設定 AD FS 與 Azure AD 之間的信任

發佈時間: 2012年6月

適用於: Azure, Office 365, Power BI, Windows Intune

您要同盟的每個網域都必須新增為單一登入網域或從標準網域轉換成單一登入網域。新增或轉換網域即可在 AD FS 與 Microsoft Azure Active Directory (Microsoft Azure AD) 之間建立信任。

Important重要事項
  • 除了最上層網域 (例如 contoso.com) 以外,如果您還使用子網域 (例如 corp.contoso.com),則必須先新增雲端服務中的最上層網域,再新增任何子網域。若最上層網域已設定單一登入,則也會自動設定所有的子網域。

  • 設定信任屬於一次性作業,如果您將多部 AD FS 伺服器新增至您的伺服器陣列,則不需要再次執行 適用於 Windows PowerShell 的 Microsoft Azure Active Directory 模組 Cmdlet。

  • 如果您使用 Microsoft Azure Active Directory 模組 新增及驗證網域,則必須指定數項其他設定。需要有這些設定,您才可以查看必須設定的 DNS 記錄,讓您的網域與雲端服務一起運作。

如果您需要支援多個最上層網域,則必須使用 SupportMultipleDomain 參數搭配任何 Cmdlet,例如「新增網域」和「轉換網域」程序中使用的 Cmdlet。

例如,若要同時將 contoso.com 與 fabrikam.com 新增為單一登入網域,您會在每個有 Cmdlet 的步驟中使用 SupportMultipleDomain 參數,對 contoso.com 實行「新增網域」程序。所以,在步驟 5 中,您會使用 New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain。對 contoso.com 完成程序中的所有步驟之後,您會對 fabrikam.com 網域再次重複此程序。在步驟 5 中,您會使用 New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain

如需詳細資訊,請參閱支援多個最上層網域

視您需要加入新網域或轉換現有網域而定,完成下列其中一個程序,以設定與 Azure AD 的同盟信任。

  • 新增網域

  • 轉換網域

新增網域

  1. 開啟 [Microsoft Azure Active Directory 模組]。

  2. 執行 $cred=Get-Credential。當 Cmdlet 提示您輸入認證時,請輸入您的雲端服務系統管理員帳戶認證。

  3. 執行 Connect-MsolService –Credential $cred。此 Cmdlet 會將您連接至 Azure AD。執行此工具安裝的任何其他 Cmdlet 之前,一定要先建立可讓您連接至 Azure AD 的環境。

  4. 執行 Set-MsolAdfscontext -Computer <AD FS primary server>,其中 <AD FS 主要伺服器> 是主要 AD FS 伺服器的內部 FQDN 名稱。此 Cmdlet 會建立讓您連接至 AD FS 的環境。

    注意

    如果您已在主要 AD FS 伺服器上安裝 Microsoft Azure Active Directory 模組,則不需要執行此 Cmdlet。

  5. 執行 New-MsolFederatedDomain –DomainName <domain>,其中 <domain> 是即將針對單一登入新增和啟用的網域。此 Cmdlet 會新增將為了同盟驗證而設定的最上層網域或子網域。

    注意

    一旦使用 New-MsolFederatedDomain Cmdlet 來新增最上層網域,便無法使用 New-MsolDomain Cmdlet 來新增標準網域 (非同盟)。

  6. 使用 New-MsolFederatedDomain Cmdlet 結果提供的資訊,連絡您的網域註冊機構以建立必要的 DNS 記錄。這麼做會驗證您擁有的網域。請注意,視您的註冊機構而定,最多需要 15 分鐘才會傳播。最多需要 72 小時的時間,才能透過系統傳播變更。如需詳細資訊,請參閱Verify a domain at any domain name registrar

  7. 第二次執行 New-MsolFederatedDomain,指定相同網域名稱以結束處理程序。

轉換網域

當您將現有網域轉換為單一登入網域時,每位獲得授權的使用者都會成為同盟使用者,並使用其現有的 Active Directory 公司認證 (使用者名稱和密碼) 來存取您的雲端服務。目前不可能執行單一登入的階段式發行;不過,您可以讓生產 Active Directory 樹系中的一組生產使用者試驗單一登入。如需詳細資訊,請參閱Run a pilot to test single signon before setting it up (optional)

注意

最好在使用者人數最少時執行轉換 (例如在週末),以減少對使用者的影響。

若要將現有網域轉換為單一登入網域,請遵循下列步驟。

  1. 開啟 [Microsoft Azure Active Directory 模組]。

  2. 執行 $cred=Get-Credential。當 Cmdlet 提示您輸入認證時,請輸入您的雲端服務系統管理員帳戶認證。

  3. 執行 Connect-MsolService –Credential $cred。此 Cmdlet 會將您連接至 Azure AD。執行此工具安裝的任何其他 Cmdlet 之前,一定要先建立可讓您連接至 Azure AD 的環境。

  4. 執行 Set-MsolAdfscontext -Computer <AD FS primary server>,其中 <AD FS 主要伺服器> 是主要 AD FS 伺服器的內部 FQDN 名稱。此 Cmdlet 會建立讓您連接至 AD FS 的環境。

    注意

    如果您已在主要 AD FS 伺服器上安裝 Microsoft Azure Active Directory 模組,則不需要執行此 Cmdlet。

  5. 執行 Convert-MsolDomainToFederated –DomainName <domain>,其中 <domain> 是即將轉換的網域。此 Cmdlet 會將網域從標準驗證變更為單一登入。

注意

若要確認轉換有作用,請執行 Get-MsolFederationProperty –DomainName <domain> (其中 <domain> 是您要檢視設定的網域),進而比較 AD FS 伺服器上與 Azure AD 中的設定。如果不相符,您可以執行 Update-MsolFederatedDomain –DomainName <domain> 來同步處理設定。

下一個步驟

您現在設定 AD FS 與 Azure AD 之間的信任,還必須設定 Active Directory 同步作業。如需詳細資訊,請參閱目錄同步作業藍圖。設定 Active Directory 同步作業之後,請參閱驗證及管理使用 AD FS 的單一登入

另請參閱

概念

檢查清單:使用 AD FS 來實作及管理單一登入
單一登入藍圖