Fas 5 för hög tillgänglighet för federerad autentisering: Konfigurera federerad autentisering för Microsoft 365
I den här sista fasen av distributionen av federerad autentisering med hög tillgänglighet för Microsoft 365 i tjänster i Azure-infrastrukturen får du och installerar ett certifikat som utfärdats av en offentlig certifikatutfärdare, verifierar din konfiguration och installerar och kör sedan Azure AD Anslut på katalogsynkroniseringsservern. Azure AD Anslut konfigurerar Microsoft 365-prenumerationen och AD FS-servrar (Active Directory Federation Services) och webbprogramproxyservrar för federerad autentisering.
Se Distribuera federerad autentisering med hög tillgänglighet för Microsoft 365 i Azure för alla faser.
Skaffa ett offentligt certifikat och kopiera det till katalogsynkroniseringsservern
Få ett digitalt certifikat från en offentlig certifikatutfärdare med följande egenskaper:
Ett X.509-certifikat som passar för att skapa SSL-anslutningar.
Den utökade egenskapen Subject Alternative Name (SAN) är inställd på federationstjänstens FQDN (exempel: fs.contoso.com).
Certifikatet måste ha den privata nyckeln och lagras i PFX-format.
Dessutom måste datorerna och enheterna i organisationen lita på den offentliga certifikatutfärdare som utfärdar det digitala certifikatet. Det här förtroende upprättas genom att ha ett rotcertifikat från den offentliga certifikatutfärdaren som är installerat i arkivet med betrodda rotcertifikatutfärdare på dina datorer och enheter. Datorer som kör Microsoft Windows har vanligtvis en uppsättning av dessa typer av certifikat installerade från vanliga certifikatutfärdare. Om rotcertifikatet från din offentliga certifikatutfärdare inte redan är installerat måste du distribuera det till datorerna och enheterna i organisationen.
Mer information om certifikatkrav för federerad autentisering finns i Förutsättningar för installation och konfiguration av federerad autentisering.
När du får certifikatet kopierar du det till en mapp på C:-enheten på katalogsynkroniseringsservern. Du kan till exempel namnge filen SSL.pfx och lagra den i mappen C: \ Certs på katalogsynkroniseringsservern.
Verifiera konfigurationen
Nu bör du vara redo att konfigurera Azure AD Anslut och federerad autentisering för Microsoft 365. För att säkerställa att du är det finns här en checklista:
Organisationens offentliga domän läggs till i Microsoft 365 prenumeration.
Din organisations Microsoft 365 är konfigurerade för organisationens offentliga domännamn och kan logga in.
Du har fastställt en FQDN för en federationstjänst baserat på ditt offentliga domännamn.
En offentlig DNS A-post för federationstjänstens FQDN pekar på den offentliga IP-adressen för den Internetbaserade Azure-belastningsutjämnaren för webbprogramproxyservrarna.
En privat DNS A-post för federationstjänstens FQDN pekar på den privata IP-adressen för den interna Azure-belastningsfördelningen för AD FS-servrarna.
En offentlig certifikatutfärdare är ett digitalt certifikat som passar för SSL-anslutningar med SAN-uppsättningen till federationstjänstens FQDN är en PFX-fil som lagras på din katalogsynkroniseringsserver.
Rotcertifikatet för den offentliga certifikatutfärdaren installeras i arkivet Betrodda rotcertifikatutfärdare på dina datorer och enheter.
Här är ett exempel för Contoso-organisationen:
En exempelkonfiguration för en infrastruktur för federerad autentisering med hög tillgänglighet i Azure

Kör Azure AD-Anslut för att konfigurera federerad autentisering
Med hjälp av Anslut Azure AD-Anslut konfigurerar du AD FS-servrarna, webbprogramproxyservrarna och Microsoft 365 för federerad autentisering med följande steg:
Skapa en anslutning till fjärrskrivbord till katalogsynkroniseringsservern med ett domänkonto som har lokal administratörsbehörighet.
Öppna Internet Explorer på skrivbordet på katalogsynkroniseringsservern och gå till https://aka.ms/aadconnect .
På sidan Microsoft Azure Active Directory Anslut du på Ladda ned och sedan på Kör.
På sidan Välkommen till Azure AD Anslut klickar du på Jag godkänner och klickar sedan på Fortsätt.
På sidan Express Inställningar klickar du på Anpassa.
Klicka på Installera på sidan Installera nödvändiga komponenter.
På sidan Användarinloggning klickar du på Federation med AD FS och sedan på Nästa.
På sidan Anslut till Azure AD anger du namn och lösenord för en Azure AD DC-administratör eller ett globalt administratörskonto för din Microsoft 365-prenumeration och klickar sedan på Nästa.
På sidan Anslut kataloger ser du till att din lokala AD DS-skog (Active Directory Domain Services) är vald i Forest. Skriv namn och lösenord för ett domänadministratörskonto, klicka på Lägg till katalog och klicka sedan på Nästa.
På sidan Konfiguration av Azure AD-inloggning klickar du på Nästa.
På sidan Domän- och OU-filtrering klickar du på Nästa.
På sidan Unikt identifiera dina användare klickar du på Nästa.
På sidan Filtrera användare och enheter klickar du på Nästa.
På sidan Valfria funktioner klickar du på Nästa.
På sidan AD FS-servergrupp klickar du på Konfigurera en ny AD FS-servergrupp.
Klicka på Bläddra och ange plats och namn för SSL-certifikatet från den offentliga certifikatutfärdaren.
När du uppmanas till det anger du certifikatlösenordet och klickar sedan på OK.
Kontrollera att Ämnesnamn och Federationstjänstnamn är inställda på federationstjänstens FQDN och klicka sedan på Nästa.
På sidan AD FS-servrar skriver du den första AD FS-serverns namn (tabell M - objekt 4 – namnkolumn för virtuell dator) och klickar sedan på Lägg till.
Skriv namnet på den andra AD FS-servern (Tabell M - Objekt 5 – Namnkolumn för virtuell dator), klicka på Lägg till och klicka sedan på Nästa.
På sidan Proxyservrar för webbprogram skriver du det första webbprogrammets proxyservernamn (tabell M - objekt 6 – namnkolumn för virtuell dator) och klickar sedan på Lägg till.
Skriv namnet på proxyservern för det andra webbprogrammet (tabell M - objekt 7 – namnkolumn för virtuell dator), klicka på Lägg till och klicka sedan på Nästa.
På sidan Autentiseringsuppgifter för domänadministratör anger du användarnamn och lösenord för ett domänadministratörskonto och klickar sedan på Nästa.
På sidan AD FS-tjänstkonto anger du användarnamn och lösenord för ett företagsadministratörskonto och klickar sedan på Nästa.
Välj din organisations DNS-domännamn i Domän på sidan Azure AD Domain och klicka sedan på Nästa.
På sidan Klart att konfigurera klickar du på Installera.
På sidan Installationen är slutförd klickar du på Verifiera. Du bör se två meddelanden som anger att både intranätet och Internetkonfigurationen har verifierats.
Intranätmeddelandet ska lista den privata IP-adressen för din interna Azure-belastningsutjämnare för AD FS-servrarna.
Internetmeddelandet ska lista den offentliga IP-adressen för din Azure-belastningsutjämnare för dina proxyservrar för webbprogram.
- På sidan Installationen är slutförd klickar du på Avsluta.
Här är den slutliga konfigurationen, med platshållarnamn för servrarna.
Fas 5: Den slutliga konfigurationen av en infrastruktur för federerad autentisering med hög tillgänglighet i Azure

Din infrastruktur för federerad autentisering med hög tillgänglighet för Microsoft 365 i Azure är klar.
Se även
Distribuera federerad autentisering med hög tillgänglighet för Microsoft 365 i Azure
Federerad identitet för Microsoft 365 utvecklings-/testmiljö