Federerade identiteter i testmiljön för Microsoft 365Federated identity for your Microsoft 365 test environment

Den här test laboratorie guiden kan användas för både Microsoft 365 för företags-och Office 365 företags test miljöer.This Test Lab Guide can be used for both Microsoft 365 for enterprise and Office 365 Enterprise test environments.

Microsoft 365 stöder federerade identiteter.Microsoft 365 supports federated identity. Det innebär att i stället för att Microsoft 365 validerar autentiseringsuppgifterna själv, hänvisas användaren som ansluter till en federerad autentiseringsserver som är betrodd av Microsoft 365.This means that instead of performing the validation of credentials itself, Microsoft 365 refers the connecting user to a federated authentication server that Microsoft 365 trusts. Om användarens autentiseringsuppgifter är korrekta utfärdar den federerade autentiseringsservern en säkerhetstoken som klienten sedan skickar till Microsoft 365 som autentiseringsbevis.If the user's credentials are correct, the federated authentication server issues a security token that the client then sends to Microsoft 365 as proof of authentication. Federerade identiteter möjliggör avlastning och uppskalning av autentiseringen i en Microsoft 365-prenumeration, samt avancerade autentiserings- och säkerhetsscenarier.Federated identity allows for the offloading and scaling up of authentication for a Microsoft 365 subscription and advanced authentication and security scenarios.

I den här artikeln beskrivs hur du konfigurerar federerad inloggning för test miljön för Microsoft 365:This article describes how to configure federated authentication for your Microsoft 365 test environment, resulting in the following:

Den federerade autentiseringen för Microsoft 365-testmiljön

Konfigurationen består av:This configuration consists of:

  • En utvärderings version av Microsoft 365 E5 eller Product.A Microsoft 365 E5 trial or production subscription.

  • En förenklad organisations intranät som är ansluten till Internet, bestående av fem virtuella datorer i ett undernät för ett Azure-virtuellt nätverk (DC1, APP1, KLIENT1, ADFS1 och PROXY1).A simplified organization intranet connected to the internet, consisting of five virtual machines on a subnet of an Azure virtual network (DC1, APP1, CLIENT1, ADFS1, and PROXY1). Azure AD Connect körs på APP1 för att synkronisera listan över konton i Active Directory Domain Services-domänen till Microsoft 365.Azure AD Connect runs on APP1 to synchronize the list of accounts in the Active Directory Domain Services domain to Microsoft 365. PROXY1 tar emot inkommande autentiseringsbegäranden.PROXY1 receives the incoming authentication requests. ADFS1 validerar autentiseringsuppgifter med DC1 och utfärdar säkerhetstoken.ADFS1 validates credentials with DC1 and issues security tokens.

Att konfigurera den här test miljön inkluderar fem faser:Setting up this test environment involves five phases:

Anteckning

Du kan inte konfigurera den här test miljön med en Azure-testprenumeration.You can't configure this test environment with an Azure Trial subscription.

Fas 1: Konfigurera synkronisering av lösenordshash för Microsoft 365-testmiljönPhase 1: Configure password hash synchronization for your Microsoft 365 test environment

Följ anvisningarna i synkronisering av lösenordshash för Microsoft 365.Follow the instructions in password hash synchronization for Microsoft 365. Den resulterande konfigurationen ser ut så här:Your resulting configuration looks like this:

Det simulerade företaget med testmiljö för synkronisering av lösenordshash

Konfigurationen består av:This configuration consists of:

  • En utvärderings version av Microsoft 365 E5 eller betalda prenumerationer.A Microsoft 365 E5 trial or paid subscriptions.
  • En förenklad organisations intranät som är ansluten till Internet, bestående av de virtuella datorerna DC1, APP1 och KLIENT1 i ett undernät för ett Azure Virtual Network.A simplified organization intranet connected to the internet, consisting of the DC1, APP1, and CLIENT1 virtual machines on a subnet of an Azure virtual network. Azure AD Connect körs på APP1 för att synkronisera TESTLAB-domänen (Active Directory Domain Services) till Azure AD-klient organisationen för dina Microsoft 365-abonnemang med jämna mellanrum.Azure AD Connect runs on APP1 to synchronize the TESTLAB Active Directory Domain Services (AD DS) domain to the Azure AD tenant of your Microsoft 365 subscriptions periodically.

Fas 2: Skapa AD FS-servernPhase 2: Create the AD FS server

En AD FS-server tillhandahåller federerad autentisering mellan Microsoft 365 och kontona på domänen corp.contoso.com som finns i DC1.An AD FS server provides federated authentication between Microsoft 365 and the accounts in the corp.contoso.com domain hosted on DC1.

Om du vill skapa en virtuell Azure-dator för ADFS1, fyller du i namnet på prenumerationen, resursgruppen och Azure-platsen för baskonfigurationen. Kör sedan dessa kommandon i Azure PowerShell-kommandotolken på din lokala dator.To create an Azure virtual machine for ADFS1, fill in the name of your subscription and the resource group and Azure location for your Base Configuration, and then run these commands at the Azure PowerShell command prompt on your local computer.

$subscrName="<your Azure subscription name>"
$rgName="<the resource group name of your Base Configuration>"
$vnetName="TlgBaseConfig-01-VNET"
# NOTE: If you built your simulated intranet with Azure PowerShell, comment the previous line with a "#" and remove the "#" from the next line.
#$vnetName="TestLab"
Connect-AzAccount
Select-AzSubscription -SubscriptionName $subscrName
$staticIP="10.0.0.100"
$locName=(Get-AzResourceGroup -Name $rgName).Location
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$pip = New-AzPublicIpAddress -Name ADFS1-PIP -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$nic = New-AzNetworkInterface -Name ADFS1-NIC -ResourceGroupName $rgName -Location $locName -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName ADFS1 -VMSize Standard_D2_v2
$cred=Get-Credential -Message "Type the name and password of the local administrator account for ADFS1."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName ADFS1 -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name "ADFS-OS" -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType "Standard_LRS"
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

Använd sedan Azure-portalen för att ansluta till den virtuella ADFS1-datorn med det lokala administratörskontonamnet och lösenordet för ADFS1 och öppna en kommandotolk i Windows PowerShell.Next, use the Azure portal to connect to the ADFS1 virtual machine using the ADFS1 local administrator account name and password, and then open a Windows PowerShell command prompt.

Om du vill kontrollera namnmatchningen och nätverkskommunikationen mellan ADFS1 och DC1, kör du kommandot ping dc1.corp.contoso.com och kontrollerar att det finns fyra svar.To check name resolution and network communication between ADFS1 and DC1, run the ping dc1.corp.contoso.com command and check that there are four replies.

Anslut sedan den virtuella ADFS1-datorn till CORP-domänen med dessa kommandon i Windows PowerShell-kommandotolken på ADFS1.Next, join the ADFS1 virtual machine to the CORP domain with these commands at the Windows PowerShell prompt on ADFS1.

$cred=Get-Credential -UserName "CORP\User1" -Message "Type the User1 account password."
Add-Computer -DomainName corp.contoso.com -Credential $cred
Restart-Computer

Den resulterande konfigurationen ser ut så här:Your resulting configuration looks like this:

AD FS-servern har lagts till i DirSync för Microsoft 365-testmiljön

Fas 3: Skapa webbproxyservernPhase 3: Create the web proxy server

Med PROXY1 kan du använda proxy till autentiseringsmeddelanden mellan användare som försöker autentisera och ADFS1.PROXY1 provides proxying of authentication messages between users trying to authenticate and ADFS1.

Om du vill skapa en virtuell Azure-dator för PROXY1 fyller du i namnet på din resursgrupp och Azure-plats och kör dessa kommandon i Azure PowerShell-kommandotolken på din lokala dator.To create an Azure virtual machine for PROXY1, fill in the name of your resource group and Azure location, and then run these commands at the Azure PowerShell command prompt on your local computer.

$rgName="<the resource group name of your Base Configuration>"
$vnetName="TlgBaseConfig-01-VNET"
# NOTE: If you built your simulated intranet with Azure PowerShell, comment the previous line with a "#" and remove the "#" from the next line.
#$vnetName="TestLab"
$staticIP="10.0.0.101"
$locName=(Get-AzResourceGroup -Name $rgName).Location
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$pip = New-AzPublicIpAddress -Name PROXY1-PIP -ResourceGroupName $rgName -Location $locName -AllocationMethod Static
$nic = New-AzNetworkInterface -Name PROXY1-NIC -ResourceGroupName $rgName -Location $locName -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName PROXY1 -VMSize Standard_D2_v2
$cred=Get-Credential -Message "Type the name and password of the local administrator account for PROXY1."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName PROXY1 -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name "PROXY1-OS" -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType "Standard_LRS"
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

Anteckning

PROXY1 tilldelas en statisk offentlig IP-adress eftersom du skapar en offentlig DNS-post som pekar på den. Denna får inte ändras när du startar om den virtuella PROXY1-datorn.PROXY1 is assigned a static public IP address because you will create a public DNS record that points to it and it must not change when you restart the PROXY1 virtual machine.

Lägg sedan till en regel i nätverks säkerhets gruppen för CorpNet-under nätet för att tillåta oombedd inkommande trafik från Internet till PROXY1's privat IP-adress och TCP-port 443.Next, add a rule to the network security group for the CorpNet subnet to allow unsolicited inbound traffic from the internet to PROXY1's private IP address and TCP port 443. Kör dessa kommandon i Azure PowerShell-kommandotolken på din lokala dator.Run these commands at the Azure PowerShell command prompt on your local computer.

$rgName="<the resource group name of your Base Configuration>"
Get-AzNetworkSecurityGroup -Name CorpNet -ResourceGroupName $rgName | Add-AzNetworkSecurityRuleConfig -Name "HTTPS-to-PROXY1" -Description "Allow TCP 443 to PROXY1" -Access "Allow" -Protocol "Tcp" -Direction "Inbound" -Priority 101 -SourceAddressPrefix "Internet" -SourcePortRange "*" -DestinationAddressPrefix "10.0.0.101" -DestinationPortRange "443" | Set-AzNetworkSecurityGroup

Använd sedan Azure-portalen för att ansluta till den virtuella PROXY1-datorn med det lokala administratörskontonamnet och lösenordet för PROXY1 och öppna en kommandotolk i Windows PowerShell för PROXY1.Next, use the Azure portal to connect to the PROXY1 virtual machine using the PROXY1 local administrator account name and password, and then open a Windows PowerShell command prompt on PROXY1.

Om du vill kontrollera namnmatchningen och nätverkskommunikationen mellan PROXY1 och DC1, kör du kommandot ping dc1.corp.contoso.com och kontrollerar att det finns fyra svar.To check name resolution and network communication between PROXY1 and DC1, run the ping dc1.corp.contoso.com command and check that there are four replies.

Anslut sedan den virtuella PROXY1-datorn till CORP-domänen med dessa kommandon i Windows PowerShell-kommandotolken på PROXY1.Next, join the PROXY1 virtual machine to the CORP domain with these commands at the Windows PowerShell prompt on PROXY1.

$cred=Get-Credential -UserName "CORP\User1" -Message "Type the User1 account password."
Add-Computer -DomainName corp.contoso.com -Credential $cred
Restart-Computer

Visa den offentliga IP-adressen för PROXY1 med dessa Azure PowerShell-kommandon på din lokala dator.Display the public IP address of PROXY1 with these Azure PowerShell commands on your local computer.

Write-Host (Get-AzPublicIpaddress -Name "PROXY1-PIP" -ResourceGroup $rgName).IPAddress

Arbeta sedan med din offentliga DNS-leverantör och skapa en ny offentlig DNS A-post för fs.testlab.<your DNS domain name>Next, work with your public DNS provider and create a new public DNS A record for fs.testlab.<your DNS domain name> det löser att IP-adressen visas av kommandot Write-Host.that resolves to the IP address displayed by the Write-Host command. fs.testlab.<your DNS domain name>The fs.testlab.<your DNS domain name> kallas i fortsättningen för federationstjänstens FQDN.is hereafter referred to as the federation service FQDN.

Använd sedan Azure-portalen för att ansluta till den virtuella DC1-datorn med hjälp av CORP\User1-autentiseringsuppgifter och kör följande kommandon i en Windows PowerShell-kommandotolk på administratörsnivå:Next, use the Azure portal to connect to the DC1 virtual machine using the CORP\User1 credentials, and then run the following commands at an administrator-level Windows PowerShell command prompt:

Add-DnsServerPrimaryZone -Name corp.contoso.com -ZoneFile corp.contoso.com.dns
Add-DnsServerResourceRecordA -Name "fs" -ZoneName corp.contoso.com -AllowUpdateAny -IPv4Address "10.0.0.100" -TimeToLive 01:00:00

De här kommandona skapar en intern DNS-post så att virtuella datorer i Azure Virtual Network kan matcha den interna Federations tjänstens FQDN till ADFS1's privata IP-adress.These commands create an internal DNS A record so that virtual machines on the Azure virtual network can resolve the internal federation service FQDN to ADFS1's private IP address.

Den resulterande konfigurationen ser ut så här:Your resulting configuration looks like this:

Webbprogrammets proxyserver har lagts till i DirSync för Microsoft 365-testmiljön

Fas 4: Skapa ett självsignerat certifikat och konfigurera ADFS1 och PROXY1.Phase 4: Create a self-signed certificate and configure ADFS1 and PROXY1

I den här fasen skapar du ett självsignerat digitalt certifikat för federationstjänstens FQDN. Därefter konfigurerar du ADFS1 och PROXY1 som en AD FS-servergrupp.In this phase, you create a self-signed digital certificate for your federation service FQDN and configure ADFS1 and PROXY1 as an AD FS farm.

Först använder du Azure-portalen för att ansluta till den virtuella DC1-datorn med hjälp av CORP\User1-autentiseringsuppgifterna och sedan öppnar du en Windows PowerShell-kommandotolk på administratörsnivå.First, use the Azure portal to connect to the DC1 virtual machine using the CORP\User1 credentials, and then open an administrator-level Windows PowerShell command prompt.

Skapa sedan ett AD FS-tjänstkonto med det här kommandot i kommando tolken för Windows PowerShell på DC1:Next, create an AD FS service account with this command at the Windows PowerShell command prompt on DC1:

New-ADUser -SamAccountName ADFS-Service -AccountPassword (read-host "Set user password" -assecurestring) -name "ADFS-Service" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false

Observera att du uppmanas att ange lösenordet för kontot med detta kommando.Note that this command prompts you to supply the account password. Välj ett starkt lösenord och spara det på en säker plats.Choose a strong password and record it in a secured location. Du behöver den för den här fasen och för steg 5.You will need it for this phase and for Phase 5.

Använd Azure-portalen för att ansluta till den virtuella ADFS1-datorn med hjälp av CORP\User1-autentiseringsuppgifterna.Use the Azure portal to connect to the ADFS1 virtual machine using the CORP\User1 credentials. Öppna en Windows PowerShell-kommandotolk på administratörsnivå i ADFS1, fyll i FQDN för federationstjänsten och kör sedan följande kommandon för att skapa ett självsignerat certifikat:Open an administrator-level Windows PowerShell command prompt on ADFS1, fill in your federation service FQDN, and then run these commands to create a self-signed certificate:

$fedServiceFQDN="<federation service FQDN>"
New-SelfSignedCertificate -DnsName $fedServiceFQDN -CertStoreLocation "cert:\LocalMachine\My"
New-Item -path c:\Certs -type directory
New-SmbShare -name Certs -path c:\Certs -changeaccess CORP\User1

Följ sedan de här anvisningarna för att spara det nya självsignerade certifikatet som en fil.Next, use these steps to save the new self-signed certificate as a file.

  1. Välj Start, Skriv mmc.exeoch tryck sedan på RETUR.Select Start, enter mmc.exe, and then press Enter.

  2. Välj File > Lägg till/ta bort snapin-modul.Select File > Add/Remove Snap-in.

  3. I Lägg till eller ta bort snapin-modulerdubbelklickar du på certifikat i listan över tillgängliga snapin-moduler, väljer dator kontooch sedan Nästa.In Add or Remove Snap-ins, double-click Certificates in the list of available snap-ins, select Computer account, and then select Next.

  4. I Välj datorväljer du Slutföroch sedan OK.In Select Computer, select Finish, and then select OK.

  5. Öppna Certifikat (lokal dator) > Personlig > Certifikat i mapplistan.In the tree pane, open Certificates (Local Computer) > Personal > Certificates.

  6. Markera och håll (eller högerklicka på certifikatet med Federations tjänstens FQDN-namn) och Välj sedan Exportera.Select and hold (or right-click) the certificate with your federation service FQDN, select All tasks, and then select Export.

  7. Välj Nästavälkomst sidan.On the Welcome page, select Next.

  8. På sidan Exportera privat sida väljer du Jaoch sedan Nästa.On the Export Private Key page, select Yes, and then select Next.

  9. På sidan Exportera fil format väljer du Exportera alla utökade egenskaperoch väljer sedan Nästa.On the Export File Format page, select Export all extended properties, and then select Next.

  10. Välj lösen ord på sidan säkerhet och ange lösen ord i lösen ord och Bekräfta lösen ord.On the Security page, select Password and enter a password in Password and Confirm password.

  11. På sidan fil att exportera väljer du Bläddra.On the File to Export page, select Browse.

  12. Bläddra till mappen C: \ certifikat , ange SSL i fil namnoch välj sedan Spara.Browse to the C:\Certs folder, enter SSL in File name, and then select Save.

  13. På sidan fil att exportera väljer du Nästa.On the File to Export page, select Next.

  14. På sidan för att Exportera certifikat klickar du på Slutför.On the Completing the Certificate Export Wizard page, select Finish. Välj OKnär du uppmanas att göra det.When prompted, select OK.

Installera sedan AD FS-tjänsten med detta kommando i Windows PowerShell-kommandotolken på ADFS1:Next, install the AD FS service with this command at the Windows PowerShell command prompt on ADFS1:

Install-WindowsFeature ADFS-Federation -IncludeManagementTools

Vänta på att installationen slutförs.Wait for the installation to complete.

Konfigurera sedan AD FS-tjänsten med följande steg:Next, configure the AD FS service with these steps:

  1. Välj Startoch välj sedan Server hanteraren .Select Start, and then select the Server Manager icon.

  2. I träd fönstret i Server hanteraren väljer du AD FS.In the tree pane of Server Manager, select AD FS.

  3. I verktygsfältet högst upp väljer du den orange varnings symbolen och väljer sedan Konfigurera Federations tjänsten på den här servern.In the tool bar at the top, select the orange caution symbol, and then select Configure the federation service on this server.

  4. Välj Nästavälkomst sidan i konfigurations guiden för Active Directory Federation Services.On the Welcome page of the Active Directory Federation Services Configuration Wizard, select Next.

  5. På sidan Anslut till AD DS väljer du Nästa.On the Connect to AD DS page, select Next.

  6. På sidan Ange egenskaper för tjänst:On the Specify Service Properties page:

  • För SSL-certifikatväljer du nedpilen och väljer sedan certifikatet med namnet på ditt FQDN för Federations tjänsten.For SSL Certificate, select the down arrow, and then select the certificate with the name of your federation service FQDN.

  • Ange namnet på din fiktiva organisation i visnings namn för Federations tjänsten.In Federation Service Display Name, enter the name of your fictional organization.

  • Välj Nästa.Select Next.

  1. På sidan Ange tjänst konto väljer du Välj för konto namn.On the Specify Service Account page, select Select for Account name.

  2. I Select User or service accountanger du ADFS-service, väljer kontrol lera namnoch sedan OK.In Select User or Service Account, enter ADFS-Service, select Check Names, and then select OK.

  3. Ange lösen ordet för ADFS-Service kontot i konto lösen ordoch välj sedan Nästa.In Account Password, enter the password for the ADFS-Service account, and then select Next.

  4. På sidan Ange konfigurations databas väljer du Nästa.On the Specify Configuration Database page, select Next.

  5. På sidan gransknings alternativ väljer du Nästa.On the Review Options page, select Next.

  6. På sidan nödvändiga kontroller väljer du Konfigurera.On the Pre-requisite Checks page, select Configure.

  7. På sidan resultat väljer du Stäng.On the Results page, select Close.

  8. Välj Start, Välj Power Icon, Välj restartoch välj sedan Continue.Select Start, select the power icon, select Restart, and then select Continue.

I Azure-portalen kan du ansluta till PROXY1 med autentiseringsuppgifterna för CORP\User1-kontot.From the Azure portal, connect to PROXY1 with the CORP\User1 account credentials.

Följ sedan de här anvisningarna för att installera det självsignerade certifikatet på både PROXY1 och APP1.Next, use these steps to install the self-signed certificate on both PROXY1 and APP1.

  1. Välj Start, Skriv mmc.exeoch tryck sedan på RETUR.Select Start, enter mmc.exe, and then press Enter.

  2. Välj arkiv > Lägg till/ta bort snapin-modul.Select File > Add/Remove Snap-in.

  3. I Lägg till eller ta bort snapin-modulerdubbelklickar du på certifikat i listan över tillgängliga snapin-moduler, väljer dator kontooch sedan Nästa.In Add or Remove Snap-ins, double-click Certificates in the list of available snap-ins, select Computer account, and then select Next.

  4. I Välj datorväljer du Slutföroch sedan OK.In Select Computer, select Finish, and then select OK.

  5. Öppna certifikat (lokal dator) i träd fönstret > Personal > Certificates.In the tree pane, open Certificates (Local Computer) > Personal > Certificates.

  6. Markera och håll ned (eller högerklicka på) personligt, Välj alla uppgifteroch välj sedan Importera.Select and hold (or right-click) Personal, select All tasks, and then select Import.

  7. Välj Nästavälkomst sidan.On the Welcome page, select Next.

  8. På sidan fil som ska importeras anger du ** \ \ ADFS1- \ certifikat för \ SSL. pfx**och väljer sedan Nästa.On the File to Import page, enter \\adfs1\certs\ssl.pfx, and then select Next.

  9. Ange lösen ordet för certifikatet i lösen ordpå sidan skydd mot den privata knappen och välj sedan Nästa.On the Private key protection page, enter the certificate password in Password, and then select Next.

  10. På sidan certifikat lagring väljer du Nästa.On the Certificate store page, select Next.

  11. På sidan Slutför väljer du Slutför.On the Completing page, select Finish.

  12. På sidan certifikat lagring väljer du Nästa.On the Certificate Store page, select Next.

  13. Välj OKnär du uppmanas att göra det.When prompted, select OK.

  14. Välj certifikati träd fönstret.In the tree pane, select Certificates.

  15. Markera och håll ned (eller högerklicka på) certifikatet och välj sedan Kopiera.Select and hold (or right-click) the certificate, and then select Copy.

  16. Öppna certifikat för betrodda rot certifikat utfärdarei träd fönstret > Certificates.In the tree pane, open Trusted Root Certification Authorities > Certificates.

  17. Placera mus pekaren nedanför listan över installerade certifikat, markera och håll (eller högerklicka) och välj sedan Klistra in.Move your mouse pointer below the list of installed certificates, select and hold (or right-click), and then select Paste.

Öppna en PowerShell-kommandotolk på administratörsnivå och kör följande kommando:Open an administrator-level PowerShell command prompt and run the following command:

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

Vänta på att installationen slutförs.Wait for the installation to complete.

Använd följande steg för att konfigurera att tjänsten Webbprogramproxy ska använda ADFS1 som federationsserver:Use these steps to configure the web application proxy service to use ADFS1 as its federation server:

  1. Välj Startoch välj sedan Server Manager.Select Start, and then select Server Manager.

  2. I träd fönstret väljer du fjärråtkomst.In the tree pane, select Remote Access.

  3. I verktygsfältet högst upp väljer du den orange varnings symbolen och väljer sedan Öppna guidenwebbprogramproxy.In the tool bar at the top, select the orange caution symbol, and then select Open the Web Application Proxy Wizard.

  4. välkomst sidan i guiden Konfiguration av Webbprogramproxy väljer du Nästa.On the Welcome page of the Web Application Proxy Configuration Wizard, select Next.

  5. På sidan Federationsserver:On the Federation Server page:

  • Ange ditt Federations tjänst-FQDN i rutan namn på Federations tjänst .In the Federation service name box, enter your federation service FQDN.

  • I rutan användar namn anger du Corp \ Användare1.In the User name box, enter CORP\User1.

  • I rutan lösen ord anger du lösen ordet för user1-kontot.In the Password box, enter the password for the User1 account.

  • Välj Nästa.Select Next.

  1. På sidan AD FS-proxyskript väljer du nedåtpilen, väljer certifikatet med FQDN-namnet på Federations tjänsten och väljer sedan Nästa.On the AD FS Proxy Certificate page, select the down arrow, select the certificate with your federation service FQDN, and then select Next.

  2. bekräftelse sidan väljer du Konfigurera.On the Confirmation page, select Configure.

  3. På sidan resultat väljer du Stäng.On the Results page, select Close.

Fas 5: Konfigurera Microsoft 365 för federerade identiteterPhase 5: Configure Microsoft 365 for federated identity

Använd Azure-portalen för att ansluta till den virtuella APP1-datorn med hjälp av CORP\User1-autentiseringsuppgifterna.Use the Azure portal to connect to the APP1 virtual machine with the CORP\User1 account credentials.

Använd följande steg för att konfigurera Azure AD Connect och din Microsoft 365-prenumeration för federerad autentisering:Use these steps to configure Azure AD Connect and your Microsoft 365 subscription for federated authentication:

  1. Dubbelklicka på Azure AD Connect på skrivbordet.From the desktop, double-click Azure AD Connect.

  2. På sidan Välkommen till Azure AD Connect väljer du Configure.On the Welcome to Azure AD Connect page, select Configure.

  3. På sidan Ytterligare aktiviteter väljer du ändra användar inloggningoch sedan Nästa.On the Additional tasks page, select Change user sign-in, and then select Next.

  4. På sidan Anslut till Azure AD anger du ditt globala administratörs konto namn och lösen ord och väljer sedan Nästa.On the Connect to Azure AD page, enter your global administrator account name and password, and then select Next.

  5. inloggnings sidan för användare väljer du Federation med AD FSoch väljer sedan Nästa.On the User sign-in page, select Federation with AD FS, and then select Next.

  6. Välj Använd en befintlig AD FS-servergrupppå sidan AD FS-servergrupp och ange ADFS1 i rutan Server namn och välj sedan Nästa.On the AD FS farm page, select Use an existing AD FS farm, enter ADFS1 in the Server Name box, and then select Next.

  7. När du uppmanas att ange autentiseringsuppgifter för servern anger du autentiseringsuppgifterna för företags \ -Användare1 user1-kontot och väljer sedan OK.When prompted for server credentials, enter the credentials of the CORP\User1 account, and then select OK.

  8. Ange lösen ordet i rutan lösen ord i **rutan \ ** användar namn på sidan domän administratörs inloggningar och välj sedan Nästa.On the Domain Administrator credentials page, enter CORP\User1 in the Username box, enter the account password in the Password box, and then select Next.

  9. På sidan AD FS -tjänstkonto anger du Corp \ ADFS-service i rutan domain username , anger lösen ordet i rutan Domain User Password och väljer sedan Next.On the AD FS service account page, enter CORP\ADFS-Service in the Domain Username box, enter the account password in the Domain User Password box, and then select Next.

  10. På sidan Azure AD-domän i domänväljer du namnet på den domän som du har skapat och lagt till i din prenumeration i steg 1 och väljer sedan Nästa.On the Azure AD Domain page, in Domain, select the name of the domain that you previously created and added to your subscription in Phase 1, and then select Next.

  11. På sidan redo att konfigurera väljer du Konfigurera.On the Ready to configure page, select Configure.

  12. Välj Verifierapå sidan installationen är klar .On the Installation complete page, select Verify.

    Du bör se meddelanden som indikerar att både intranät-och Internet konfigurationen verifierades.You should see messages indicating that both the intranet and internet configuration was verified.

  13. På sidan installationen är klar väljer du Avsluta.On the Installation complete page, select Exit.

Visa att den federerade autentiseringen fungerar:To demonstrate that federated authentication is working:

  1. Öppna en ny privat instans av webbläsaren på din lokala dator och gå till https://admin.microsoft.com.Open a new private instance of your browser on your local computer and go to https://admin.microsoft.com.

  2. Ange user1@ för inloggnings uppgifterna <the domain created in Phase 1> .For the sign-in credentials, enter user1@<the domain created in Phase 1>.

    Om test domänen är testlab.contoso.comskriver du till exempel "user1@testlab.contoso.com".For example, if your test domain is testlab.contoso.com, you would enter "user1@testlab.contoso.com". Tryck på TABB -tangenten eller låt Microsoft 365 automatiskt omdirigera dig.Press the Tab key or allow Microsoft 365 to automatically redirect you.

    Nu bör du se sidan Din anslutning är inte privat.You should now see a Your connection is not private page. Du ser det här eftersom du har installerat ett självsignerat certifikat på ADFS1 att din station ära dator inte kan verifiera.You are seeing this because you installed a self-signed certificate on ADFS1 that your desktop computer can't validate. I en produktionsdistribution av federerad autentisering använder du ett certifikat från en betrodd certifikatutfärdare för att dina användare inte ska se den här sidan.In a production deployment of federated authentication, you would use a certificate from a trusted certification authority and your users would not see this page.

  3. På sidan anslutningen är inte privat väljer du Avanceratoch väljer sedan **gå vidare till <your federation service FQDN> **.On the Your connection is not private page, select Advanced, and then select Proceed to <your federation service FQDN>.

  4. Logga in med följande på sidan med namnet på din fiktiva organisation:On the page with the name of your fictional organization, sign in with the following:

  • CORP\User1 som namnCORP\User1 for the name

  • Lösenordet för User1-kontotThe password for the User1 account

    Du bör se startsidan för Microsoft Office.You should see the Microsoft Office Home page.

Proceduren visar att utvärderingsprenumerationen är federerad med AD DS corp.contoso.com-domänen som finns i DC1.This procedure demonstrates that your trial subscription is federated with the AD DS corp.contoso.com domain hosted on DC1. Här följer grundläggande information om autentiseringsprocessen:Here are the basics of the authentication process:

  1. När du använder den federerade domänen som du skapade i fas 1 i namnet på inloggningskontot, dirigerar Microsoft 365 webbläsaren till federationstjänstens FQDN och PROXY1.When you use the federated domain that you created in Phase 1 within the sign-in account name, Microsoft 365 redirects your browser to your federation service FQDN and PROXY1.

  2. PROXY1 skickar din lokala dator till inloggningssidan för det fiktiva företaget.PROXY1 sends your local computer the fictional company sign-in page.

  3. När du skickar CORP\User1 och lösenordet till PROXY1, vidarebefordras det till ADFS1.When you send CORP\User1 and the password to PROXY1, it forwards them to ADFS1.

  4. ADFS1 validerar CORP\User1 och lösenordet med DC1 och skickar en säkerhetstoken till din lokala dator.ADFS1 validates CORP\User1 and the password with DC1 and sends your local computer a security token.

  5. Din lokala dator skickar säkerhetstoken till Microsoft 365.Your local computer sends the security token to Microsoft 365.

  6. Microsoft 365 kontrollerar att denna säkerhetstoken har skapats av ADFS1 och tillåter åtkomst.Microsoft 365 validates that the security token was created by ADFS1 and allows access.

Utvärderingsprenumerationen har nu konfigurerats med federerad autentisering.Your trial subscription is now configured with federated authentication. Du kan använda den här utvecklings-/testmiljön för avancerade autentiseringsscenarier.You can use this dev/test environment for advanced authentication scenarios.

Nästa stegNext step

När du är redo att distribuera produktion-redo, federerad för hög tillgänglighet för Microsoft 365 i Azure läser du distribuera federerad auktorisering med hög tillgänglighet för microsoft 365 i Azure.When you are ready to deploy production-ready, high availability federated authentication for Microsoft 365 in Azure, see Deploy high availability federated authentication for Microsoft 365 in Azure.