Vorbereiten des einmaligen Anmeldens

  • Artikel

Aktualisiert: 25. Juni 2015

Gilt für: Azure, Office 365, Power BI, Windows Intune

Hinweis

Dieses Thema gilt ggf. nicht vollständig für Benutzer von Microsoft Azure in China. Weitere Informationen zum Azure-Dienst in China finden Sie unter windowsazure.cn.

Führen Sie die folgenden Schritte aus, um Vorbereitungen für einmaliges Anmelden zu treffen:

  • Schritt 1: Überprüfen der Anforderungen für einmaliges Anmelden

  • Schritt 2: Vorbereiten von Active Directory

Schritt 1: Überprüfen der Anforderungen für einmaliges Anmelden

Damit diese SSO-Lösung implementiert werden kann, müssen die folgenden Anforderungen erfüllt sein:

  • Haben Sie Active Directory in Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 oder Windows Server 2012 R2 mit einer funktionalen Ebene des gemischten oder systemeigenen Modus bereitgestellt und ausgeführt.

  • Wenn Sie planen, AD FS als Ihr STS zu verwenden, müssen Sie einen der folgenden Schritte ausführen:

    • Herunterladen, Installieren und Bereitstellen von AD FS 2.0 auf einem Windows Server 2008 oder Windows Server 2008 R2-Server. Wenn Benutzer auch über das Netzwerk Ihres Unternehmens eine Verbindung herstellen, müssen Sie einen AD FS 2.0-Proxy bereitstellen.

    • Installieren des AD FS-Rollendiensts auf einem Setver mit Windows Server 2012 oder Windows Server 2012 R2.

  • Wenn Sie planen, den Shibboleth-Identitätsanbieter als Ihr STS zu verwenden, müssen Sie einen funktionsfähigen Shibboleth-Identitätsanbieter installieren und vorbereiten.

    Wichtig

    Microsoft unterstützt diese einmalige Anmeldeerfahrung als Integration eines Microsoft-Clouddiensts, z. B. Microsoft Intune oder Office 365, mit dem bereits installierten und operativen Shibboleth Identity Provider. Da der Shibboleth-Identitätsanbieter ein Produkt eines Drittanbieters ist, bietet Microsoft keinen Support für Probleme und Fragen in den Bereichen Entwicklung, Konfiguration, Problembehandlung, bewährte Methoden usw. für den Shibboleth-Identitätsanbieter an. Weitere Informationen zum Shibboleth Identity Provider finden Sie unter https://go.microsoft.com/fwlink/?LinkID=256497.

  • Basierend auf dem Typ von STS, den Sie einrichten, verwenden Sie das Microsoft Azure Active Directory Modul für Windows PowerShell, um eine Verbundvertrauenswürdigkeit zwischen Ihrem lokalen STS und Azure AD einzurichten.

  • Installieren Sie die erforderlichen Updates für Ihre Microsoft Cloud Service-Abonnements, um sicherzustellen, dass Ihre Benutzer die aktuellsten Updates von Windows 7, Windows Vista oder Windows XP ausführen. Einige Funktionen funktionieren ggf. ohne die entsprechenden Versionen der Betriebssysteme, Browser und Software nicht ordnungsgemäß. Weitere Informationen finden Sie unter Anhang A: Überprüfen der Softwareanforderungen.

Schritt 2: Vorbereiten von Active Directory

Active Directory muss bestimmte Einstellungen konfiguriert haben, um mit einmaligem Anmelden ordnungsgemäß zu funktionieren. Insbesondere muss der Benutzerprinzipalname (UPN), auch als Benutzeranmeldename bezeichnet, für jeden Benutzer auf bestimmte Art und Weise eingerichtet werden.

Hinweis

Um Ihre Active Directory-Umgebung für einmaliges Anmelden vorzubereiten, empfehlen wir Ihnen, das Microsoft Deployment Readiness Tool auszuführen. Dieses Tool überprüft Ihre Active Directory-Umgebung und stellt einen Bericht bereit, der Informationen darüber enthält, ob Sie bereit sind, ein einmaliges Anmelden einzurichten. Wenn dies nicht der Fall ist, werden die zur Vorbereitung für einmaliges Anmelden erforderlichen Änderungen aufgeführt. Beispielsweise untersucht das Programm, ob Ihre Benutzer über UPNs verfügen und ob diese das richtige Format aufweisen.

Abhängig von den einzelnen Domänen sind möglicherweise die folgenden Schritte erforderlich:

  • Der UPN muss festgelegt und dem Benutzer bekannt sein.

  • Das UPN-Domänensuffix muss sich unter der Domäne befinden, die Sie für das Einrichten der einmaligen Anmeldung auswählen.

  • Die Domäne, die Sie für den Verbund auswählen, muss bei einer Domänenregistrierungsstelle oder auf Ihren eigenen öffentlichen DNS-Servern als öffentliche Domäne registriert sein.

  • Um UPNs zu erstellen, folgen Sie den Anweisungen im Active Directory-Thema "Benutzerprinzipalname-Suffixe hinzufügen". Beachten Sie, dass UPNs, die für das einmalige Anmelden verwendet werden, nur Buchstaben, Zahlen, Punkte, Bindestriche und Unterstriche enthalten dürfen.

  • Wenn Ihr Active Directory-Domänenname keine öffentliche Internetdomäne ist (z. B. endet es mit einem ".local"-Suffix), müssen Sie ein UPN einrichten, um ein Domänensuffix zu haben, das sich unter einem Internetdomänennamen befindet, der öffentlich registriert werden kann. Sie sollten eine Zeichenfolge verwenden, die den Benutzern vertraut ist, wie ihre E-Mail-Domäne.

  • Falls Sie die Active Directory-Synchronisierung bereits eingerichtet haben, stimmt der UPN des Benutzers möglicherweise nicht mit dem in Active Directory definierten lokalen UPN des Benutzers überein. Um dies zu beheben, benennen Sie den UPN des Benutzers mithilfe des Cmdlets Set-MsolUserPrincipalName im Microsoft Azure Active Directory Modul für Windows PowerShell um.

Weitere Informationen

Konzepte

DirSync mit einmaligem Anmelden