Identidade federada para o seu ambiente de teste do Microsoft 365Federated identity for your Microsoft 365 test environment

Este Guia de Laboratório de Teste pode ser usado para Microsoft 365 ambientes de teste corporativos e Office 365 Enterprise de teste.This Test Lab Guide can be used for both Microsoft 365 for enterprise and Office 365 Enterprise test environments.

O Microsoft 365 suporta a identidade federada. Isto significa que em vez de executar a validação das credenciais em si, o Microsoft 365 remete o utilizador de ligação a um servidor de autenticação federado que o Microsoft 365 confia. Se as credenciais do usuário estiverem corretas, o servidor de autenticação federado emite um token de segurança que, por sua vez, o cliente envia ao Microsoft 365 como prova de autenticação. A identidade federada permite o descarregamento e a ampliação da autenticação para uma inscrição no Microsoft 365 e cenários avançados de autenticação e segurança.Microsoft 365 supports federated identity. This means that instead of performing the validation of credentials itself, Microsoft 365 refers the connecting user to a federated authentication server that Microsoft 365 trusts. If the user's credentials are correct, the federated authentication server issues a security token that the client then sends to Microsoft 365 as proof of authentication. Federated identity allows for the offloading and scaling up of authentication for a Microsoft 365 subscription and advanced authentication and security scenarios.

Este artigo descreve como configurar a autenticação federada para seu Microsoft 365 de teste, resultando no seguinte:This article describes how to configure federated authentication for your Microsoft 365 test environment, resulting in the following:

A autenticação federada para o ambiente de teste do Microsoft 365

Esta configuração consiste em:This configuration consists of:

  • Uma Microsoft 365 E5 de avaliação ou de produção.A Microsoft 365 E5 trial or production subscription.

  • Uma intranet de organização simplificada conectada à Internet, consistindo em cinco máquinas virtuais em uma sub-rede de uma rede virtual do Azure (DC1, APP1, CLIENT1, ADFS1 e PROXY1).A simplified organization intranet connected to the internet, consisting of five virtual machines on a subnet of an Azure virtual network (DC1, APP1, CLIENT1, ADFS1, and PROXY1). O Azure AD Conexão executado no APP1 para sincronizar a lista de contas no domínio serviços de domínio do Active Directory para Microsoft 365.Azure AD Connect runs on APP1 to synchronize the list of accounts in the Active Directory Domain Services domain to Microsoft 365. PROXY1 recebe as solicitações de autenticação de entrada.PROXY1 receives the incoming authentication requests. O ADFS1 valida credenciais com DC1 e emite tokens de segurança.ADFS1 validates credentials with DC1 and issues security tokens.

A configuração desse ambiente de teste envolve cinco fases:Setting up this test environment involves five phases:

Observação

Não é possível configurar esse ambiente de teste com uma assinatura de Avaliação do Azure.You can't configure this test environment with an Azure Trial subscription.

Fase 1: configurar a sincronização de hash de senha do ambiente de teste do Microsoft 365Phase 1: Configure password hash synchronization for your Microsoft 365 test environment

Siga as instruções na sincronização de hash de senha para Microsoft 365.Follow the instructions in password hash synchronization for Microsoft 365. Sua configuração resultante tem esta aparência:Your resulting configuration looks like this:

Empresa simulada com ambiente de teste de sincronização de hash de senha

Esta configuração consiste em:This configuration consists of:

  • Uma Microsoft 365 E5 de avaliação ou assinaturas pagas.A Microsoft 365 E5 trial or paid subscriptions.
  • Uma intranet de organização simplificada conectada à Internet, que consiste nas máquinas virtuais DC1, APP1 e CLIENT1 em uma sub-rede de uma rede virtual do Azure.A simplified organization intranet connected to the internet, consisting of the DC1, APP1, and CLIENT1 virtual machines on a subnet of an Azure virtual network. O Azure AD Conexão é executado no APP1 para sincronizar o domínio testlab active directory domain Services (AD DS) com o locatário do Azure AD de suas assinaturas Microsoft 365 periodicamente.Azure AD Connect runs on APP1 to synchronize the TESTLAB Active Directory Domain Services (AD DS) domain to the Azure AD tenant of your Microsoft 365 subscriptions periodically.

Fase 2: Criar o servidor AD FSPhase 2: Create the AD FS server

Um servidor AD FS fornece autenticação federada entre o Microsoft 365 e as contas no domínio corp.contoso.com hospedado no DC1.An AD FS server provides federated authentication between Microsoft 365 and the accounts in the corp.contoso.com domain hosted on DC1.

Para criar uma máquina virtual do Azure para ADFS1, preencha o nome da assinatura e do grupo de recursos, o local do Azure para a Configuração da base e execute estes comandos no prompt de comando do Azure PowerShell no computador local.To create an Azure virtual machine for ADFS1, fill in the name of your subscription and the resource group and Azure location for your Base Configuration, and then run these commands at the Azure PowerShell command prompt on your local computer.

$subscrName="<your Azure subscription name>"
$rgName="<the resource group name of your Base Configuration>"
$vnetName="TlgBaseConfig-01-VNET"
# NOTE: If you built your simulated intranet with Azure PowerShell, comment the previous line with a "#" and remove the "#" from the next line.
#$vnetName="TestLab"
Connect-AzAccount
Select-AzSubscription -SubscriptionName $subscrName
$staticIP="10.0.0.100"
$locName=(Get-AzResourceGroup -Name $rgName).Location
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$pip = New-AzPublicIpAddress -Name ADFS1-PIP -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$nic = New-AzNetworkInterface -Name ADFS1-NIC -ResourceGroupName $rgName -Location $locName -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName ADFS1 -VMSize Standard_D2_v2
$cred=Get-Credential -Message "Type the name and password of the local administrator account for ADFS1."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName ADFS1 -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name "ADFS-OS" -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType "Standard_LRS"
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

Em seguida, use o portal do Azure para se conectar à máquina virtual do ADFS1 usando o nome da conta e a senha do administrador local do ADFS1, depois abra um prompt de comando do Windows PowerShell.Next, use the Azure portal to connect to the ADFS1 virtual machine using the ADFS1 local administrator account name and password, and then open a Windows PowerShell command prompt.

Para verificar a comunicação da rede e a resolução de nome entre o ADFS1 e o DC1, execute o comando ping dc1.corp.contoso.com e verifique se há quatro respostas.To check name resolution and network communication between ADFS1 and DC1, run the ping dc1.corp.contoso.com command and check that there are four replies.

Em seguida, associe a máquina virtual do ADFS1 ao domínio CORP com estes comandos no prompt do Windows PowerShell no ADFS1.Next, join the ADFS1 virtual machine to the CORP domain with these commands at the Windows PowerShell prompt on ADFS1.

$cred=Get-Credential -UserName "CORP\User1" -Message "Type the User1 account password."
Add-Computer -DomainName corp.contoso.com -Credential $cred
Restart-Computer

Sua configuração resultante tem esta aparência:Your resulting configuration looks like this:

O servidor AD FS adicionado ao DirSync para o ambiente de teste do Microsoft 365

Fase 3: crie o servidor de proxy da webPhase 3: Create the web proxy server

O PROXY1 fornece proxy de mensagens de autenticação entre ADFS1 e os usuários que tentarem se autenticar.PROXY1 provides proxying of authentication messages between users trying to authenticate and ADFS1.

Para criar uma máquina virtual do Azure para o PROXY1, preencha o nome do grupo de recursos e execute estes comandos no prompt de comando do Azure PowerShell no computador local.To create an Azure virtual machine for PROXY1, fill in the name of your resource group and Azure location, and then run these commands at the Azure PowerShell command prompt on your local computer.

$rgName="<the resource group name of your Base Configuration>"
$vnetName="TlgBaseConfig-01-VNET"
# NOTE: If you built your simulated intranet with Azure PowerShell, comment the previous line with a "#" and remove the "#" from the next line.
#$vnetName="TestLab"
$staticIP="10.0.0.101"
$locName=(Get-AzResourceGroup -Name $rgName).Location
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$pip = New-AzPublicIpAddress -Name PROXY1-PIP -ResourceGroupName $rgName -Location $locName -AllocationMethod Static
$nic = New-AzNetworkInterface -Name PROXY1-NIC -ResourceGroupName $rgName -Location $locName -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName PROXY1 -VMSize Standard_D2_v2
$cred=Get-Credential -Message "Type the name and password of the local administrator account for PROXY1."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName PROXY1 -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name "PROXY1-OS" -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType "Standard_LRS"
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

Observação

Um endereço IP estático público é atribuído ao PROXY1 porque você cria um registro DNS público que aponta para ele e não deverá ser alterado ao reiniciar a máquina virtual do PROXY1.PROXY1 is assigned a static public IP address because you will create a public DNS record that points to it and it must not change when you restart the PROXY1 virtual machine.

Em seguida, adicione uma regra ao grupo de segurança de rede da sub-rede CorpNet para permitir o tráfego de entrada não solicitado da Internet para o endereço IP privado do PROXY1 e a porta TCP 443.Next, add a rule to the network security group for the CorpNet subnet to allow unsolicited inbound traffic from the internet to PROXY1's private IP address and TCP port 443. Execute esses comandos no prompt de Azure PowerShell de comando no computador local.Run these commands at the Azure PowerShell command prompt on your local computer.

$rgName="<the resource group name of your Base Configuration>"
Get-AzNetworkSecurityGroup -Name CorpNet -ResourceGroupName $rgName | Add-AzNetworkSecurityRuleConfig -Name "HTTPS-to-PROXY1" -Description "Allow TCP 443 to PROXY1" -Access "Allow" -Protocol "Tcp" -Direction "Inbound" -Priority 101 -SourceAddressPrefix "Internet" -SourcePortRange "*" -DestinationAddressPrefix "10.0.0.101" -DestinationPortRange "443" | Set-AzNetworkSecurityGroup

Em seguida, use o portal do Azure para se conectar à máquina virtual do PROXY1 usando o nome e a senha da conta do administrador local do PROXY1, depois abra um prompt de comando do Windows PowerShell no PROXY1.Next, use the Azure portal to connect to the PROXY1 virtual machine using the PROXY1 local administrator account name and password, and then open a Windows PowerShell command prompt on PROXY1.

Para verificar a comunicação da rede e a resolução de nome entre o PROXY1 e o DC1, execute o comando ping dc1.corp.contoso.com e verifique se há quatro respostas.To check name resolution and network communication between PROXY1 and DC1, run the ping dc1.corp.contoso.com command and check that there are four replies.

Em seguida, associe a máquina virtual do PROXY1 ao domínio CORP com estes comandos no prompt do Windows PowerShell no PROXY1.Next, join the PROXY1 virtual machine to the CORP domain with these commands at the Windows PowerShell prompt on PROXY1.

$cred=Get-Credential -UserName "CORP\User1" -Message "Type the User1 account password."
Add-Computer -DomainName corp.contoso.com -Credential $cred
Restart-Computer

Exibe o endereço IP público de PROXY1 com esses Azure PowerShell no computador local.Display the public IP address of PROXY1 with these Azure PowerShell commands on your local computer.

Write-Host (Get-AzPublicIpaddress -Name "PROXY1-PIP" -ResourceGroup $rgName).IPAddress

Em seguida, trabalhe com seu provedor de DNS público e crie um novo registro público de DNS A para fs.testlab.<your DNS domain name>que resolve para o endereço IP exibido pelo comando Write-Host. De agora em diante, o fs.testlab.<your DNS domain name>seu nome de domínio DNS> é conhecido como o FQDN do serviço de federação.Next, work with your public DNS provider and create a new public DNS A record for fs.testlab.<your DNS domain name> that resolves to the IP address displayed by the Write-Host command. The fs.testlab.<your DNS domain name> is hereafter referred to as the federation service FQDN.

Em seguida, use o portal do Azure para se conectar à máquina virtual DC1 usando as credenciais CORP\Usuário1 e execute este comando em um prompt de comando do Windows PowerShell de nível de administrador:Next, use the Azure portal to connect to the DC1 virtual machine using the CORP\User1 credentials, and then run the following commands at an administrator-level Windows PowerShell command prompt:

Add-DnsServerPrimaryZone -Name corp.contoso.com -ZoneFile corp.contoso.com.dns
Add-DnsServerResourceRecordA -Name "fs" -ZoneName corp.contoso.com -AllowUpdateAny -IPv4Address "10.0.0.100" -TimeToLive 01:00:00

Esses comandos criam um registro DNS A interno para que máquinas virtuais na rede virtual do Azure possam resolver o FQDN do serviço de federação interno para o endereço IP privado do ADFS1.These commands create an internal DNS A record so that virtual machines on the Azure virtual network can resolve the internal federation service FQDN to ADFS1's private IP address.

Sua configuração resultante tem esta aparência:Your resulting configuration looks like this:

O servidor proxy do aplicativo Web adicionado ao DirSync para o ambiente de teste do Microsoft 365

Fase 4: crie um certificado autoassinado e configure o ADFS1 e o PROXY1Phase 4: Create a self-signed certificate and configure ADFS1 and PROXY1

Nesta fase, crie um certificado digital autoassinado para o seu FQDN de serviço de federação e configure o ADFS1 e o PROXY1 como um farm do AD FS.In this phase, you create a self-signed digital certificate for your federation service FQDN and configure ADFS1 and PROXY1 as an AD FS farm.

Em seguida, use o portal do Azure para se conectar à máquina virtual DC1 usando as credenciais CORP\Usuário1 e abra um prompt de comando de nível de administrador do Windows PowerShell:First, use the Azure portal to connect to the DC1 virtual machine using the CORP\User1 credentials, and then open an administrator-level Windows PowerShell command prompt.

Em seguida, crie uma conta de serviço do AD FS com este comando no prompt de comando Windows PowerShell dc1:Next, create an AD FS service account with this command at the Windows PowerShell command prompt on DC1:

New-ADUser -SamAccountName ADFS-Service -AccountPassword (read-host "Set user password" -assecurestring) -name "ADFS-Service" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false

Observe que esse comando solicita que você fornece a senha da conta.Note that this command prompts you to supply the account password. Escolha uma senha forte e grave-a em um local seguro.Choose a strong password and record it in a secured location. Você precisará dele para esta fase e para a Fase 5.You will need it for this phase and for Phase 5.

Use o portal do Azure para se conectar à máquina virtual ADFS1 usando as credenciais CORP\Usuário1. Abra um prompt de comando do Windows PowerShell de nível de administrador no ADFS1, preencha o FQDN de serviço de Federação e execute estes comandos para criar um certificado autoassinado:Use the Azure portal to connect to the ADFS1 virtual machine using the CORP\User1 credentials. Open an administrator-level Windows PowerShell command prompt on ADFS1, fill in your federation service FQDN, and then run these commands to create a self-signed certificate:

$fedServiceFQDN="<federation service FQDN>"
New-SelfSignedCertificate -DnsName $fedServiceFQDN -CertStoreLocation "cert:\LocalMachine\My"
New-Item -path c:\Certs -type directory
New-SmbShare -name Certs -path c:\Certs -changeaccess CORP\User1

Em seguida, use estas etapas para salvar o novo certificado autoassinado como um arquivo.Next, use these steps to save the new self-signed certificate as a file.

  1. Selecione Iniciar, insira mmc.exe e pressione Enter.Select Start, enter mmc.exe, and then press Enter.

  2. Selecione > Adicionar/Remover arquivos Ajustar-in.Select File > Add/Remove Snap-in.

  3. Em Adicionar ou Remover Ajustar-ins, clique duas vezes em Certificados na lista de snap-ins disponíveis, selecione Conta de computador e selecione Próximo.In Add or Remove Snap-ins, double-click Certificates in the list of available snap-ins, select Computer account, and then select Next.

  4. Em Selecionar Computador, selecione Concluir e selecione OK.In Select Computer, select Finish, and then select OK.

  5. No painel da árvore, abra Certificados (Computador Local) > Pessoal > Certificados.In the tree pane, open Certificates (Local Computer) > Personal > Certificates.

  6. Selecione e segure (ou clique com o botão direito do mouse) no certificado com o FQDN do serviço de federação, selecione Todas as tarefas e selecione Exportar.Select and hold (or right-click) the certificate with your federation service FQDN, select All tasks, and then select Export.

  7. Na página Bem-vindo, selecione Próximo.On the Welcome page, select Next.

  8. Na página Exportar Chave Privada, selecione Sim e, em seguida, selecione Próximo.On the Export Private Key page, select Yes, and then select Next.

  9. Na página Exportar Formato de Arquivo, selecione Exportar todas as propriedades estendidas e selecione Próximo.On the Export File Format page, select Export all extended properties, and then select Next.

  10. Na página Segurança, selecione Senha e insira uma senha em Senha e Confirmar senha.On the Security page, select Password and enter a password in Password and Confirm password.

  11. Na página Arquivo a Exportar, selecione Procurar.On the File to Export page, select Browse.

  12. Navegue até a pasta C: \ Certs, insira SSL em Nome do arquivo e selecione Salvar.Browse to the C:\Certs folder, enter SSL in File name, and then select Save.

  13. Na página Arquivo a Exportar, selecione Próximo.On the File to Export page, select Next.

  14. Na página Concluindo o Assistente de Exportação de Certificados, selecione Concluir.On the Completing the Certificate Export Wizard page, select Finish. Quando solicitado, selecione OK.When prompted, select OK.

Depois instale o serviço do AD FS usando esse comando no prompt de comando do Windows PowerShell em ADFS1:Next, install the AD FS service with this command at the Windows PowerShell command prompt on ADFS1:

Install-WindowsFeature ADFS-Federation -IncludeManagementTools

Aguarde a instalação ser concluída.Wait for the installation to complete.

Em seguida, configure o serviço do AD FS com estas etapas:Next, configure the AD FS service with these steps:

  1. Selecione Iniciar e, em seguida, selecione o ícone Gerenciador de Servidores.Select Start, and then select the Server Manager icon.

  2. No painel de árvore do Gerenciador do Servidor, selecione AD FS.In the tree pane of Server Manager, select AD FS.

  3. Na barra de ferramentas na parte superior, selecione o símbolo de cuidado laranja e selecione Configurar o serviço de federação neste servidor.In the tool bar at the top, select the orange caution symbol, and then select Configure the federation service on this server.

  4. Na página Bem-vindo do Assistente de Configuração dos Serviços de Federação do Active Directory, selecione Próximo.On the Welcome page of the Active Directory Federation Services Configuration Wizard, select Next.

  5. Na página Conexão para o AD DS, selecione Próximo.On the Connect to AD DS page, select Next.

  6. Na página Especificar Propriedades do Serviço:On the Specify Service Properties page:

  • Para Certificado SSL, selecione a seta para baixo e selecione o certificado com o nome do FQDN do serviço de federação.For SSL Certificate, select the down arrow, and then select the certificate with the name of your federation service FQDN.

  • Em Nome de Exibição do Serviço de Federação, digite o nome da sua organização fictícia.In Federation Service Display Name, enter the name of your fictional organization.

  • Selecione Avançar.Select Next.

  1. Na página Especificar Conta de Serviço, selecione Selecionar nome da conta.On the Specify Service Account page, select Select for Account name.

  2. Em Selecionar Conta de Usuário ou Serviço, insira ADFS-Service, selecione Verificar Nomes e selecione OK.In Select User or Service Account, enter ADFS-Service, select Check Names, and then select OK.

  3. Em Senha da Conta, insira a senha da conta ADFS-Service e selecione Next.In Account Password, enter the password for the ADFS-Service account, and then select Next.

  4. Na página Especificar Banco de Dados de Configuração, selecione Próximo.On the Specify Configuration Database page, select Next.

  5. Na página Opções de Revisão, selecione Próximo.On the Review Options page, select Next.

  6. Na página Verificações de Pré-requisito, selecione Configurar.On the Pre-requisite Checks page, select Configure.

  7. Na página Resultados, selecione Fechar.On the Results page, select Close.

  8. Selecione Iniciar, selecione o ícone de energia, selecione Reiniciar e, em seguida, selecione Continuar.Select Start, select the power icon, select Restart, and then select Continue.

No portal do Azure, conecte-se ao PROXY1 com as credenciais da conta CORP\Usuário1.From the Azure portal, connect to PROXY1 with the CORP\User1 account credentials.

Em seguida, use estas etapas para instalar o certificado autoassinado em ambos PROXY1 e APP1.Next, use these steps to install the self-signed certificate on both PROXY1 and APP1.

  1. Selecione Iniciar, insira mmc.exe e pressione Enter.Select Start, enter mmc.exe, and then press Enter.

  2. Selecione Arquivo > Adicionar/Remover Ajustar-in.Select File > Add/Remove Snap-in.

  3. Em Adicionar ou Remover Ajustar-ins, clique duas vezes em Certificados na lista de snap-ins disponíveis, selecione Conta de computador e selecione Próximo.In Add or Remove Snap-ins, double-click Certificates in the list of available snap-ins, select Computer account, and then select Next.

  4. Em Selecionar Computador, selecione Concluir e selecione OK.In Select Computer, select Finish, and then select OK.

  5. No painel de árvore, abra Certificados (Computador Local) > > Certificados Pessoais.In the tree pane, open Certificates (Local Computer) > Personal > Certificates.

  6. Selecione e segure (ou clique com o botão direito do mouse) Pessoal, selecione Todas as tarefas e selecione Importar.Select and hold (or right-click) Personal, select All tasks, and then select Import.

  7. Na página Bem-vindo, selecione Próximo.On the Welcome page, select Next.

  8. Na página Arquivo a importar, insira \ \ adfs1 \ certs \ ssl.pfx e selecione Next.On the File to Import page, enter \\adfs1\certs\ssl.pfx, and then select Next.

  9. Na página Proteção de chave privada, insira a senha do certificado em Senha e selecione Próximo.On the Private key protection page, enter the certificate password in Password, and then select Next.

  10. Na página Armazenamento de certificados, selecione Próximo.On the Certificate store page, select Next.

  11. Na página Conclusão, selecione Concluir.On the Completing page, select Finish.

  12. Na página Armazenamento de Certificados, selecione Próximo.On the Certificate Store page, select Next.

  13. Quando solicitado, selecione OK.When prompted, select OK.

  14. No painel de árvore, selecione Certificados.In the tree pane, select Certificates.

  15. Selecione e segure (ou clique com o botão direito do mouse) no certificado e selecione Copiar.Select and hold (or right-click) the certificate, and then select Copy.

  16. No painel de árvore, abra Certificados de Autoridades de Certificação Raiz > Confiáveis.In the tree pane, open Trusted Root Certification Authorities > Certificates.

  17. Mova o ponteiro do mouse para baixo da lista de certificados instalados, selecione e segure (ou clique com o botão direito do mouse) e selecione Colar.Move your mouse pointer below the list of installed certificates, select and hold (or right-click), and then select Paste.

Abra um prompt de comando do Windows PowerShell de nível de administrador e execute o seguinte comando:Open an administrator-level PowerShell command prompt and run the following command:

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

Aguarde a instalação ser concluída.Wait for the installation to complete.

Use estas etapas para configurar o serviço de proxy de aplicativo web para usar o ADFS1 como seu servidor de federação:Use these steps to configure the web application proxy service to use ADFS1 as its federation server:

  1. Selecione Iniciar e, em seguida, selecione Gerenciador do Servidor.Select Start, and then select Server Manager.

  2. No painel de árvore, selecione Acesso Remoto.In the tree pane, select Remote Access.

  3. Na barra de ferramentas na parte superior, selecione o símbolo de cuidado laranja e, em seguida, selecione Abrir o Assistente de Proxy de Aplicativo Web.In the tool bar at the top, select the orange caution symbol, and then select Open the Web Application Proxy Wizard.

  4. Na página Bem-vindo do Assistente de Configuração de Proxy de Aplicativo Web, selecione Próximo.On the Welcome page of the Web Application Proxy Configuration Wizard, select Next.

  5. Na página Servidor de Federação:On the Federation Server page:

  • Na caixa Nome do serviço de Federação, insira o FQDN do serviço de federação.In the Federation service name box, enter your federation service FQDN.

  • Na caixa Nome do usuário, insira CORP \ User1.In the User name box, enter CORP\User1.

  • Na caixa Senha, insira a senha da conta User1.In the Password box, enter the password for the User1 account.

  • Selecione Avançar.Select Next.

  1. Na página Certificado proxy do AD FS, selecione a seta para baixo, selecione o certificado com o FQDN do serviço de federação e selecione Próximo.On the AD FS Proxy Certificate page, select the down arrow, select the certificate with your federation service FQDN, and then select Next.

  2. Na página Confirmação, selecione Configurar.On the Confirmation page, select Configure.

  3. Na página Resultados, selecione Fechar.On the Results page, select Close.

Fase 5: configure o Microsoft 365 da identidade federada.Phase 5: Configure Microsoft 365 for federated identity

Use o portal do Azure para conectar a máquina virtual APP1 com as credenciais da conta CORP\Usuário1.Use the Azure portal to connect to the APP1 virtual machine with the CORP\User1 account credentials.

Use estas etapas para configurar o Azure AD Connect e sua assinatura do Microsoft 365 da autenticação federada:Use these steps to configure Azure AD Connect and your Microsoft 365 subscription for federated authentication:

  1. Na área de trabalho, clique duas vezes em Azure AD Connect.From the desktop, double-click Azure AD Connect.

  2. Na página Bem-vindo ao Azure AD Conexão, selecione Configurar.On the Welcome to Azure AD Connect page, select Configure.

  3. Na página Tarefas adicionais, selecione Alterar a login do usuário e selecione Próximo.On the Additional tasks page, select Change user sign-in, and then select Next.

  4. Na página Conexão para o Azure AD, insira o nome e a senha da sua conta de administrador global e selecione Next.On the Connect to Azure AD page, enter your global administrator account name and password, and then select Next.

  5. Na página Login do usuário, selecione Federação com AD FS e selecione Próximo.On the User sign-in page, select Federation with AD FS, and then select Next.

  6. Na página do farm do AD FS, selecione Usar um farm do AD FS existente, insira ADFS1 na caixa Nome do Servidor e selecione Próximo.On the AD FS farm page, select Use an existing AD FS farm, enter ADFS1 in the Server Name box, and then select Next.

  7. Quando solicitado para credenciais de servidor, insira as credenciais da conta CORP User1 e selecione \ OK.When prompted for server credentials, enter the credentials of the CORP\User1 account, and then select OK.

  8. Na página Credenciais do Administrador de Domínio, insira CORP \ User1 na caixa Nome de Usuário, insira a senha da conta na caixa Senha e selecione Próximo.On the Domain Administrator credentials page, enter CORP\User1 in the Username box, enter the account password in the Password box, and then select Next.

  9. Na página conta de serviço do AD FS, insira CORP \ ADFS-Service na caixa Nome de Usuário do Domínio, insira a senha da conta na caixa Senha do Usuário de Domínio e selecione Próximo.On the AD FS service account page, enter CORP\ADFS-Service in the Domain Username box, enter the account password in the Domain User Password box, and then select Next.

  10. Na página Domínio do Azure AD, em Domínio, selecione o nome do domínio que você criou anteriormente e adicionou à sua assinatura na Fase 1 e selecione Próximo.On the Azure AD Domain page, in Domain, select the name of the domain that you previously created and added to your subscription in Phase 1, and then select Next.

  11. Na página Pronto para configurar, selecione Configurar.On the Ready to configure page, select Configure.

  12. Na página Instalação concluída, selecione Verificar.On the Installation complete page, select Verify.

    Você deve ver mensagens indicando que a configuração da intranet e da Internet foi verificada.You should see messages indicating that both the intranet and internet configuration was verified.

  13. Na página Instalação concluída, selecione Sair.On the Installation complete page, select Exit.

Para demonstrar que a autenticação federada está funcionando, faça o seguinte:To demonstrate that federated authentication is working:

  1. Abra uma nova instância privada no navegador do computador local e acesse https://admin.microsoft.com.Open a new private instance of your browser on your local computer and go to https://admin.microsoft.com.

  2. Para as credenciais de entrada, digite user1@ <the domain created in Phase 1> .For the sign-in credentials, enter user1@<the domain created in Phase 1>.

    Por exemplo, se seu domínio de teste testlab.contoso.com, você digitará "user1@testlab.contoso.com".For example, if your test domain is testlab.contoso.com, you would enter "user1@testlab.contoso.com". Pressione a tecla Tab ou permita Microsoft 365 redirecionar você automaticamente.Press the Tab key or allow Microsoft 365 to automatically redirect you.

    Agora você deve ver uma Sua conexão não é uma página privada.You should now see a Your connection is not private page. Você está vendo isso porque instalou um certificado auto-assinado no ADFS1 que seu computador desktop não pode validar.You are seeing this because you installed a self-signed certificate on ADFS1 that your desktop computer can't validate. Em uma implantação de produção de autenticação federada, você usaria um certificado de uma autoridade de certificação confiável e seus usuários não veriam esta página.In a production deployment of federated authentication, you would use a certificate from a trusted certification authority and your users would not see this page.

  3. Na página Sua conexão não é privada, selecione Avançado e selecione Prosseguir para <your federation service FQDN>.On the Your connection is not private page, select Advanced, and then select Proceed to <your federation service FQDN>.

  4. Na página com o nome da sua organização fictícia, entre com o seguinte:On the page with the name of your fictional organization, sign in with the following:

  • CORP\Usuário1 como o nomeCORP\User1 for the name

  • A senha da conta Usuário1The password for the User1 account

    Você verá a home page do Microsoft Office.You should see the Microsoft Office Home page.

Esse procedimento demonstra que sua assinatura de avaliação está federada com o domínio AD DS corp.contoso.com hospedado no DC1. Aqui estão os conceitos básicos do processo de autenticação:This procedure demonstrates that your trial subscription is federated with the AD DS corp.contoso.com domain hosted on DC1. Here are the basics of the authentication process:

  1. Quando você usa o domínio federado criado na Fase 1 no nome da conta de login, o Microsoft 365 redireciona o navegador para o seu serviço de federação FQDN e PROXY1.When you use the federated domain that you created in Phase 1 within the sign-in account name, Microsoft 365 redirects your browser to your federation service FQDN and PROXY1.

  2. PROXY1 envia a página de entrada da empresa fictícia para o seu computador local.PROXY1 sends your local computer the fictional company sign-in page.

  3. Quando você envia CORP\Usuário1 e a senha PROXY1, ele o encaminha para o ADFS1.When you send CORP\User1 and the password to PROXY1, it forwards them to ADFS1.

  4. O ADFS1 valida CORP\Usuário1 e a senha com o DC1 e envia um token de segurança para o seu computador local.ADFS1 validates CORP\User1 and the password with DC1 and sends your local computer a security token.

  5. Seu computador local envia o token de segurança para o Microsoft 365.Your local computer sends the security token to Microsoft 365.

  6. O Microsoft 365 valida que o token de segurança foi criado pelo ADFS1 e permite o acesso.Microsoft 365 validates that the security token was created by ADFS1 and allows access.

Sua assinatura de avaliação já está configurada com autenticação federada. Você pode usar esse ambiente de desenvolvimento/teste dos cenários de autenticação avançados.Your trial subscription is now configured with federated authentication. You can use this dev/test environment for advanced authentication scenarios.

Próxima etapaNext step

Quando estiver pronto para implantar a autenticação federada pronta para produção e alta disponibilidade para Microsoft 365 no Azure, consulte Deploy high availability federated authentication for Microsoft 365 in Azure.When you are ready to deploy production-ready, high availability federated authentication for Microsoft 365 in Azure, see Deploy high availability federated authentication for Microsoft 365 in Azure.