Kontrollere og administrere enkeltlogon med AD FS 2.0

  • Artikel

Udgivet: juni 2012

Gælder for: Office 365, Windows Intune

Bemærk

Dette emne indeholder onlinehjælp, der gælder for flere af Microsofts skytjenester, herunder Windows Intune og Office 365.

Før du som administrator bekræfter og administrerer enkeltlogon (også kaldet samling af identiteter), skal du læse oplysningerne og udføre de trin, der er beskrevet i følgende artikler:

Når du har konfigureret enkeltlogon, skal du bekræfte, at det fungerer korrekt. Der findes desuden også en række administrative opgaver, som du kan udføre med jævne mellemrum, så enkeltlogon kører uden problemer.

Hvad vil du foretage dig?

  • Bekræfte, at enkeltlogon er konfigureret korrekt

  • Indstil en planlagt opgave, der automatisk skal opdatere Windows Azure AD, når der er foretaget en ændring i tokensigneringscertifikatet

  • Administrere enkeltlogon

Bekræfte, at enkeltlogon er konfigureret korrekt

Hvis du bekræfte, at enkeltlogon er blevet konfigureret korrekt, kan du udføre den følgende producere for at bekræfte, at du kan logge på skytjenesten med firmaets legitimationsoplysninger, Kontrollere enkeltlogon i forbindelse med forskellige brugsscenarier og Brug af Microsoft Remote Connectivity Analyzer.

Bemærk

  • Hvis du har konverteret et domæne i stedet for at tilføje et, kan konfigurationen af enkeltlogon tage op til 24 timer.

  • Før du bekræfter enkeltlogon, skal du fuldføre konfigurationen af Active Directory-synkronisering, synkronisere katalogerne og aktivere synkroniserede brugere. Du kan finde flere oplysninger i Vejledning i katalogsynkronisering.

Benyt følgende fremgangsmåde for at bekræfte, at enkeltlogon er blevet konfigureret korrekt.

  1. Gå til Microsoft Office 365-portalen på en computer, der er på domænet.

  2. Log på med det samme logonnavn, som du bruger i forbindelse med dine firmarelaterede legitimationsoplysninger.

  3. Klik inde i adgangskodefeltet. Hvis enkeltlogon er konfigureret, er adgangskodefeltet nedtonet, og du ser følgende meddelelse: "Du skal nu logge på hos <dit firma>."

  4. Klik på linket Log på <dit firma>.

    Hvis du ikke kan logge på, er der konfigureret enkeltlogon.

Kontrollere enkeltlogon i forbindelse med forskellige brugsscenarier

Når du har bekræftet, at enkeltlogon er fuldført, skal du teste følgende logonscenarier for at sikre, at enkeltlogon og installation af AD FS 2.0 er konfigureret korrekt. Bed en gruppe brugere om at kontrollere deres adgang til skytjenesten-tjenester fra browsere samt udvidede klientprogrammer, f.eks. Microsoft Office 2010, i følgende miljøer:

  • Fra en domænesamlet computer

  • Fra en ikke-domænesamlet computer i firmanetværket

  • Fra en roaming-domænesamlet computer uden for firmanetværket

  • Fra de forskellige operativsystemer, I bruger i dit firma

  • Fra en hjemmecomputer

  • Fra en internetstander (prøveadgang til skytjenesten udelukkende via en browser)

  • Fra en smartphone, f.eks. en smartphone, der benytter Microsoft Exchange ActiveSync

Brug af Microsoft Remote Connectivity Analyzer

Hvis du vil teste en forbindelse med enkeltlogonforbindelse, kan du bruge Microsoft Remote Connectivity Analyzer. Klik på fanen Office 365, klik på Microsoft Enkeltlogon, og klik derefter på Næste. Følg prompterne på skærmen for at udføre testen. Analyseværktøjet bekræfter, at du kan logge på skytjenesten med dine firmarelaterede legitimationsoplysninger. Desuden bekræftes en grundlæggende AD FS 2.0-konfiguration.

Hvad vil du foretage dig?

Indstil en planlagt opgave, der automatisk skal opdatere Windows Azure AD, når der er foretaget en ændring i tokensigneringscertifikatet

Som standard opretter AD FS 2.0 et nyt selvsigneret token-signeringscertifikat, 20 dage før certifikatet udløber hvert år. Automatisk skift af certifikater eller generering af et nyt certifikat, når det eksisterende certifikat er ved at udløbe, og herefter opgradering til primært certifikat, gælder kun for selvsignerede certifikater, der er genereret af AD FS 2.0.

Tokensigneringscertifikatet er afgørende for stabiliteten i tjenesten, der er medlem af et organisationsnetværk. Hvis det ændres, skal Windows Azure AD gives besked om denne ændring. Ellers vil de anmodninger, der foretages til dine skytjenester, mislykkes. Du skal hente og konfigurere Microsoft Federation Metadata Update Automation Installation Tool på din primære server, der er medlem af et organisationsnetværk, eller en server, der er medlem af et organisationsnetværk og kan skrives til, som automatisk og regelmæssigt vil overvåge og opdatere Windows Azure AD-metadataene i organisationsnetværket, så eventuelle ændringer, der foretages i tokensigneringscertifikatet i AD FS 2.0 Federation Service, automatisk replikeres til Windows Azure AD.

Sådan køres dette værktøj:

  • Du skal have installeret mindst én AD FS 2.0 Federation Service.

  • Du skal have fuldført trinnene i Oprette et tillidsforhold mellem AD FS 2.0 og Windows Azure AD.

  • Dette værktøj skal køres på din primære server, der er medlem af et organisationsnetværk, eller en server, der er medlem af et organisationsnetværk, og kan skrives til.

  • Du skal have adgang til legitimationsoplysninger for den globale administrator til din Windows Azure AD-lejer.

    Bemærk

    Hvis du ikke har indstillet legitimationsoplysningerne for den globale administrator med ‘adgangskode – udløb ikke’, skal du sørge for at køre dette værktøj med den nye adgangskode, når adgangskoden for den globale administrator er udløbet. Ellers mislykkes den planlagte opgave.

Værktøjet køres på denne måde:

  1. Hent og gem Microsoft Federation Metadata Update Automation Installation Tool på computeren.

  2. Start Administrator Windows PowerShell-modulet, og gå til den mappe, hvortil du har kopieret værktøjet.

  3. Skriv .\O365-Fed-MetaData-Update-Task-Installation.ps1 i prompten, og tryk på Enter.

  4. Skriv navnet på det domæne, der er medlem af organisationsnetværk, i prompten, og tryk derefter på Enter.

  5. Skriv dine bruger-id-legitimationsoplysninger i prompten, og tryk derefter på Enter.

  6. Skriv legitimationsoplysningerne for den lokale administrator i prompten, og tryk derefter på Enter.

Når du har fuldført disse trin, opretter scriptet en planlagt opgave, der skal køre som de legitmationsoplysninger for den lokale administrator, der er angivet i trin 6 herover. Den planlagte opgave kører én gang om dagen.

Bemærk

Dette værktøj skal køres for hvert domæne på kontoen, der er medlem af et organisationsnetværk, og i øjeblikket understøtter det ikke flere topniveaudomæner. Du kan finde flere oplysninger under Understøttelse af flere topniveaudomæner. Det anbefales, at du jævnligt kontrollerer, at den planlagte opgave kører korrekt, ved at sikre, at logfilen bliver oprettet.

Bemærk

Du kan konfigurere, når AD FS 2.0 genererer det nye tokensigneringscertifikat. Når det er tid til skift af certifikatet, genererer AD FS 2.0 et nyt certifikat med det samme navn som det certifikat, der er ved at udløbe, men med en anden privat nøgle og et andet aftryk. Når et nyt certifikat er blevet genereret, forbliver certifikatet det sekundære certifikat i fem dage, indtil det opgraderes til det primære certifikat. Fem dage er standardperioden, men perioden kan konfigureres.

Administrere enkeltlogon

Der findes andre valgfrie eller periodiske opgaver, du kan udføre for at sikre, at enkeltlogon kører uden problemer.

I dette afsnit

  • Føje URL-adresser til websteder, du har tillid til, i Internet Explorer

  • Forhindre brugere i at logge på skytjenesten

  • Få vist aktuelle indstillinger

  • Opdatere egenskaber for tillid

  • Gendanne en AD FS 2.0-server

Føje URL-adresser til websteder, du har tillid til, i Internet Explorer

Når du har tilføjet eller konverteret dine domæner som del af indstillingen af enkeltlogon, kan det være en god ide at føje det fuldt kvalificerede domænenavn for din AD FS 2.0-server til listen over websteder, der er tillid til, i Internet Explorer. Dette sikrer, at brugerne ikke bliver bedt om deres adgangskode til AD FS 2.0-serveren. Denne ændring skal foretages på klienten. Du kan også foretage denne ændring for brugerne ved at angive en gruppepolitikindstilling, som automatisk føjer denne URL til listen over webstededer, du har tillid til, for domænesamlede computere. Du kan finde flere oplysninger under Politikindstillinger for Internet Explorer.

Forhindre brugere i at logge på skytjenesten

I AD FS 2.0 kan administratorer angive brugerdefinerede regler, som kan tildele eller nægte adgang til brugere. I forbindelse med enkeltlogon bør de brugerdefinerede regler gælde for de pålidelige signaturmodtagere, der er knyttet til skytjenesten. Du oprettede dette tillidsforhold, da du kørte cmdlet'er i Windows PowerShell for at konfigurere enkeltlogon.

Du kan finde flere oplysninger om, hvordan du vil begrænser brugerne i at logge på tjenester, under Oprette en regel til at tillade eller afviser brugere ud fra et indgående krav. Du kan finde flere oplysninger om, hvordan du kører cmdlet'er for at konfigurere enkeltlogon, under Installere Windows PowerShell til enkeltlogon med AD FS 2.0.

Få vist aktuelle indstillinger

Hvis du på et tidspunkt vil vise den aktuelle AD FS 2.0-server og skytjenesten-indstillinger, kan du åbne Windows Azure Active Directory-modul til Windows PowerShell og køre Connect-MSOLService og derefter køre Get-MSOLFederationProperty –DomainName <domain>. Dermed kan du kontrollere, om alle indstillinger på AD FS 2.0-serveren er i overensstemmelse med indstillingerne i skytjenesten. Hvis indstillingerne er i modstrid med hinanden, kan du køre Update-MsolFederatedDomain –DomainName <domain>. Du kan finde flere oplysninger i det følgende afsnit "Opdatere egenskaber for tillid".

Bemærk

Hvis du skal understøtte flere topniveaudomæner, f.eks. contoso.com og fabrikam.com, skal du bruge parameteren SupportMultipleDomain med alle cmdlet'er. Du kan finde flere oplysninger under Understøttelse af flere topniveaudomæner.

Hvad vil du foretage dig?

Opdatere egenskaber for tillid

Du skal opdatere egenskaberne for tillid til enkeltlogon i skytjenesten, når:

  • Ændringer i URL-adressen: Hvis du foretager ændringer i URL-adressen for AD FS 2.0-serveren, skal du opdatere egenskaberne for tillid.

  • Det primære tokensigneringscertifikat er blevet ændret: Når det primære tokensigneringscertifikat ændres, udløser det hændelses-id eller hændelses-id i hændelsesfremviseren for AD FS 2.0-serveren. Vi anbefaler, at du regelmæssigt kontrollerer Logbog og som minimum hver uge.

    Hvis du vil se hændelserne for AD FS 2.0-serveren, skal du følge disse trin.

    1. Klik på Start og derefter på Kontrolpanel. Klik på System og sikkerhed, Administration og derefter på Logbog i visningen Kategori.

    2. Klik på Log for programmer og tjenester, klik derefter på AD FS 2.0, og herefter på Administrator i venstre rude af Logbog for at få vist hændelserne for AD FS 2.0.

  • **Tokensigneringscertifikatet udløber hvert år:**Tokensigneringscertifikatet er afgørende for stabiliteten i tjenesten, der er medlem af et organisationsnetværk. Hvis det ændres, skal Windows Azure AD have besked om denne ændring. Ellers vil de anmodninger, der foretages til dine skytjenester, mislykkes.

    Følg de trin, der er angivet herover i afsnittet Indstille planlagt opgave i det emne, der viser dig, hvordan du henter og konfigurerer Microsoft Federation Metadata Update Automation Installation Tool. Dette værktøj overvåger og opdaterer automatisk og jævnligt Windows Azure AD-organisationsnetværksdata, så eventuelle ændringer, der foretages i tokensigneringscertifikatet i AD FS 2.0 Federation Service, automatisk replikeres til Windows Azure AD.

Hvis du manuelt vil opdatere egenskaberne for tillid, skal du følge disse trin.

Bemærk

Hvis du skal understøtte flere topniveaudomæner, f.eks. contoso.com og fabrikam.com, skal du bruge parameteren SupportMultipleDomain med alle cmdlet'er. Du kan finde flere oplysninger under Understøttelse af flere topniveaudomæner.

  1. Åbn Windows Azure Active Directory-modul til Windows PowerShell.

  2. Kør $cred=Get-Credential. Når denne cmdlet beder dig om legitimationsoplysninger, skal du angive dine legitimationsoplysninger til administratorkontoen.

  3. Kør Connect-MsolService –Credential $cred. Med denne cmdlet opretter du forbindelse med skytjenesten. Det er nødvendigt, at der skabes en kontekst, som forbinder dig med skytjenesten, inden du kører nogen af de ekstra cmdlet'er, der installeres af værktøjet.

  4. Kør Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server>, hvor <den primære AD FS 2.0-server> er det interne FQDN-navn på den primære AD FS 2.0-server. Denne cmdlet opretter en kontekst, der opretter forbindelse mellem dig og AD FS 2.0.

    Bemærk

    Hvis du har installeret Windows Azure Active Directory-modul på den primære AD FS 2.0-server, behøver du ikke køre denne cmdlet.

  5. Kør Update-MSOLFederatedDomain –DomainName <domain>. Denne cmdlet opdaterer AD FS 2.0 med indstillingerne fra skytjenesten og konfigurerer en pålidelig forbindelse mellem dem.

Hvad vil du foretage dig?

Gendanne en AD FS 2.0-server

I det tilfælde du mister jeres primære server og ikke kan genskabe indholdet, skal en af de andre servere forfremmes til at være primær server. Du kan finde flere oplysninger under AD FS 2.0 – Sådan konfigures den primære samlingsserver i en WID-farm.

Bemærk

Hvis der opstår fejl på en af jeres AD FS 2.0-servere, og du har konfigureret en farm med høj tilgængelighed, vil brugere stadig have adgang til skytjenesten. Hvis den fejlbehæftede server er den primære server, kan du ikke foretage opdateringer af farmkonfigurationen, før du forfremmer en anden server til at være primær server.

Hvis du mister alle servere i farmen, skal du genopbygge tilliden ved hjælp af følgende fremgangsmåde:

Bemærk

Hvis du skal understøtte flere topniveaudomæner, f.eks. contoso.com og fabrikam.com, skal du bruge parameteren SupportMultipleDomain med alle cmdlet'er. Når du bruger parameteren SupportMultipleDomain, skal du køre proceduren for alle dine domæner. Hvis du vil gendanne din AD FS 2.0-server, skal du kun følge produceduren én gang for ét af dine domæner. Når serveren er gendannet, forbindes alle dine andre domæner med enkeltlogon til skytjenesten. Du kan finde flere oplysninger under Understøttelse af flere topniveaudomæner.

  1. Åbn Windows Azure Active Directory-modul.

  2. Kør $cred=Get-Credential. Når denne cmdlet beder dig om legitimationsoplysninger, skal du angive dine legitimationsoplysninger til administratorkontoen.

  3. Kør Connect-MsolService –Credential $cred. Med denne cmdlet opretter du forbindelse med skytjenesten. Det er nødvendigt, at der skabes en kontekst, som forbinder dig med skytjenesten, inden du kører nogen af de ekstra cmdlet'er, der installeres af værktøjet.

  4. Kør Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server>, hvor <den primære AD FS 2.0-server> er det interne FQDN-navn på den primære AD FS 2.0-server. Denne cmdlet opretter en kontekst, der opretter forbindelse mellem dig og AD FS 2.0.

    Bemærk

    Hvis du har installeret Windows Azure Active Directory-modul på den primære AD FS 2.0-server, behøver du ikke køre denne cmdlet.

  5. Kør Update-MsolFederatedDomain –DomainName <domain>, hvor <domæne> er det domæne, hvis egenskaber du vil opdatere. Med denne cmdlet opdateres egenskaberne og tillidsforholdet etableres.

  6. Kør Get-MsolFederationProperty –DomainName <domain>, hvor <domæne> er det domæne, for hvilket du vil vise egenskaber. Du kan derefter sammenligne egenskaberne fra den primære AD FS 2.0-server og egenskaberne i skytjenesten for at kontrollere, at de stemmer overens. Hvis de ikke stemmer overens, skal du køre Update-MsolFederatedDomain –DomainName <domain> igen for at synkronisere egenskaberne.

Se også

Koncepter

Vejledning til enkeltlogon
Forberede enkeltlogon
Vejledning i katalogsynkronisering
Installere Windows PowerShell til enkeltlogon med AD FS 2.0
Fejlfinding af enkeltlogon

Andre ressourcer

Plan for and deploy AD FS 2.0 for use with single sign-on