Konfigurera ADFS för Office 365 för Sign-On

Anteckning

Office 365 ProPlus byter namn till Microsoft 365-appar för företag. Mer information om den här ändringen finns i det här blogginlägget.

I den här videon visas hur du konfigurerar Active Directory Federation Service (ADFS) så att det fungerar tillsammans med Office 365. Det omfattar inte scenariot med ADFS-proxyservern. I den här videon beskrivs ADFS för Windows Server 2012 R2. Men proceduren gäller även för ADFS 2.0 – förutom steg 1, 3 och 7. Mer information om hur du använder den här proceduren i Windows Server 2008 finns i avsnittet "Anteckningar för ADFS 2.0".

Praktiska anteckningar om stegen i videoklippet

Steg 1: Installera Active Directory Federation Services

Lägg till ADFS med hjälp av guiden Lägg till roller och funktioner.

Anteckningar för ADFS 2.0

Om du använder Windows Server 2008 måste du ladda ned och installera ADFS 2.0 för att kunna arbeta med Office 365. Du kan hämta ADFS 2.0 från följande Microsoft Download Center-webbplats:

Active Directory Federation Services 2.0 RTW

Efter installationen använder du Windows Update för att ladda ned och installera alla tillämpliga uppdateringar.

Steg 2: Begär ett certifikat från en certifikatutfärdare från tredje part för federationsserverns namn

För Office 365 krävs ett betrott certifikat på ADFS-servern. Därför måste du hämta ett certifikat från en tredje parts certifikatutfärdare (CA).

När du anpassar certifikatbegäran kontrollerar du att du lägger till Federationsservernamnet i fältet Common name.

I den här videon förklarar vi endast hur man skapar en BEGÄRAN om certifikatsignering (CSR). Du måste skicka CSR-filen till en tredjepartsutfärdare. Certifikatutfärdaren returnerar ett signerat certifikat till dig. Följ sedan de här anvisningarna för att importera certifikatet till certifikatarkivet:

  1. Kör Certlm.msc för att öppna den lokala datorns certifikatarkiv.
  2. I navigeringsfönstret expanderar du Personlig, expanderar Certifikat, högerklickar på mappen Certifikat och klickar sedan på Importera.

Om federationsserverns namn

Federationstjänstens namn är ADFS-serverns Internetbaserade domännamn. Office 365-användaren omdirigeras till den här domänen för autentisering. Se därför till att du lägger till en offentlig A-post för domännamnet.

Steg 3: Konfigurera ADFS

Du kan inte ange ett namn som Federationsservernamn manuellt. Namnet bestäms av ämnesnamnet (gemensamt namn) för ett certifikat i den lokala datorns certifikatarkiv.

Anteckningar för ADFS 2.0

I ADFS 2.0 bestäms federationsservernamnet av certifikatet som binder till "Standardwebbplats" i IIS (Internet Information Services). Du måste binda det nya certifikatet till standardwebbplatsen innan du konfigurerar ADFS.

Du kan använda vilket konto som helst som tjänstkonto. Om tjänstkontots lösenord har upphört att gälla slutar ADFS att fungera. Se därför till att lösenordet för kontot är inställt på att aldrig upphöra.

Steg 4: Ladda ned Office 365-verktyg

Windows Azure Active Directory-modulen för Windows PowerShell och Azure Active Directory-synkronisering är tillgängliga i Office 365-portalen. Om du vill hämta verktygen klickar du på Aktiva användare och sedan på Enkel inloggning: Konfigurera.

Steg 5: Lägg till din domän i Office 365

I videon förklaras inte hur du lägger till och verifierar din domän i Office 365. Mer information om den proceduren finns i Verifiera din domän i Office 365.

Steg 6: Anslut ADFS till Office 365

Om du vill ansluta ADFS till Office 365 kör du följande kommandon i Windows Azure-katalogmodulen för Windows PowerShell.

Obs! I kommandot Set-MsolADFSContext du FQDN för ADFS-servern i den interna domänen i stället för Federationsservernamnet.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the ADFS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Office 365>

Om kommandona körs korrekt bör du se följande:

  • "Microsoft Office 365 Identify Platform" Relying Party Trust läggs till på ADFS-servern.
  • Användare som använder det anpassade domännamnet som ett e-postadresssuffix för att logga in på Office 365-portalen omdirigeras till ADFS-servern.

Steg 7: Synkronisera lokala Active Directory-användarkonton till Office 365

Om ditt interna domännamn skiljer sig från det externa domännamn som används som e-postadresssuffix måste du lägga till det externa domännamnet som ett alternativt UPN-suffix i den lokala Active Directory-domänen. Det interna domännamnet är till exempel "company.local" men det externa domännamnet är "company.com". I det här fallet måste du lägga till "company.com" som ett alternativt UPN-suffix.

Synkronisera användarkontona med Office 365 med hjälp av katalogsynkroniseringsverktyget.

Anteckningar för ADFS 2.0

Om du använder ADFS 2.0 måste du ändra UPN för användarkontot från "company.local" till "company.com" innan du synkroniserar kontot med Office 365. Annars verifieras inte användaren på ADFS-servern.

Steg 8: Konfigurera klientdatorn för enkel Sign-On

När du har lagt till federationsservernamnet i den lokala intranätzonen i Internet Explorer används NTLM-autentiseringen när användare försöker autentisera på ADFS-servern. Därför uppmanas de inte att ange sina autentiseringsuppgifter.

Administratörer kan implementera grupprincipinställningar för att konfigurera en lösning Sign-On klientdatorer som är ansluten till domänen.