Konfigurera AD FS för Microsoft 365 för enkel Sign-On

• Gäller för:

  Microsoft 365

Den här videon visar hur du konfigurerar Active Directory Federation Service (AD FS) för att arbeta tillsammans med Microsoft 365. Den täcker inte scenariot för AD FS-proxyservern. Den här videon beskriver AD FS för Windows Server 2012 R2. Proceduren gäller dock även AD FS 2.0 – med undantag för steg 1, 3 och 7. Mer information om hur du använder den här proceduren i Windows Server 2008 finns i avsnittet "Anteckningar för AD FS 2.0".

Användbara anteckningar för stegen i videon

Steg 1: Installera Active Directory Federation Services (AD FS)

Lägg till AD FS med hjälp av guiden Lägg till roller och funktioner.

Anteckningar för AD FS 2.0

Om du använder Windows Server 2008 måste du ladda ned och installera AD FS 2.0 för att kunna arbeta med Microsoft 365. Du kan hämta AD FS 2.0 från följande Microsoft Download Center-webbplats:

Active Directory Federation Services (AD FS) 2,0 RTW

Efter installationen använder du Windows Update för att ladda ned och installera alla tillämpliga uppdateringar.

Steg 2: Begär ett certifikat från en certifikatutfärdare från tredje part för federationsservernamnet

Microsoft 365 kräver ett betrott certifikat på AD FS-servern. Därför måste du skaffa ett certifikat från en tredjepartscertifikatutfärdare (CA).

När du anpassar certifikatbegäran kontrollerar du att du lägger till federationsservernamnet i fältet Eget namn .

I den här videon förklarar vi bara hur du genererar en begäran om certifikatsignering (CSR). Du måste skicka CSR-filen till en certifikatutfärdare från tredje part. Certifikatutfärdare returnerar ett signerat certifikat till dig. Följ sedan de här stegen för att importera certifikatet till ditt datorcertifikatarkiv:

1. Kör Certlm.msc för att öppna den lokala datorns certifikatarkiv.
2. I navigeringsfönstret expanderar du Personligt, expanderar Certifikat, högerklickar på mappen Certifikat och klickar sedan på Importera.

Om federationsserverns namn

Federationstjänstens namn är det Internetuppkopplade domännamnet för AD FS-servern. Microsoft 365-användaren omdirigeras till den här domänen för autentisering. Se därför till att du lägger till en offentlig A-post för domännamnet.

Steg 3: Konfigurera AD FS

Du kan inte manuellt ange ett namn som federationsservernamn. Namnet bestäms av ämnesnamnet (eget namn) för ett certifikat i den lokala datorns certifikatarkiv.

Anteckningar för AD FS 2.0

I AD FS 2.0 bestäms federationsservernamnet av certifikatet som binder till "Standardwebbplats" i Internet Information Services (IIS). Du måste binda det nya certifikatet till standardwebbplatsen innan du konfigurerar AD FS.

Du kan använda valfritt konto som tjänstkonto. Om tjänstkontots lösenord har upphört att gälla slutar AD FS att fungera. Kontrollera därför att lösenordet för kontot är inställt på att aldrig upphöra att gälla.

Steg 4: Ladda ned Microsoft 365-verktyg

Windows Azure Active Directory-modulen för Windows PowerShell och Azure Active Directory Sync-installationen finns i Microsoft 365-portalen. Hämta verktygen genom att klicka på Aktiva användare och sedan på Enkel inloggning: Konfigurera.

Steg 5: Lägg till din domän i Microsoft 365

Videon förklarar inte hur du lägger till och verifierar din domän i Microsoft 365. Mer information om den proceduren finns i Verifiera din domän i Microsoft 365.

Steg 6: Ansluta AD FS till Microsoft 365

Om du vill ansluta AD FS till Microsoft 365 kör du följande kommandon i Windows Azure Directory-modulen för Windows PowerShell.

ObserveraSet-MsolADFSContext I kommandot anger du FQDN för AD FS-servern i din interna domän i stället för federationsservernamnet.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>

Obs!

Azure AD- och MSOnline PowerShell-modulerna är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med den 30 mars 2025.

Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Observera: Version 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.

Om kommandona körs korrekt bör du se följande:

• Ett förlitande partförtroende för "Microsoft 365 Identifiera plattform" läggs till på AD FS-servern.
• Användare som använder det anpassade domännamnet som ett e-postadresssuffix för att logga in på Microsoft 365-portalen omdirigeras till AD FS-servern.

Steg 7: Synkronisera lokala Active Directory-användarkonton till Microsoft 365

Om ditt interna domännamn skiljer sig från det externa domännamn som används som ett e-postadresssuffix måste du lägga till det externa domännamnet som ett alternativt UPN-suffix i den lokala Active Directory-domänen. Det interna domännamnet är till exempel "company.local" men det externa domännamnet är "company.com". I det här fallet måste du lägga till "company.com" som ett alternativt UPN-suffix.

Synkronisera användarkontona till Microsoft 365 med hjälp av katalogsynkroniseringsverktyget.

Anteckningar för AD FS 2.0

Om du använder AD FS 2.0 måste du ändra UPN för användarkontot från "company.local" till "company.com" innan du synkroniserar kontot till Microsoft 365. Annars verifieras inte användaren på AD FS-servern.

Steg 8: Konfigurera klientdatorn för enkel Sign-On

När du har lagt till federationsservernamnet i den lokala intranätzonen i Internet Explorer används NTLM-autentiseringen när användare försöker autentisera på AD FS-servern. Därför uppmanas de inte att ange sina autentiseringsuppgifter.

Administratörer kan implementera grupprincip inställningar för att konfigurera en lösning med en enda Sign-On på klientdatorer som är anslutna till domänen.