Настройка ADFS

  • Статья

 

Предполагаемое время выполнения: 20 минут

Синхронизация Active Directory с помощью средства Azure Active Directory Connect со службами федерации Active Directory (AD FS), включенная между локальной организацией и организацией Office 365 позволяет использовать единый глобальный список адресов (GAL) и управлять всеми учетными записями пользователей Active Directory локально. Кроме того, средство Azure AD Connect с AD FS подключается к Active Directory в локальной сети, чтобы проверить учетные данные, указанные пользователем. AD FS имеет ряд преимуществ по сравнению с синхронизацией паролей, например централизованное включение и отключение доступа к учетным записям на всех локальных серверах и в Office 365, дополнительный контроль над требованиями к паролям и др.

Как это сделать?

  1. Скачайте средство Azure Active Directory Connect на компьютер, на который вы собираетесь его установить, а затем откройте его.

  2. На странице приветствия нажмите кнопку Далее, если вы принимаете условия лицензионного соглашения и заявление о конфиденциальности.

  3. На странице Стандартные параметры нажмите кнопку Настроить.

  4. На странице Установка обязательных компонентов нажмите кнопку Установить.

    Параметры на этой странице необязательны, если у вас небольшая организация. Выбирайте эти параметры, только если понимаете их влияние на развертывание Azure AD Connect с AD FS. В этом контрольном списке предполагается, что не выбран ни один из параметров.

  5. На странице Вход пользователя выберите элемент Федерация с AD FS и нажмите кнопку Далее.

  6. На странице Подключение к Azure AD введите имя пользователя и пароль учетной записи глобального администратора организации Office 365, а затем нажмите кнопку Далее.

  7. На странице Подключение каталогов выберите лес Active Directory, содержащий организацию Exchange, которую требуется настроить для гибридного развертывания, а затем введите имя пользователя и пароль учетной записи, которая является участником группы "Администраторы предприятия" в этом лесу. Нажмите кнопку Далее.

  8. На странице Фильтрация доменов и подразделений нажмите Синхронизировать все домены и подразделения, если требуется синхронизировать всех пользователей локальной службы Active Directory с Office 365. Если вам нужно выбрать определенное подразделение, нажмите Синхронизировать выбранные домены и подразделения, а затем выберите нужные домены и подразделения Active Directory. Нажмите кнопку Далее.

  9. Убедитесь, что на странице Уникальная идентификация пользователей выбран параметр Пользователи представлены только один раз во всех каталогах, а затем нажмите кнопку Далее.

  10. Убедитесь, что на странице Фильтрация пользователей и устройств выбран параметр Синхронизировать всех пользователей и устройства, а затем нажмите кнопку Далее.

  11. На странице Дополнительные возможности выберите Гибридное развертывание Exchange и нажмите кнопку Далее.

  12. На странице Ферма AD FS нажмите Настроить новую ферму Windows Server 2012 R2 AD FS.

  13. В поле Файл сертификата найдите сторонний сертификат, который содержит альтернативное имя субъекта (SAN), соответствующее внешнему полному доменному имени на сервере AD FS. Этот сертификат должен включать закрытый ключ. В поле Имя субъекта выберите нужное альтернативное имя субъекта, например sts.contoso.com. Нажмите кнопку Далее.

  14. На странице Серверы AD FS нажмите кнопку Обзор, выберите имя сервера, на котором устанавливается Azure AD Connect с AD FS, а затем нажмите кнопку Добавить.

  15. На странице Прокси-серверы веб-приложений нажмите кнопку Обзор, выберите имя сервера, который будет выступать в роли веб-прокси для внешних подключений, а затем нажмите кнопку Добавить.

  16. На странице Учетные данные доверия прокси-сервера введите имя пользователя и пароль учетной записи, имеющей доступ к хранилищу сертификатов на сервере AD FS, на котором находится указанный ранее сертификат, а затем нажмите кнопку Далее.

  17. На странице Учетная запись службы AD FS нажмите Создать групповую управляемую учетную запись службы, введите имя и пароль пользователя, входящего в группу "Администраторы предприятия", а затем нажмите кнопку Далее.

  18. На странице Домен Azure AD выберите домен, соответствующий личному домену, добавленному в организацию Office 365, и именам участников-пользователей, с помощью которых пользователи будут выполнять вход. Например, если добавлен личный домен contoso.com, а имена пользователей имеют вид <пользователь>@contoso.com, выберите из списка домен contoso.com. Нажмите кнопку Далее.

  19. На странице Готово к настройке выберите параметр Запустить синхронизацию сразу после завершения настройки, а затем нажмите кнопку Далее.

    На этом этапе Azure AD Connect синхронизирует локальные учетные записи пользователей и их данные с организацией Office 365. Это может занять некоторое время в зависимости от того, сколько учетных записей требуется синхронизировать.

  20. На странице Настройка завершена нажмите кнопку Выход.

  21. Убедитесь, что брандмауэр разрешает подключения к серверу веб-прокси AD FS через TCP-порт 443 из внешних источников.

После первой полной синхронизации Azure AD Connect будет выполнять дополнительную синхронизацию каждые 30 минут. Изменение этого интервала не поддерживается.

Проверка выполнения

Войдите на портал администрирования организации Office 365 и убедитесь, что все параметры локальных учетных записей Active Directory реплицированы в Office 365:

  1. Войдите в Центр администрирования Office 365

  2. {#Text:E16UsersOriginalPortalText#}

    Выберите пункт Пользователи, а затем — Активные пользователи, чтобы убедиться, что локальные пользователи добавлены в организацию Office 365.

    ПримечаниеПримечание.
    То, что учетная запись пользователя отображается здесь, не значит, что его почтовый ящик перемещен в Office 365. Это значит только то, что для пользователя создана учетная запись Office 365, а ее данные синхронизированы с локальной организацией.

  3. {#Text:E16UsersPreviewPortalText#}

    Выберите пункт ПользователиПользователь, а затем — Активные пользователи, чтобы убедиться, что локальные пользователи добавлены в организацию Office 365.

    ПримечаниеПримечание.
    То, что учетная запись пользователя отображается здесь, не значит, что его почтовый ящик перемещен в Office 365. Это значит только то, что для пользователя создана учетная запись Office 365, а ее данные синхронизированы с локальной организацией.

Вы также можете проверить, могут ли пользователи войти в Office 365 с помощью локальной учетной записи Active Directory. Это можно проверить следующим образом:

  • Перейдите в Центр администрирования Office 365.

  • Когда вам будет предложено ввести имя пользователя и пароль, введите имя локального пользователя. Пример: david@contoso.com.

    После ввода имени пользователя служба Office 365 должна определить, что домен настроен на единый вход, и переслать запрос на вход на локальный сервер веб-прокси AD FS. После этого откроется страница проверки подлинности, предоставленная сервером веб-прокси.

  • На странице входа для веб-прокси AD FS проверьте имя пользователя, введите пароль и нажмите кнопку Войти.

    После входа должен открыться портал Office 365.

Возникли проблемы? Обратитесь за помощью к участникам форума Office 365. Для получения доступа к форуму необходимо войти в систему, используя учетную запись с правами администратора на доступ к облачной службе. Посетите форумы на странице форумов Office 365.