Federar várias instâncias do Microsoft Entra ID com uma única instância do AD FS
Um único farm do AD FS altamente disponível pode federar várias florestas se tiverem duas vias confiança entre eles. Essas várias florestas podem ou não corresponder à mesma ID do Microsoft Entra. Este artigo fornece instruções sobre como configurar a federação entre uma única implantação do AD FS e várias instâncias do Microsoft Entra ID.
Nota
A repetição de escrita do dispositivo e a associação automática do dispositivo não são suportadas neste cenário.
Nota
O Microsoft Entra Connect não pode ser usado para configurar a federação neste cenário, pois o Microsoft Entra Connect pode configurar a federação para domínios em uma única ID do Microsoft Entra.
Etapas para federar o AD FS com várias ID do Microsoft Entra
Considere um domínio contoso.com no Microsoft Entra contoso.onmicrosoft.com já está federado com o AD FS local instalado em contoso.com ambiente do Ative Directory local. Fabrikam.com é um domínio no fabrikam.onmicrosoft.com Microsoft Entra ID.
Passo 1: Estabelecer uma confiança bidirecional
Para o AD FS no contoso.com conseguir autenticar utilizadores no fabrikam.com, é necessária uma confiança bidirecional entre o contoso.com e o fabrikam.com. Siga a documentação de orientação neste artigo para criar a confiança bidirecional.
Passo 2: Modificar as definições de federação do contoso.com
O emissor padrão definido para um único domínio federado ao AD FS é "http://ADFSServiceFQDN/adfs/services/trust", por exemplo, http://fs.contoso.com/adfs/services/trust. O Microsoft Entra ID requer um emissor exclusivo para cada domínio federado. Como o AD FS vai federar dois domínios, o valor do emissor precisa ser modificado para que seja exclusivo.
Nota
Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de descontinuação. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.
Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.
No servidor AD FS, abra o Azure AD PowerShell (verifique se o módulo MSOnline está instalado) e execute as seguintes etapas:
Conectar-se à ID do Microsoft Entra que contém o domínio contoso.com Connect-MsolService Atualize as configurações de federação para contoso.com Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain
O emissor na configuração de federação de domínio será alterado para "http://contoso.com/adfs/services/trust" e uma regra de declaração de emissão será adicionada para que a Confiança de Terceira Parte Confiável do Microsoft Entra ID emita o valor issuerId correto com base no sufixo UPN.
Passo 3: Federar o fabrikam.com com o AD FS
Na sessão do Azure AD PowerShell, execute as seguintes etapas: Conectar-se à ID do Microsoft Entra que contém o domínio fabrikam.com
Connect-MsolService
Converta o domínio gerido fabrikam.com para federado:
Convert-MsolDomainToFederated -DomainName fabrikam.com -Verbose -SupportMultipleDomain
A operação acima irá federar o domínio fabrikam.com com o mesmo AD FS. Pode verificar as definições de domínio com o Get-MsolDomainFederationSettings para ambos os domínios.