Autenticação federada de alta disponibilidade Fase 5: configurar a autenticação federada para o Microsoft 365

Nesta fase final de implantação da autenticação federada de alta disponibilidade para o Microsoft 365 nos serviços de infraestrutura do Azure, você obtém e instala um certificado emitido por uma autoridade de certificação pública, verifica sua configuração e, em seguida, instala e executa Microsoft Entra Conectar no servidor de sincronização de diretório. Microsoft Entra Connect configura sua assinatura do Microsoft 365 e seus servidores proxy de aplicativo Web (AD FS) e Serviços de Federação do Active Directory (AD FS) para autenticação federada.

Consulte Implantar autenticação federada de alta disponibilidade para o Microsoft 365 no Azure para todas as fases.

Obter um certificado público e copiá-lo para o servidor de sincronização do diretório

Obtenha um certificado digital de uma autoridade de certificação pública com as seguintes propriedades:

• Um certificado X.509 adequado para criar conexões SSL.

• A propriedade estendida SAN (Nome Alternativo de Assunto) é definida como FQDN do serviço de federação (exemplo: fs.contoso.com).

• O certificado deve ter a chave privada e ser armazenado no formato PFX.

Além disso, os computadores e dispositivos da sua organização devem confiar na autoridade de certificação pública que está emitindo o certificado digital. Essa confiança é estabelecida por ter um certificado raiz da autoridade de certificação pública instalada no repositório de autoridades de certificação raiz confiáveis em seus computadores e dispositivos. Os computadores que executam o Microsoft Windows normalmente têm um conjunto desses tipos de certificados instalados de autoridades de certificação comumente usadas. Se o certificado raiz de sua autoridade de certificação pública ainda não estiver instalado, você deverá implantá-lo nos computadores e dispositivos da sua organização.

Para obter mais informações sobre os requisitos de certificado para autenticação federada, consulte Pré-requisitos para instalação e configuração de federação.

Ao receber o certificado, copie-o para uma pasta na unidade C: do servidor de sincronização de diretório. Por exemplo, nomeie o arquivo SSL.pfx e armazene-o na pasta C:\Certs no servidor de sincronização de diretório.

Verificar sua configuração

Agora você deve estar pronto para configurar Microsoft Entra Connect e autenticação federada para o Microsoft 365. Para garantir que você esteja, aqui está uma lista de verificação:

• O domínio público da sua organização é adicionado à sua assinatura do Microsoft 365.

• As contas de usuário do Microsoft 365 da sua organização estão configuradas para o nome de domínio público da sua organização e podem entrar com êxito.

• Você determinou que um FQDN do serviço de federação baseou seu nome de domínio público.

• Um DNS público Um registro do FQDN do serviço de federação aponta para o endereço IP público do balanceador de carga do Azure voltado para a Internet para os servidores proxy de aplicativo Web.

• Um DNS privado Um registro do FQDN do serviço de federação aponta para o endereço IP privado do balanceador de carga interno do Azure para os servidores do AD FS.

• Um certificado digital emitido pela autoridade de certificação pública adequado para conexões SSL com o SAN definido para o FQDN do serviço de federação é um arquivo PFX armazenado em seu servidor de sincronização de diretório.

• O certificado raiz da autoridade de certificação pública é instalado no repositório Autoridades de Certificação Raiz Confiáveis em seus computadores e dispositivos.

Aqui está um exemplo para a organização Contoso:

Uma configuração de exemplo para uma infraestrutura de autenticação federada de alta disponibilidade no Azure

Executar Microsoft Entra Conectar para configurar a autenticação federada

A ferramenta Microsoft Entra Connect configura os servidores do AD FS, os servidores proxy do aplicativo Web e o Microsoft 365 para autenticação federada com estas etapas:

1. Crie uma conexão de área de trabalho remota com o servidor de sincronização de diretório com uma conta de domínio que tenha privilégios de administrador local.

2. Na área de trabalho do servidor de sincronização de diretório, abra a Internet Explorer e vá para ohttps://aka.ms/Azure AD Connect.

3. Na página Conectar Microsoft Entra, clique em Baixar e clique em Executar.

4. Na página Bem-vindo ao Microsoft Entra Conectar, clique em Concordo e clique em Continuar.

5. Na página Configurações Expressas, clique em Personalizar.

6. Na página Instalar componentes necessários, clique em Instalar.

7. Na página Entrada do usuário, clique em Federação com AD FS e em Avançar.

8. Na página Conectar a Microsoft Entra ID, digite o nome e a senha de um administrador Microsoft Entra DC ou conta de administrador global para sua assinatura do Microsoft 365 e clique em Avançar.

9. Na página Conectar seus diretórios, verifique se a floresta de Active Directory local Domain Services (AD DS) está selecionada em Floresta, digite o nome e a senha de uma conta de administrador de domínio, clique em Adicionar Diretório e clique em Avançar.

10. Na página de configuração de entrada Microsoft Entra, clique em Avançar.

11. Na página Filtragem de Domínio e OU , clique em Avançar.

12. Na página Identificar exclusivamente seus usuários , clique em Avançar.

13. Na página Filtrar usuários e dispositivos , clique em Avançar.

14. Na página Recursos opcionais , clique em Avançar.

15. Na página farm do AD FS , clique em Configurar um novo farm do AD FS.

16. Clique em Procurar e especifique o local e o nome do certificado SSL da autoridade de certificação pública.

17. Quando solicitado, digite a senha do certificado e clique em OK.

18. Verifique se o Nome do Assunto e o Nome do Serviço de Federação estão definidos como FQDN do serviço de federação e clique em Avançar.

19. Na página servidores do AD FS , digite o nome do primeiro servidor do AD FS (Tabela M – Item 4 – coluna Nome da máquina virtual) e clique em Adicionar.

20. Digite o nome do segundo servidor do AD FS (Tabela M – Item 5 – Coluna nome da máquina virtual), clique em Adicionar e clique em Avançar.

21. Na página Servidores Proxy de Aplicativo Web, digite o nome do servidor proxy do seu primeiro aplicativo Web (Tabela M – Item 6 – Coluna nome da máquina virtual) e clique em Adicionar.

22. Digite o nome do servidor proxy do segundo aplicativo Web (Tabela M – Item 7 – Coluna Nome da máquina virtual), clique em Adicionar e clique em Avançar.

23. Na página Credenciais do Administrador de Domínio , digite o nome de usuário e a senha de uma conta de administrador de domínio e clique em Avançar.

24. Na página conta de serviço do AD FS , digite o nome de usuário e a senha de uma conta de administrador empresarial e clique em Avançar.

25. Na página Domínio Microsoft Entra, em Domínio, selecione o nome de domínio DNS da sua organização e clique em Avançar.

26. Na página Pronto para configurar, clique em Instalar.

27. Na página Instalação Completa, clique em Verificar. Você deve ver duas mensagens indicando que a configuração da intranet e da Internet foi verificada com êxito.

• A mensagem de intranet deve listar o endereço IP privado do balanceador de carga interno do Azure para seus servidores do AD FS.

• A mensagem da Internet deve listar o endereço IP público do balanceador de carga voltado para a Internet do Azure para seus servidores proxy de aplicativo Web.

28. Na página Instalação Completa, clique em Fechar.

Aqui está a configuração final, com nomes de espaço reservado para os servidores.

Fase 5: a configuração final de uma infraestrutura de autenticação federada de alta disponibilidade no Azure

Sua infraestrutura de autenticação federada de alta disponibilidade para o Microsoft 365 no Azure está concluída.

Confira também

Implantar a autenticação federada de alta disponibilidade para o Microsoft 365 no Azure

Identidade federada para seu ambiente de desenvolvimento/teste do Microsoft 365

Centro de soluções e arquitetura do Microsoft 365

Identidade federada para o Microsoft 365