Высокий уровень доступности федеративной проверки подлинности: этап 5. Настройка федеративной проверки подлинности для Microsoft 365

На этом заключительном этапе развертывания федеративной проверки подлинности с высоким уровнем доступности для Microsoft 365 в службах инфраструктуры Azure вы получите и установите сертификат, выданный общедоступным центром сертификации, проверьте свою конфигурацию, а затем установите и запустите Microsoft Entra Connect на сервере синхронизации каталогов. Microsoft Entra Connect настраивает подписку Microsoft 365 и серверы службы федерации Active Directory (AD FS) (AD FS) и прокси-серверы веб-приложений для федеративной проверки подлинности.

Все этапы см. в статье Развертывание федеративной проверки подлинности с высоким уровнем доступности для Microsoft 365 в Azure .

Получение общедоступного сертификата и его копирование на сервер синхронизации каталогов

Получите цифровой сертификат из общедоступного центра сертификации со следующими свойствами:

• Сертификат X.509 подходит для создания SSL-соединений.

• Расширенному свойству "Альтернативное имя субъекта" (SAN) присвоено полное доменное имя службы федерации (например, fs.contoso.com).

• Сертификат должен иметь закрытый ключ и формат PFX.

Кроме того, компьютеры и устройства организации должны доверять общедоступному центру сертификации, выдающему цифровой сертификат. Для этого в хранилище доверенных корневых центров сертификации на компьютерах и устройствах должен быть установлен корневой сертификат из общедоступного центра сертификации. Компьютеры под управлением Microsoft Windows обычно имеют набор сертификатов этих типов, установленных из часто используемых центров сертификации. Если корневой сертификат из общедоступного центра сертификации еще не установлен, его необходимо развернуть на компьютерах и устройствах организации.

Дополнительные сведения о требованиях к сертификатам для федеративной проверки подлинности см. в разделе Предварительные требования для установки и настройки федерации.

Получив сертификат, скопируйте его в папку на диске C: сервера синхронизации каталогов. Например, назовите файл SSL.pfx и сохраните его в папке C:\Certs на сервере синхронизации каталогов.

Проверка конфигурации

Теперь вы должны быть готовы к настройке Microsoft Entra Connect и федеративной проверки подлинности для Microsoft 365. Чтобы убедиться, что это так, вот контрольный список:

• Общедоступный домен вашей организации добавляется в подписку На Microsoft 365.

• Учетные записи пользователей Microsoft 365 вашей организации настроены на общедоступное доменное имя вашей организации и могут успешно войти в систему.

• Вы определили полное доменное имя службы федерации на основе вашего общедоступного доменного имени.

• Запись A общедоступного домена DNS для полного доменного имени службы федерации указывает на общедоступный IP-адрес внешнего балансировщика нагрузки Azure для прокси-серверов веб-приложений.

• Запись A частного домена DNS для полного доменного имени службы федерации указывает на частный IP-адрес внутреннего балансировщика нагрузки Azure для серверов AD FS.

• Цифровой сертификат, выданный общедоступным центром сертификации, подходящий для SSL-подключений с san, заданным для полного доменного имени службы федерации, — это PFX-файл, хранящийся на сервере синхронизации каталогов.

• Корневой сертификат для общедоступного центра сертификации установлен в хранилище доверенных корневых центров сертификации на компьютерах и устройствах.

Ниже приведен пример для организации Contoso:

Пример конфигурации инфраструктуры федеративной проверки подлинности с высоким уровнем доступности в Azure

Запустите Microsoft Entra Connect, чтобы настроить федеративную проверку подлинности.

Средство Microsoft Entra Connect настраивает серверы AD FS, прокси-серверы веб-приложений и Microsoft 365 для федеративной проверки подлинности, выполнив следующие действия:

1. Создайте подключение удаленного рабочего стола к серверу синхронизации каталогов с помощью учетной записи домена с правами локального администратора.

2. На рабочем столе сервера синхронизации каталогов откройте интернет-Обозреватель и перейдите к https://aka.ms/Azure AD Connect.

3. На странице Microsoft Entra Подключиться нажмите кнопку Скачать, а затем нажмите кнопку Выполнить.

4. На странице Добро пожаловать в Microsoft Entra Подключиться нажмите кнопку Я принимаю, а затем нажмите кнопку Продолжить.

5. На странице Стандартные параметры нажмите кнопку Настроить.

6. На странице Установка обязательных компонентов нажмите кнопку Установить.

7. На странице Вход пользователя выберите Федерация с AD FS и нажмите кнопку Далее.

8. На странице Подключение к Microsoft Entra ID введите имя и пароль администратора Microsoft Entra контроллера домена или учетной записи глобального администратора для подписки Microsoft 365, а затем нажмите кнопку Далее.

9. На странице Подключение каталогов убедитесь, что в поле Лес выбран лес локальная служба Active Directory Доменные службы (AD DS), введите имя и пароль учетной записи администратора домена, нажмите кнопку Добавить каталог, а затем нажмите кнопку Далее.

10. На странице конфигурации входа Microsoft Entra нажмите кнопку Далее.

11. На странице Фильтрация доменов и подразделений нажмите кнопку Далее.

12. На странице Уникальная идентификация пользователей нажмите кнопку Далее.

13. На Фильтрация пользователей и устройств нажмите кнопку Далее.

14. На странице Дополнительные возможности нажмите кнопку Далее.

15. На странице Ферма AD FS нажмите кнопку Настроить новую ферму AD FS.

16. Нажмите кнопку Обзор и укажите расположение и имя SSL-сертификата из общедоступного центра сертификации.

17. Введите пароль сертификата и нажмите кнопку ОК.

18. Убедитесь, что в полях Имя субъекта и Имя службы федерации указано полное доменное имя службы федерации, и нажмите кнопку Далее.

19. На странице Серверы AD FS введите имя первого сервера AD FS (таблица M, элемент 4, "Имя виртуальной машины") и нажмите кнопку Добавить.

20. Введите имя второго сервера AD FS (таблица M, элемент 5, столбец "Имя виртуальной машины"), нажмите кнопку Добавить, а затем кнопку Далее.

21. На странице Прокси-серверы веб-приложений введите имя первого прокси-сервера веб приложений (таблица M, элемент 6, столбец "Имя виртуальной машины") и нажмите кнопку Добавить.

22. Введите имя второго прокси-сервера веб-приложений (таблица M, элемент 7, столбец "Имя виртуальной машины"), нажмите кнопку Добавить, а затем кнопку Далее.

23. На странице Учетные данные администратора домена введите имя пользователя и пароль администратора домена и нажмите кнопку Далее.

24. На странице Учетная запись службы AD FS введите имя пользователя и пароль администратора предприятия и нажмите кнопку Далее.

25. На странице Microsoft Entra Домен в разделе Домен выберите dns-имя своей организации и нажмите кнопку Далее.

26. На странице Готово к настройке нажмите Установить.

27. На странице Установка завершена нажмите Проверить. Появятся два сообщения о том, что конфигурации интрасети и Интернета проверены.

• В сообщении интрасети должен быть указан частный IP-адрес внутреннего балансировщика нагрузки Azure для серверов AD FS.

• В сообщении Интернета должен быть указан публичный IP-адрес внешнего балансировщика нагрузки Azure для прокси-серверов веб-приложений.

28. На странице Установка завершена нажмите Выход.

Ниже приведена окончательная конфигурация с именами заполнителей для серверов.

Этап 5. Окончательная конфигурация инфраструктуры федеративной проверки подлинности с высоким уровнем доступности в Azure

Инфраструктура федеративной проверки подлинности высокого уровня доступности для Microsoft 365 в Azure завершена.

См. также

Развертывание федеративной проверки подлинности для обеспечения высокой доступности Microsoft 365 в Azure

Федеративное удостоверение для среды разработки и тестирования Microsoft 365

Центр архитектуры и решений Microsoft 365

Федеративное удостоверение для Microsoft 365