Configurar o AD FS para o Microsoft 365 para Sign-On Único

  • Artigo
  • Aplica-se a:
    Microsoft 365

Este vídeo mostra como configurar o Serviço de Federação do Active Directory (AD FS) para trabalhar em conjunto com o Microsoft 365. Não abrange o cenário do servidor proxy do AD FS. Este vídeo aborda o AD FS para Windows Server 2012 R2. No entanto, o procedimento também se aplica ao AD FS 2.0 , exceto nos passos 1, 3 e 7. Em cada um desses passos, consulte a secção "Notas do AD FS 2.0" para obter mais informações sobre como utilizar este procedimento no Windows Server 2008.

Notas úteis para os passos no vídeo

Passo 1: Instalar Serviços de Federação do Active Directory (AD FS)

Adicione o AD FS com o Assistente para Adicionar Funções e Funcionalidades.

Notas do AD FS 2.0

Se estiver a utilizar o Windows Server 2008, tem de transferir e instalar o AD FS 2.0 para poder trabalhar com o Microsoft 365. Pode obter o AD FS 2.0 a partir do seguinte site do Centro de Transferências da Microsoft:

Serviços de Federação do Active Directory (AD FS) 2.0 RTW

Após a instalação, utilize Windows Update para transferir e instalar todas as atualizações aplicáveis.

Passo 2: Pedir um certificado de uma AC de terceiros para o nome do servidor de Federação

O Microsoft 365 requer um certificado fidedigno no servidor do AD FS. Por conseguinte, tem de obter um certificado de uma autoridade de certificação (AC) de terceiros.

Quando personalizar o pedido de certificado, certifique-se de que adiciona o nome do servidor de Federação no campo Nome comum .

Neste vídeo, explicamos apenas como gerar um pedido de assinatura de certificado (CSR). Tem de enviar o ficheiro CSR para uma AC de terceiros. A AC devolve-lhe um certificado assinado. Em seguida, siga estes passos para importar o certificado para o arquivo de certificados do computador:

  1. Execute Certlm.msc para abrir o arquivo de certificados do computador local.
  2. No painel de navegação, Expanda Pessoal, expanda Certificado, clique com o botão direito do rato na pasta Certificado e, em seguida, clique em Importar.

Acerca do nome do servidor de Federação

O nome do Serviço de Federação é o nome de domínio com acesso à Internet do servidor do AD FS. O utilizador do Microsoft 365 é redirecionado para este domínio para autenticação. Por conseguinte, certifique-se de que adiciona um registo A público para o nome de domínio.

Passo 3: Configurar o AD FS

Não pode escrever manualmente um nome como o nome do servidor de Federação. O nome é determinado pelo nome do requerente (Nome comum) de um certificado no arquivo de certificados do computador local.

Notas do AD FS 2.0

No AD FS 2.0, o nome do servidor de Federação é determinado pelo certificado que vincula ao "Web Site Predefinido" nos Serviços de Informação Internet (IIS). Tem de vincular o novo certificado ao Site Predefinido antes de configurar o AD FS.

Pode utilizar qualquer conta como conta de serviço. Se a palavra-passe da conta de serviço tiver expirado, o AD FS deixa de funcionar. Por conseguinte, certifique-se de que a palavra-passe da conta está definida para nunca expirar.

Passo 4: Transferir ferramentas do Microsoft 365

O módulo do Windows Azure Active Directory para Windows PowerShell e a aplicação de Sincronização do Azure Active Directory estão disponíveis no portal do Microsoft 365. Para obter as ferramentas, clique em Utilizadores Ativos e, em seguida, clique em Início de sessão único: Configurar.

Passo 5: Adicionar o seu domínio ao Microsoft 365

O vídeo não explica como adicionar e verificar o seu domínio ao Microsoft 365. Para obter mais informações sobre esse procedimento, consulte Verificar o seu domínio no Microsoft 365.

Passo 6: Ligar o AD FS ao Microsoft 365

Para ligar o AD FS ao Microsoft 365, execute os seguintes comandos no Módulo do Diretório do Windows Azure para Windows PowerShell.

NotaSet-MsolADFSContext No comando, especifique o FQDN do servidor do AD FS no seu domínio interno em vez do nome do servidor de Federação.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>

Nota

Azure AD e os módulos do PowerShell do MSOnline são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após esta data, o suporte para estes módulos está limitado à assistência de migração para o SDK do PowerShell do Microsoft Graph e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.

Recomendamos que migre para o Microsoft Graph PowerShell para interagir com Microsoft Entra ID (anteriormente Azure AD). Para perguntas de migração comuns, veja as FAQ sobre Migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

Se os comandos forem executados com êxito, deverá ver o seguinte:

  • É adicionada uma Confiança da Entidade Confiadora "Plataforma de Identificação da Plataforma do Microsoft 365" ao seu servidor do AD FS.
  • Os utilizadores que utilizam o nome de domínio personalizado como sufixo de endereço de e-mail para iniciar sessão no portal do Microsoft 365 são redirecionados para o servidor do AD FS.

Passo 7: Sincronizar contas de utilizador do Active Directory local com o Microsoft 365

Se o nome de domínio interno for diferente do nome de domínio externo utilizado como sufixo de endereço de e-mail, terá de adicionar o nome de domínio externo como sufixo UPN alternativo no domínio do Active Directory local. Por exemplo, o nome de domínio interno é "company.local", mas o nome de domínio externo é "company.com". Nesta situação, tem de adicionar "company.com" como sufixo UPN alternativo.

Sincronize as contas de utilizador com o Microsoft 365 com a Ferramenta de Sincronização de Diretórios.

Notas do AD FS 2.0

Se estiver a utilizar o AD FS 2.0, tem de alterar o UPN da conta de utilizador de "company.local" para "company.com" antes de sincronizar a conta com o Microsoft 365. Caso contrário, o utilizador não é validado no servidor do AD FS.

Passo 8: Configurar o computador cliente para Sign-On Único

Depois de adicionar o nome do servidor de Federação à zona intranet local no Internet Explorer, a autenticação NTLM é utilizada quando os utilizadores tentam autenticar-se no servidor do AD FS. Por conseguinte, não lhes é pedido que introduzam as respetivas credenciais.

Os administradores podem implementar definições de Política de Grupo para configurar uma solução de Sign-On Único em computadores cliente que estão associados ao domínio.