针对单一登录为 Office 365 设置 ADFS

备注

Office 365 ProPlus 正在重命名为 适用于企业的 Microsoft 365 应用。 有关此更改的详细信息, 请阅读此博客文章

此视频演示如何将 Active Directory 联合身份验证服务 (ADFS) 一起Office 365。 它不包括 ADFS 代理服务器方案。 此视频讨论适用于 R2 Windows Server 2012 ADFS。 但是,此过程也适用于 ADFS 2.0,步骤 1、3 和 7 除外。 在每个步骤中,请参阅"ADFS 2.0 说明"部分,详细了解如何在 Windows Server 2008 中执行此过程。

视频中步骤的有用说明

步骤 1:安装 Active Directory 联合身份验证服务

使用添加角色和功能向导添加 ADFS。

ADFS 2.0 说明

如果使用的是 Windows Server 2008,则必须下载并安装 ADFS 2.0 才能使用 Office 365。 可以从以下 Microsoft 下载中心网站获取 ADFS 2.0:

Active Directory 联合身份验证服务 2.0 RTW

安装后,使用 Windows Update 下载并安装所有适用的更新。

步骤 2:从第三方 CA 请求联合服务器名称的证书

Office 365 ADFS 服务器上需要受信任的证书。 因此,您必须从 CA 第三方证书颁发机构 (证书) 。

自定义证书请求时,请确保在"公用名"字段中添加 联合服务器 名称。

在此视频中,我们仅介绍如何在 CSR (生成证书) 。 必须将 CSR 文件发送给第三方 CA。 CA 将返回已签名的证书给你。 然后,按照以下步骤将证书导入计算机证书存储:

  1. 运行 Certlm.msc 以打开本地计算机的证书存储。
  2. 在导航窗格中,展开"个人",展开 "证书", 右键单击"证书"文件夹,然后单击"导入 "。

关于联合服务器名称

联合身份验证服务名称是 ADFS 服务器的面向 Internet 的域名。 用户Office 365重定向到此域进行身份验证。 因此,请确保为域名添加公共 A 记录。

步骤 3:配置 ADFS

不能手动键入名称作为联合服务器名称。 名称由本地计算机证书存储 (证书) 的公用名或公用名决定。

ADFS 2.0 说明

在 ADFS 2.0 中,联合服务器名称由绑定到 INTERNET INFORMATION SERVICES (IIS) 中的"默认网站"的证书确定。 配置 ADFS 之前,必须将新证书绑定到默认网站。

可以使用任何帐户作为服务帐户。 如果服务帐户的密码已过期,ADFS 将停止工作。 因此,请确保帐户的密码设置为永不过期。

步骤 4:下载Office 365工具

Windows Azure Active Directory门户中Windows PowerShell用于Azure Active Directory同步设备的 Office 365 模块。 若要获取工具,请单击 "活动用户", 然后单击"单一登录: 设置"。

步骤 5:将域添加到Office 365

该视频未介绍如何向用户添加和验证Office 365。 有关该过程详细信息,请参阅在"验证域Office 365"。

步骤 6:连接 ADFS Office 365

若要将 ADFS Office 365,请运行 Azure 目录模块Windows中的以下Windows PowerShell。

注意 在 Set-MsolADFSContext 命令中,指定内部域中 ADFS 服务器的 FQDN,而不是联合服务器名称。

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the ADFS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Office 365>

如果命令成功运行,应看到以下内容:

  • "Microsoft Office 365标识平台"信赖方信任将添加到 ADFS 服务器。
  • 使用自定义域名作为电子邮件地址后缀登录 Office 365将重定向到 ADFS 服务器。

步骤 7:将本地 Active Directory 用户帐户同步到Office 365

如果内部域名与用作电子邮件地址后缀的外部域名不同,必须添加外部域名作为本地 Active Directory 域中的备用 UPN 后缀。 例如,内部域名是"company.local",但外部域名是"company.com"。 在这种情况下,您必须添加"company.com"作为备用 UPN 后缀。

使用目录同步工具Office 365用户帐户同步。

ADFS 2.0 说明

如果使用的是 ADFS 2.0,则必须将用户帐户的 UPN 从"company.local"更改为"company.com",然后才能将该帐户同步到 Office 365。 否则,将不会在 ADFS 服务器上验证用户。

步骤 8:为客户端计算机配置单一Sign-On

将联合服务器名称添加到 Internet Explorer 中的本地 Intranet 区域后,当用户尝试在 ADFS 服务器上进行身份验证时,会使用 NTLM 身份验证。 因此,系统不会提示他们输入其凭据。

管理员可以实现组策略设置,以在加入域Sign-On客户端计算机上配置单一策略解决方案。