Jadi Anda Perlu Masuk Single Dengan Office 365 - Bagaimana Untuk

Jadi Anda Perlu Masuk Single Dengan Office 365

Saya telah mengerjakan bahagian Q & A Spiceworks selama beberapa minggu yang lalu dan lebih daripada sekali persoalan menghubungkan contoh Direktori Aktif dalaman anda ke Office 365 untuk Single Sign On dan Penyegerakan Direktori telah muncul. Kebanyakan orang akan dengan cepat bertindak balas bahawa ini adalah rumit, dan tidak meninggikan dan menjalankan kebolehpercayaan ... Saya berkata mencuci hog!
ADFS dengan Direktori Sync adalah proses yang akan mengambil masa kira-kira 4 jam untuk persediaan dan konfigurasi.
Ini adalah proses bagaimana untuk melakukan ini dengan Office 365 dan Windows 2008-2012 / 2008-2012 R2.
Jangan mengelirukan ADFS dan Office 365 dengan Windows Azure Active Directory, keduanya adalah sisi yang berbeza dari Microsoft walaupun kedua-duanya bermain di platform Azure.
Saya akan menganggap untuk tujuan ini Bagaimana Anda belum mengkonfigurasi Office 365 lagi dan panduan akan bermula dari awal

Jumlah 17 Langkah

Langkah 1: Tambahkan nama domain e-mel anda ke portal Office 365

Mulakan dengan melog masuk ke akaun portal Office 365 anda sebagai pentadbir. Biasanya ini adalah login pentadbir yang diberikan dalam format ini.
[email protected]
Kami benar-benar hanya menambahkan akhiran UPN ke nama domain yang sedia ada supaya tidak menjadi rumit di kepala anda
Cari kawasan Domain dan klik Tambah Domain
Tambah nama domain anda, (untuk panduan ini saya akan menggunakan domainname.com).
Pilih pendaftar domain dan tambahkan nama pendaftar
Anda perlu menambah rekod TXT ke DNS domain anda untuk membuktikan anda memiliki domain ini, ini tidak mempunyai sebarang kesan ke atas perkhidmatan pengeluaran jadi lakukan ini, tunggu kira-kira 15 minit dan kemudian kembali dan mempunyai Office 365 mengesahkan rekod wujud. Setelah proses ini selesai, kita dapat meneruskan langkah seterusnya.
Hit seterusnya dan anda akan diberikan pilihan untuk membiarkan portal Office 365 masuk ke pendaftar anda dan mengkonfigurasi rekod DNS yang betul. TIDAK MEMBERIKAN INI PADA DOMAIN PENGELUARAN! E-mel akan dialihkan ke perkhidmatan pertukaran Office 365. Jika ini adalah domain baru maka dengan segala cara biarkan portal melakukan kerja. Tetapi saya biasanya mengerjakan barangan pengeluaran jadi saya perlu melakukan ini secara manual.

Langkah 2: Buat pelayan VM-ADFS berasingan pada hos VM anda

Saya suka menjadi tuan rumah perkhidmatan ini pada pelayan tertentu. Anda boleh mencari bersama perkhidmatan ini di pelayan lain tetapi ia membuat penyelesaian masalah sedikit lebih rumit apabila anda tidak boleh menghidupkan semula pelayan pada siang hari. Ini juga memberi anda kelonggaran untuk memindahkan pelayan ADFS ini dalam perimeter jika anda mempunyai satu.
Sekiranya anda memerlukan bantuan menyediakan pelayan Windows VM baru, dan menyambungkannya ke domain AD tempatan anda, anda boleh mencari Google kerana ada banyak panduan di web untuk membantu anda.
Cuba untuk tidak menjejaki ini pada DC anda, walaupun saya telah mendapatnya berfungsi dengan secubit itu tidak "disyorkan". Saya katakan apa sahaja untuk itu jika anda memerlukan ia menggunakannya pada pelayan apa sahaja yang boleh anda dapatkan.

Langkah 3: Pasang ADFS pada pelayan baru

Muat turun plugin ADFS untuk 2008 atau pasang peranan ADFS pada tahun 2012

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=118c3588-9070-426a-b655-6cec0a92c10b&displaylang=en

Pada peranan pelayan apabila mengkonfigurasi tetapan untuk ADFS, anda perlu memilih Pelayan Persekutuan
Pemasangan perlu mengumpulkan prasyarat yang diperlukan dan memasangnya yang termasuk:
Windows Powershell - 2008
.net 3.5.1 SP1
IIS
Yayasan Pengenalan Windows
Pastikan ini dipasang dengan betul jika tidak, anda akan mempunyai masalah untuk mengkonfigurasi langkah seterusnya.
Setelah selesai memilih pilihan untuk memulakan pengurusan ADFS (2008) atau cari ADFS di alat Administratif pada tahun 2012.

Langkah 4: GET A PARTNER 3RD SSL CERT

Saya tidak boleh menekankan ini cukup, jika anda menghadapi masalah pada masa lalu mendirikan ADFS kemungkinan besar ia adalah pensijilan SSL tidak menjadi pihak ke-3. Jangan cuba ini jika anda tidak mampu membayar SSL pihak ke-3 yang mudah.
Saya biasanya menggunakan WildCard yang ada (* .domainname.com) atau dapatkan yang murah untuk (adfs.domainname.com).

Langkah 5: Minta atau Beri Sijil SSL

Setelah mendapat kebenaran untuk mendapatkan pensijilan SSL baru, anda perlu meminta atau memperuntukkan pensijilan wildcard yang ada kepada IIS pada pelayan ADFS yang baru. Sangat mudah dilakukan
Buka IIS pada pelayan ADFS yang anda buat
Pilih nama pelayan di sebelah kiri atas dan kemudian Sijil Pelayan pada skrin Laman Utama.
Sama ada membuat permintaan baru untuk dihantar ke pihak ketiga anda atau mengimport pensijilan PFX untuk pensijilan wildcard anda.
Pastikan panjang bit permintaan adalah 2048 atau lebih baik, Office 365 tidak akan berfungsi dengan panjang bit SSL yang lebih rendah.

Langkah 6: Mengikat SSL Ke Laman Web Lalai

Sekarang pergi ke Laman Web Lalai dan di sebelah kanan, klik pengikat
Tambah mengikat
Pilih Jenis = HTTPS
Alamat IP = Semua Tidak Ditugaskan
Port = 443
Nama Hos = kosong
Sijil SSL - turun dan pilih pensijilan baru anda
Tekan OK

Langkah 7: Buat Akaun Perkhidmatan Masuk ADFS

Pergi ke pengguna AD dan komputer dan buat akaun perkhidmatan ADFS baru dengan pentadbir domain, dan hak pentadbiran perusahaan untuk AD.
Jangan bodoh dan gunakan kata laluan yang mudah, pelayan ini terdedah langsung ke internet supaya pintar.

Langkah 8: Tambahkan adfs.domainname.com ke DNS

Anda kini perlu menambah adfs.domainname.com ke DNS dalaman dan luaran untuk resolusi.
DNS dalaman harus menunjuk ke IP LAN
DNS luaran hendaklah menunjuk ke alamat IP awam yang diberikan kepada port 443 pada firewall anda. Saya telah menjalankan ini melalui proksi IIS / ARR tetapi saya mendapati ia berfungsi tetapi memerlukan sumber yang baik untuk berjalan dengan betul.
Sekiranya anda ingin mengetahui lebih lanjut mengenai menubuhkan proksi IIS / ARR untuk berkongsi port 443 baca saya Cara lain di sini
http://community.spiceworks.com/how_to/show/73336-so-you-need-to-share-port-443-iis-arr

Langkah 9: Konfigurasi ADFS

Sebaik sahaja sijil SSL dipasang dan terikat ke Laman Web Lalai dan semua DNS luaran dan dalaman adalah persediaan kita boleh teruskan untuk mengkonfigurasi ADFS.
Pergi ke Alat pentadbiran dan pilih pengurusan ADFS
Setelah tetingkap pengurusan dibuka, pilih pautan penyihir konfigurasi ADFS masuk pada skrin Laman Utama.
Pilih Buat Perkhidmatan Persekutuan Baru - Seterusnya
Pilih Ladang Pelayan Persekutuan Baru - Seterusnya
Nama Perkhidmatan Persekutuan - Drop Down dan pilih sijil SSL anda - dalam jenis kotak nama perkhidmatan
adfs.domainname.com
Tekan Next
Tentukan log masuk akaun perkhidmatan yang kami buat pada langkah sebelumnya
tekan seterusnya dan biarkan konfigurasi ADFS - ubahkan sebarang ralat yang mungkin dipaparkan pada laporan Konfigurasi. Sekali lagi inilah sebabnya saya suka melakukan ini pada kotak yang baru supaya pemasangannya menjadi bersih dan licin.

Langkah 10: Plugin Office 365 Powershell

Pasang Plugin Office 365 Powershell
32bit OS
http://g.microsoftonline.com/0BD00en-US/85
64bit OS
http://g.microsoftonline.com/0BD00en-US/126

Langkah 11: Pasang Office 365 Sign on Assistant - Lama boleh dilangkau kerana ia disertakan dengan DirSync sekarang

Muat turun dan pasangkan Penandatangan Pendaftar yang betul untuk versi OS anda
32bit
http://g.microsoftonline.com/0BX00en/500
64bit
http://g.microsoftonline.com/0BX00en/501

Langkah 12: Mengkonfigurasi Amanah Dengan Office 365 untuk membolehkan SSO

Buka program dan cari Icon Powershell untuk Persekutuan Identiti Perkhidmatan Dalam Talian Microsoft
Klik kanan pada ikon ini dan Run As Administrator
Taip arahan berikut
Untuk kredit menggunakan akaun [email protected] yang dibuat semasa anda membuat persediaan Office 365 yang pertama dijalankan; Ubah Domainname.com dalam perintah ketiga ke nama domain e-mel root anda)

$ cred = Get-Credential
Connect-MsolService -Credential $ cred
Set-MsolAdfscontext -Computer adfs.domainname.com
Convert-MsolDomainToFederated -DomainName domainname.com

Jika ini berfungsi, anda harus melihat = domain 'domainname.com' yang berjaya dikemas kini

Langkah 13: Dayakan Penyegerakan Direktori

Sekarang bahawa FS AD adalah persediaan dan dikonfigurasikan, anda boleh mendayakan Penyegerakan Direktori.
Buka portal Office 365 anda dan log masuk sebagai [email protected]
Di bawah pengguna pilih Sediakan di sebelah Penyegerakan Direktori Aktif
Langkah satu dan dua sudah lengkap
Pilih Aktifkan di bawah langkah 3 - Tunggu sejam
Muat turun Alat Penyegerakan Direktori dari halaman yang sama
Pasang alat DirSync.exe
Pilih Seterusnya
Terima EULA
Pilih laluan pemasangan
Tandakan kotak untuk memulakan wizard konfigurasi
Hit seterusnya
Masukkan login [email protected] anda
Masukkan log akaun perkhidmatan ADFS anda
Jika anda mempunyai pelayan Exchange premis dan mahu sambungan Hibrid dengan Exchange Office 365 anda, kemudian pilih pilihan untuk Membolehkan Kekuatan Bersama. Jika tidak, jangan biarkannya.
Setelah melengkapkan Sync inital harus bermula.
Saya mendapati GUI (miisclient.exe) untuk mentadbir Dir Sync tetapi ia tidak meletakkan Ikon di desktop.
Salin pintasan ke desktop supaya anda dapat melihat semua hasil Sync dan kesilapan pengguna tertentu dan memulakan penyegerakan baru menggunakan GUI.
C: Program Files Sync Direktori Online Microsoft SYNCBUS Perkhidmatan Penyegerakan UIShell miisclient.exe

Langkah 14: SSO dan UPN

Untuk mendapatkan SSO untuk berfungsi, anda perlu memastikan anda sudah mempunyai alamat akhir UPN alamat email di domain AD tempatan anda dan log masuk akaun pengguna UPN telah dikemas kini. Jika tidak, anda akan melihat bahawa pengguna yang mendapat Sync'd ke Office 365 akan mendapat login [email protected]
Menambah Akhiran UPN ke Hutan

Buka Domain dan Amanah Direktori Aktif.
Klik kanan Domain Aktif dan Amanah dalam tetingkap tetingkap Pokok, kemudian klik Properties.
Pada tab Suffix UPN, taipkan akhiran UPN (@ domainname.com) yang anda ingin tambah ke hutan.
Klik Tambah, dan kemudian klik OK.

Kemas kini pengguna dalam AD tempatan anda yang memerlukan akaun SSO Office 365 dengan akhiran UPN.
Gunakan GUI DIRSync untuk memulakan penyegerakan baru dan menonton kemajuan, anda boleh melihat sebarang kesilapan pengguna tertentu di sini.
Satu nota saya menghadapi masalah dengan sesetengah pengguna UPN akhiran tidak mengemaskini ke Office 365 dan hanya selepas mencari kesilapan tertentu dalam DIRSYNC GUI saya dapat mencabutnya. Gulungan utama ialah jika pengguna telah berada di Office 365 dari percubaan sebelumnya di ADFS, anda perlu mengejar akhiran UPN dengan mengemas kini log masuk pengguna pada AD tempatan anda ke akhiran UPN (domainname.local), menyegerakkan direktori ke pejabat 365 dan tunggu untuk mengemas kini log masuk Office 365 ke [email protected]
sebaik sahaja ia dibina maka anda boleh menukar akhiran UPN kembali ke [email protected] dan mulailah DIRSYNC lain

Langkah 15: Tambahkan adfs.domainname.com ke Zon Intranet Tempatan

Sama ada secara manual menambah adfs.domainname.com ke Zon Intranet Tempatan di IE atau gunakan GPO untuk menolaknya.

Langkah 16: Ujian SSO

Anda kini boleh melog masuk dan kembali ke mana-mana domain pengguna yang diberikan lesen Office 365 dan mendapatkan pengalaman SSO.
Semak imbas ke https://portal.microsoftonline.com
Masukkan e-mel pengguna yang mempunyai lesen Office 365 yang diberikan dan nama pengguna telah dikemas kini oleh DIRSYNC dan anda harus melangkau skrin kata laluan dan pergi terus ke portal office 365.

Langkah 17: Tambah Tugas Berjadual Untuk Kemas kini Metadata

Office 365 menggunakan Token Metadata untuk dijalankan dengan ADFS dan token tersebut akan tamat tempoh dari semasa ke semasa. Untuk mengautomasikan proses kemas kini token, anda menggunakan skrip Powershell kecil untuk membuat tugas yang dijadualkan untuk melakukannya untuk anda.
Muat turun skrip di sini
http://gallery.technet.microsoft.com/scriptcenter/Office-365-Federation-27410bdc
Buka Powershell pada pelayan ADFS dengan berjalan sebagai Pentadbir
CD ke laluan dengan fail .ps1 di dalamnya
Set-ExecutionPolicy tidak terbatas
. O365-Fed-MetaData-Update-Task-Installation.ps1

Kesimpulannya ini bukan proses yang sukar dan mengambil masa 4 jam untuk pertama kali. Rintangan utama kali pertama adalah seseorang telah mencuba ini dan gagal sehingga saya terpaksa bermain dengan tetapan untuk mendapatkan pengguna mengemaskini. Masa-masa lain yang saya lakukan ini sangat halus dan tidak ada halangan.
Asas mengambil adalah tidak takut ini kerana ia akan membantu banyak masa depan dengan semua penyebaran hibrid anda.