設定 AD FS 與 Azure AD 之間的信任

更新日期:2015 年 6 月 25 日

適用于:Azure、Office 365、Power BI、Windows Intune

您要建立同盟的每一個網域都必須新增為單一登入網域,或是從標準網域轉換成單一登入網域。 新增或轉換網域會設定 AD FS 與Microsoft Azure Active Directory (Microsoft Azure AD) 之間的信任。

重要

  • 除了最上層網域 (例如 contoso.com) 以外,如果您還使用子網域 (例如 corp.contoso.com),則必須先新增雲端服務中的最上層網域,再新增任何子網域。 針對單一登入設定最上層網域之後,系統也會自動設定所有子網域。

  • 設定信任是一次性作業,如果您將更多 AD FS 伺服器新增至伺服器陣列,就不需要再次執行 Windows PowerShell Cmdlet 的 Microsoft Azure Active Directory 模組。

  • 如果您使用 Microsoft Azure Active Directory 模組來新增和驗證網域,您需要指定數個額外的設定。 需要有這些設定,您才可以查看必須設定的 DNS 記錄,讓您的網域與雲端服務一起運作。

如果您需要支援多個最上層網域,則必須使用 SupportMultipleDomain 參數搭配任何 Cmdlet,例如「新增網域」和「轉換網域」程序中使用的 Cmdlet。

例如,若要同時將 contoso.com 與 fabrikam.com 新增為單一登入網域,您會在每個有 Cmdlet 的步驟中使用 SupportMultipleDomain 參數,對 contoso.com 實行「新增網域」程序。 所以,在步驟 5 中,您會使用 New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain。 針對 contoso.com 完成程序中所有步驟之後,要再針對 fabrikam.com 網域,重複執行一次程序。 在步驟 5 中,您會使用 New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain

如需詳細資訊,請參閱 支援多個頂層網域

請完成下列其中一個程式,以設定與 Azure AD 的同盟信任,視您是否需要新增網域或轉換現有的網域而定。

  • 新增網域

  • 轉換網域

新增網域

  1. 開啟 Microsoft Azure Active Directory 模組。

  2. 執行 $cred=Get-Credential。 當指令程式提示您輸入認證時,請輸入雲端服務系統管理員帳戶認證。

  3. 執行 Connect-MsolService –Credential $cred。 此 Cmdlet 會將您連線到 Azure AD。 在執行工具所安裝的任何其他 Cmdlet 之前,必須先建立將您連線到 Azure AD 的內容。

  4. 執行 Set-MsolAdfscontext -Computer <AD FS primary server> ,其中 < AD FS 主伺服器 > 是主要 AD FS 伺服器的內部 FQDN 名稱。 此 Cmdlet 會建立讓您連線到 AD FS 的環境。

    注意

    如果您已在主要 AD FS 伺服器上安裝 Microsoft Azure Active Directory 模組,則不需要執行此 Cmdlet。

  5. 執行 New-MsolFederatedDomain –DomainName <domain> ,其中 < 網域 > 是要新增並啟用單一登入的網域。 此指令程式會新增最上層網域或子網域,以設定用於同盟驗證。

    注意

    使用 New-MsolFederatedDomain 指令程式新增最上層網域之後,您將無法使用 New-MsolDomain 指令程式新增標準網域 (非同盟)。

  6. 使用 New-MsolFederatedDomain Cmdlet 結果提供的資訊,連絡您的網域註冊機構以建立必要的 DNS 記錄。 這會驗證您是否擁有該網域。 請注意,依登錄機構而定,此記錄最長可能需要 15 分鐘才能完成傳播。 變更最長可能需要 72 小時才能傳播到整個系統。 如需詳細資訊,請參閱 在任何網域註冊機構驗證網域

  7. 第二次執行 New-MsolFederatedDomain,指定相同網域名稱以結束處理程序。

轉換網域

當您將現有網域轉換成單一登入網域時,每個授權使用者都會成為同盟使用者,使用其現有的 Active Directory 公司認證 (使用者名稱和密碼) 存取您的雲端服務。 目前無法執行分段推出單一登入;不過,您可以從生產 Active Directory 樹系試驗一組生產使用者單一登入。 如需詳細資訊,請參閱 在設定單一登入之前先執行試驗來測試單一登入, (選擇性)

注意

最好在使用者最少 (例如週末) 時執行轉換,以減少對使用者的影響。

若要將現有的網域轉換為單一登入網域,請依照下列步驟執行。

  1. 開啟 Microsoft Azure Active Directory 模組。

  2. 執行 $cred=Get-Credential。 當指令程式提示您輸入認證時,請輸入雲端服務系統管理員帳戶認證。

  3. 執行 Connect-MsolService –Credential $cred。 此 Cmdlet 會將您連線到 Azure AD。 在執行工具所安裝的任何其他 Cmdlet 之前,必須先建立將您連線到 Azure AD 的內容。

  4. 執行 Set-MsolAdfscontext -Computer <AD FS primary server> ,其中 < AD FS 主伺服器 > 是主要 AD FS 伺服器的內部 FQDN 名稱。 此 Cmdlet 會建立讓您連線到 AD FS 的環境。

    注意

    如果您已在主要 AD FS 伺服器上安裝 Microsoft Azure Active Directory 模組,則不需要執行此 Cmdlet。

  5. 執行 Convert-MsolDomainToFederated –DomainName <domain> ,其中 < 網域 > 是要轉換的網域。 這個指令程式會將網域從標準驗證變更為單一登入。

注意

若要確認轉換已運作,請執行 Get-MsolFederationProperty –DomainName <domain> 來比較 AD FS 伺服器和 Azure AD 上的設定,其中 < 網域 > 是您要檢視設定的網域。 如果不相符,您可以執行 Update-MsolFederatedDomain –DomainName <domain> 來同步處理設定。

後續步驟

您現在設定 AD FS 與 Azure AD 之間的信任,還必須設定 Active Directory 同步作業。 如需詳細資訊,請參閱 目錄同步處理藍圖。 設定 Active Directory 同步處理之後,請參閱 使用 AD FS 驗證和管理單一登入

另請參閱

概念

檢查清單:使用 AD FS 實作和管理單一登入
單一登入藍圖