFS. Dlatego należy uzyskać certyfikat od zewnętrznego urzędu certyfikacji (UC).

Podczas dostosowywania żądania certyfikatu upewnij się, że w polu Nazwa wspólna jest dodawania nazwy serwera federacji.

W tym klipie wideo wyjaśniono tylko, jak wygenerować żądanie podpisania certyfikatu. Plik CSR należy wysłać do urzędu certyfikacji innej firmy. Urząd certyfikacji zwróci Ci podpisany certyfikat. Następnie wykonaj następujące czynności, aby zaimportować certyfikat do magazynu certyfikatów komputera:

  1. Uruchom polecenie Certlm.msc, aby otworzyć magazyn certyfikatów komputera lokalnego.
  2. W okienku nawigacji rozwiń pozycję Osobiste, rozwiń pozycję Certyfikat, kliknij prawym przyciskiem myszy folder Certyfikat, a następnie kliknij pozycję Importuj.

Informacje o nazwie serwera federacji

Nazwa usługi federejnej to internetowa nazwa domeny serwera usług ADFS. W celu uwierzytelnienia użytkownik usługi Office 365 zostanie przekierowany do tej domeny. Dlatego upewnij się, że dodasz publiczny rekord A dla nazwy domeny.

Krok 3. Konfigurowanie usług ADFS

Nie można ręcznie wpisać nazwy jako nazwy serwera federacji. Nazwa jest ustalana na podstawie nazwy podmiotu (nazwa wspólna) certyfikatu w magazynie certyfikatów komputera lokalnego.

Uwagi dotyczące usługi ADFS 2.0

W systemie ADFS 2.0 nazwa serwera federacji jest określana na podstawie certyfikatu, który łączy się z "domyślną witryną sieci Web" w programie Internet Information Services (IIS). Przed skonfigurowaniem usług ADFS należy powiązać nowy certyfikat z domyślną witryną sieci Web.

Jako konta usługi możesz użyć dowolnego konta. Jeśli hasło konta usługi wygasło, usługi ADFS przestaną działać. Dlatego upewnij się, że hasło do konta nigdy nie wygasło.

Krok 4. Pobieranie narzędzi usługi Office 365

Moduł usługi Windows Azure Active Directory dla programu Windows PowerShell i urządzenia do synchronizacji usługi Azure Active Directory są dostępne w portalu usługi Office 365. Aby uzyskać te narzędzia, kliknij pozycję Aktywni użytkownicy, a następnie kliknij pozycję Logowanie pojedyncze: Konfigurowanie.

Krok 5. Dodawanie domeny do usługi Office 365

W tym klipie wideo nie wyjaśniono, jak dodać i zweryfikować domenę w usłudze Office 365. Aby uzyskać więcej informacji na temat tej procedury, zobacz Weryfikowanie domeny w usłudze Office 365.

Krok 6. Łączenie usług ADFS z usługą Office 365

Aby połączyć usługi ADFS z usługą Office 365, uruchom następujące polecenia w module katalogu Windows Azure Directory dla programu Windows PowerShell.

Uwaga W poleceniu Set-MsolADFSContext określ nazwę FQDN serwera usług ADFS w domenie wewnętrznej zamiast nazwy serwera federacji.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the ADFS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Office 365>

Jeśli polecenia będą uruchamiane pomyślnie, powinny zostać wyświetlony następujące informacje:

  • Do serwera usług ADFS jest dodawana platforma do identyfikowania platformy identyfikowania usługi Microsoft Office 365.
  • Użytkownicy, którzy używają niestandardowej nazwy domeny jako sufiksu adresu e-mail do logowania się do portalu usługi Office 365, są przekierowywani do serwera usług ADFS.

Krok 7. Synchronizowanie lokalnych kont użytkowników usługi Active Directory z usługą Office 365

Jeśli nazwa domeny wewnętrznej różni się od nazwy domeny zewnętrznej używanej jako sufiks adresu e-mail, musisz dodać nazwę domeny zewnętrznej jako alternatywny sufiks nazwy UPN w lokalnej domenie usługi Active Directory. Na przykład nazwa domeny wewnętrznej to "company.local", ale nazwa domeny zewnętrznej to "company.com". W takiej sytuacji musisz dodać sufiks "company.com" jako alternatywny sufiks upn.

Zsynchronizuj konta użytkowników z usługą Office 365 za pomocą narzędzia do synchronizacji katalogów.

Uwagi dotyczące usługi ADFS 2.0

Jeśli korzystasz z usługi ADFS 2.0, musisz zmienić nazwę UPN konta użytkownika z "company.local" na "company.com" przed zsynchronizowaniem konta z usługą Office 365. W przeciwnym razie użytkownik nie zostanie zweryfikowany na serwerze usług ADFS.

Krok 8. Konfigurowanie na komputerze klienckim dostępu do obsługi Sign-On

Po dodaniu nazwy serwera federacji do lokalnej strefy intranetu w programie Internet Explorer uwierzytelnianie NTLM jest używane, gdy użytkownicy próbują uwierzytelnić się na serwerze usług ADFS. Dlatego nie jest wyświetlany monit o wprowadzenie poświadczeń.

Administratorzy mogą zasady grupy w celu skonfigurowania rozwiązania single Sign-On na komputerach klienckich przyłącznych do domeny.