(0) exportieren Drucken
Alle erweitern

Überprüfen und Verwalten von einmaligem Anmelden mit AD FS

Veröffentlicht: Juni 2012

Letzte Aktualisierung: Juni 2014

Betrifft: Azure, Office 365, Windows Intune

noteHinweis
Dieses Thema gilt ggf. nicht vollständig für Benutzer von Microsoft Azure in China. Weitere Informationen zum Azure-Dienst in China finden Sie unter windowsazure.cn.

Lesen Sie als Administrator die Informationen unter Prüfliste: Verwenden von AD FS zur Implementierung und Verwaltung des einmaligen Anmeldens, und führen Sie die entsprechenden Schritte aus, bevor Sie einmaliges Anmelden (auch als Identitätsverbund bezeichnet) überprüfen und verwalten.

Nachdem Sie einmaliges Anmelden eingerichtet haben, sollten Sie die ordnungsgemäße Funktion überprüfen. Außerdem können Sie gelegentlich mehrere Verwaltungsaufgaben ausführen, um die reibungslose Ausführung sicherzustellen.

Zum Bestätigen, dass einmaliges Anmelden ordnungsgemäß eingerichtet wurde, können Sie das folgende Verfahren (Testen des einmaligen Anmeldens für verschiedene Verwendungsszenarien und Verwenden von Microsoft-Verbindungsuntersuchung) verwenden, um zu bestätigen, dass Sie sich beim Cloud-Dienst mit den Unternehmensanmeldeinformationen anmelden können.

noteHinweis
  • Wenn Sie eine Domäne konvertiert (und nicht hinzugefügt) haben, kann die Einrichtung von einmaligem Anmelden bis zu 24 Stunden dauern.

  • Bevor Sie einmaliges Anmelden überprüfen, sollten Sie die Einrichtung der Active Directory-Synchronisierung abschließen, Ihre Verzeichnisse synchronisieren und Ihre synchronisierten Benutzer aktivieren. Weitere Informationen finden Sie unter Fahrplan zur Verzeichnissynchronisierung.

Führen Sie die folgenden Schritte aus, um zu bestätigen, dass einmaliges Anmelden ordnungsgemäß eingerichtet wurde.

  1. Melden Sie sich auf einem in die Domäne eingebundenen Computer bei Ihrem Microsoft Cloud-Dienst mithilfe des gleichen Anmeldenamens an, den Sie für Ihre Unternehmensanmeldeinformationen verwenden.

  2. Klicken Sie im Kennwortfeld. Wenn einmaliges Anmelden eingerichtet ist, ist das Anmeldefeld ausgegraut, und die folgende Meldung wird angezeigt: "Sie müssen sich nun bei <Ihrem Unternehmen> anmelden."

  3. Klicken Sie auf den Link Bei <Ihrem Unternehmen> anmelden.

    Wenn Sie in der Lage sind, sich anzumelden, wurde einmaliges Anmelden eingerichtet.

Nachdem Sie bestätigt haben, dass einmaliges Anmelden vollständig ist, testen Sie die folgenden Anmeldeszenarien, um sicherzustellen, dass einmaliges Anmelden und die Bereitstellung von AD FS 2.0 ordnungsgemäß konfiguriert sind. Bitten Sie eine Gruppe Ihrer Benutzer, ihren Zugriff auf die Cloud-Dienste mithilfe von Browsern und Rich-Client-Anwendungen (z. B. Microsoft Office 2010) in den folgenden Umgebungen zu testen:

  • Mit einem Computer, der einer Domäne angehört

  • Mit einem Computer im Unternehmensnetzwerk, der keiner Domäne angehört

  • Mit einem Roamingcomputer außerhalb des Unternehmensnetzwerks, der einer Domäne angehört

  • Mithilfe der verschiedenen Betriebssysteme, die in Ihrem Unternehmen verwendet werden

  • Mit einem Heimcomputer

  • Mit einem Internetkiosk (testen des Zugriffs auf den Cloud-Dienst nur über einen Browser)

  • Mit einem Smartphone (z. B. mit einem Smartphone, das Microsoft Exchange ActiveSync verwendet)

Zum Testen der Konnektivität von einmaligem Anmelden können Sie die Microsoft-Verbindungsuntersuchung verwenden. Klicken Sie auf die Registerkarte Office 365, klicken Sie auf Microsoft-Dienst für einmaliges Anmelden, und klicken Sie dann auf Weiter. Folgen Sie den Eingabeaufforderungen auf dem Bildschirm, um den Test auszuführen. Die Verbindungsuntersuchung überprüft, ob Sie sich mit Ihren Unternehmensanmeldeinformationen beim Cloud-Dienst anmelden können. Sie überprüft außerdem Teile der Basiskonfiguration von AD FS 2.0.

Was möchten Sie tun?

Standardmäßig generiert AD FS jedes Jahr 20 Tage vor dem Ablauf des Zertifikats ein neues selbstsigniertes Tokensignaturzertifikat. Der Zertifikatrollover oder die Generierung eines neuen Zertifikats, wenn das vorhandene Zertifikat in Kürze abläuft, sowie das Höherstufen des Zertifikats zum primären Zertifikat gilt nur für selbstsignierte Zertifikate, die von AD FS generiert werden.

Das Tokensignaturzertifikat ist für die Stabilität des Verbunddients wichtig. Wenn es geändert wird, muss Azure AD über diese Änderung informiert werden. Andernfalls führen Anforderungen, die für Ihre Cloud-Dienste erfolgen, zu einem Fehler. Sie müssen das Microsoft-Installationstool für die Aktualisierungsautomatisierung der Verbundmetadaten auf Ihren primären Verbundserver oder einen anderen beschreibbaren Verbundserver herunterladen und dort konfigurieren. Der Verbundserver überwacht und aktualisiert dann automatisch und regelmäßig die Azure AD-Verbundmetadaten, damit alle Änderungen, die am Tokensignaturzertifikat im AD FS-Verbunddienst vorgenommen werden, automatisch in Azure AD repliziert werden.

So führen Sie das Tool erfolgreich aus:

  • Sie müssen mindestens einen AD FS-Verbunddienst bereitgestellt haben.

  • Sie müssen die unter Einrichten einer Vertrauensstellung zwischen AD FS und Azure AD beschriebenen Schritte ausgeführt haben.

  • Dieses Tool muss auf dem primären Verbundserver oder auf einem beschreibbaren Verbundserver ausgeführt werden.

  • Sie müssen Zugriff auf die Anmeldeinformationen des globalen Administrators für Ihren Azure AD-Mandanten besitzen.

    noteHinweis
    Wenn Sie die Anmeldeinformationen des globalen Administrators nicht auf "Kennwort – läuft nie ab" festgelegt haben, stellen Sie sicher, dass Sie das Tool mit dem neuen Kennwort erneut ausführen, nachdem das Kennwort für den globalen Administrator abgelaufen ist. Andernfalls tritt für die geplante Aufgabe ein Fehler auf.

Die folgenden Schritte sind für die Ausführung des Tools erforderlich:

  1. Laden Sie das Microsoft-Installationstool für die Aktualisierungsautomatisierung der Verbundmetadaten auf Ihren Computer herunter, und speichern Sie das Tool.

  2. Starten Sie das Windows PowerShell-Administratormodul, und wechseln Sie dann in das Verzeichnis, in das Sie das Tool kopiert haben.

  3. Geben Sie an der Eingabeaufforderung .\O365-Fed-MetaData-Update-Task-Installation.ps1 ein, und drücken Sie dann die EINGABETASTE.

  4. Geben Sie an der Eingabeaufforderung den Namen der Verbunddomäne ein, und drücken Sie dann die EINGABETASTE.

  5. Geben Sie an der Eingabeaufforderung Ihre Benutzer-ID-Anmeldeinformationen ein, und drücken Sie dann die EINGABETASTE.

  6. Geben Sie an der Eingabeaufforderung Ihre lokalen Administratoranmeldeinformationen ein, und drücken Sie dann die EINGABETASTE.

Nachdem Sie diese Schritte ausgeführt haben, erstellt das Skript eine geplante Aufgabe, die mit den lokalen Administratoranmeldeinformationen ausgeführt wird, die Sie in Schritt 6 oben bereitgestellt haben. Die geplante Aufgabe wird ein Mal pro Tag ausgeführt.

noteHinweis
Dieses Tool muss für jede Verbunddomäne in Ihrem Konto ausgeführt werden. Es bietet zurzeit keine Unterstützung für mehrere Domänen der obersten Ebene. Weitere Informationen finden Sie unter Unterstützung für mehrere Domänen auf oberster Ebene. Es wird empfohlen, die ordnungsgemäße Ausführung der geplanten Aufgabe in regelmäßigen Abständen zu überprüfen, indem Sie sicherstellen, dass die Protokolldatei erfolgreich erstellt wird.

noteHinweis
Sie können konfigurieren, wann AD FS ein neues Tokensignaturzertifikat generiert. Wenn die Zeit des Zertifikatrollovers gekommen ist, generiert AD FS ein neues Zertifikat mit dem gleichen Namen wie das ablaufende Zertifikat, jedoch mit einem anderen privaten Schlüssel und Fingerabdruck. Nachdem ein neues Zertifikat generiert wurde, wird es fünf Tage lang als sekundäres Zertifikat geführt, bevor es als primäres Zertifikat höher gestuft wird. Fünf Tage sind der Standardzeitraum. Dieser ist jedoch konfigurierbar.

Es sind weitere optionale bzw. gelegentliche Aufgaben verfügbar, die Sie ausführen können, damit der reibungslose Betrieb von einmaligem Anmelden gewährleistet wird.

Nachdem Sie Ihre Domänen als Teil der Einrichtung von einmaligem Anmelden hinzugefügt oder konvertiert haben, möchten Sie ggf. den vollqualifizierten Domänennamen Ihres AD FS-Servers der Liste der vertrauenswürdigen Websites in Internet Explorer hinzufügen. Auf diese Weise wird sichergestellt, dass Benutzer nicht zur Eingabe Ihres Kennworts für den AD FS-Server aufgefordert werden. Diese Änderung muss auf dem Client vorgenommen werden. Sie können diese Änderung auch für Ihre Benutzer vornehmen, indem Sie eine Gruppenrichtlinieneinstellung angeben, die diese URL der Liste der vertrauenswürdigen Websites für Computer, die einer Domäne angehören, automatisch hinzufügt. Weitere Informationen finden Sie unter Internet Explorer-Richtlinieneinstellungen.

AD FS stellt Administratoren die Option zur Verfügung, benutzerdefinierte Regeln zu definieren, die Benutzern den Zugriff erteilen oder verweigern. Für einmaliges Anmelden sollten die benutzerdefinierten Regeln auf die Vertrauensstellung der vertrauenden Seite angewendet werden, die dem Cloud-Dienst zugeordnet ist. Sie haben diese Vertrauensstellung beim Ausführen der Cmdlets in Windows PowerShell zum Einrichten von einmaligem Anmelden erstellt.

Weitere Informationen zum Einschränken der Anmeldung von Benutzern bei Diensten finden Sie unter Erstellen einer Regel zum Zulassen oder Ablehnen von Benutzern von Benutzern basierend auf einem eingehenden Anspruch. Weitere Informationen zum Ausführen von Cmdlets zum Einrichten von einmaligem Anmelden finden Sie unter Installieren von Windows PowerShell für einmaliges Anmelden mit AD FS.

Wenn Sie zu einem beliebigen Zeitpunkt die Einstellungen des AD FS-Servers und des Cloud-Diensts anzeigen möchten, können Sie das Microsoft Azure Active Directory-Modul für Windows PowerShell öffnen und zuerst Connect-MSOLService und dann Get-MSOLFederationProperty –DomainName <domain> ausführen. Auf diese Weise können Sie überprüfen, ob die Einstellungen für den AD FS-Server mit den Einstellungen im Cloud-Dienst konsistent sind. Wenn die Einstellungen nicht übereinstimmen, können Sie Update-MsolFederatedDomain –DomainName <domain> ausführen. Weitere Informationen finden Sie im nächsten Abschnitt "Aktualisieren der Vertrauensstellungseigenschaften".

noteHinweis
Wenn Sie mehrere Domänen auf oberster Ebene (z. B. contoso.com und fabrikam.com) unterstützen müssen, müssen Sie den Schalter SupportMultipleDomain mit allen Cmdlets verwenden. Weitere Informationen finden Sie unter Unterstützung für mehrere Domänen auf oberster Ebene.

Was möchten Sie tun?

Sie müssen die Vertrauensstellungseigenschaften für einmaliges Anmelden im Cloud-Dienst unter den folgenden Umständen aktualisieren:

  • Die URL ändert sich: Wenn Sie Änderungen an der URL für den AD FS-Server vornehmen, müssen Sie die Vertrauensstellungseigenschaften aktualisieren.

  • Das primäre Tokensignaturzertifikat hat sich geändert: Das Ändern des primären Tokensignaturzertifikats löst die Ereignis-ID 334 oder die Ereignis-ID 335 in der Ereignisanzeige für den AD FS-Server aus. Es wird empfohlen, die Ereignisanzeige regelmäßig zu überprüfen – mindestens ein Mal wöchentlich.

    Führen Sie die folgenden Schritte aus, um die Ereignisse für den AD FS-Server anzuzeigen.

    1. Klicken Sie auf Start und dann auf Systemsteuerung. Klicken Sie in der Ansicht Kategorie auf System und Sicherheit, klicken Sie auf Verwaltung, und klicken Sie dann auf Ereignisanzeige.

    2. Klicken Sie zum Anzeigen der Ereignisse für AD FS im linken Bereich der Ereignisanzeige auf Anwendungs- und Dienstprotokolle, klicken Sie auf AD FS 2.0, und klicken Sie dann auf Administrator.

  • Das Tokensignaturzertifikat läuft ein Mal pro Jahr ab: Das Tokensignaturzertifikat ist für die Stabilität des Verbunddiensts wichtig. Wenn es geändert wird, muss der Azure AD über diese Änderung informiert werden. Andernfalls führen Anforderungen, die für Ihre Cloud-Dienste erfolgen, zu einem Fehler.

    Bitte führen Sie die oben im Abschnitt Einrichten einer geplanten Aufgabe dieses Themas beschriebenen Schritte aus. Mit ihnen laden Sie das Microsoft-Installationstool für die Aktualisierungsautomatisierung der Verbundmetadaten herunter und konfigurieren es. Dieses Tool überwacht und aktualisiert die Azure AD-Verbundmetadaten automatisch und regelmäßig, damit alle am Tokensignaturzertifikat im AD FS-Verbunddienst vorgenommenen Änderungen automatisch in Azure AD repliziert werden.

Gehen Sie folgendermaßen vor, um Vertrauensstellungseigenschaften manuell zu aktualisieren:

noteHinweis
Wenn Sie mehrere Domänen auf oberster Ebene (z. B. contoso.com und fabrikam.com) unterstützen müssen, müssen Sie den Schalter SupportMultipleDomain mit allen Cmdlets verwenden. Weitere Informationen finden Sie unter Unterstützung für mehrere Domänen auf oberster Ebene.

  1. Öffnen Sie das Microsoft Azure Active Directory-Modul für Windows PowerShell.

  2. Führen Sie $cred=Get-Credential aus. Wenn Sie dieses Cmdlet zur Eingabe von Anmeldeinformationen auffordert, geben Sie die Anmeldeinformationen des Administratorkontos Ihres Cloud-Diensts ein.

  3. Führen Sie Connect-MsolService –Credential $cred aus. Dieses Cmdlet verbindet Sie mit Cloud-Dienst. Das Erstellen eines Kontexts, der Sie mit Cloud-Dienst verbindet, ist erforderlich, bevor Sie eines der anderen Cmdlets ausführen können, die das Tool installiert.

  4. Führen Sie Set-MSOLAdfscontext -Computer <AD FS primary server> aus. Dabei ist <primärer AD FS-Server> der interne FQDN-Name des primären AD FS-Servers. Dieses Cmdlet erstellt einen Kontext, der Sie mit AD FS verbindet.

    noteHinweis
    Wenn Sie das Microsoft Azure Active Directory-Modul auf dem primären -Server installiert haben, müssen Sie dieses Cmdlet nicht ausführen.

  5. Führen Sie Update-MSOLFederatedDomain –DomainName <domain> aus. Dieses Cmdlet aktualisiert die Einstellungen aus AD FS im Cloud-Dienst und konfiguriert die Vertrauensstellung zwischen AD FS und dem Cloud-Dienst.

Was möchten Sie tun?

Wenn Sie Ihren primären Server verlieren und dieser nicht wiederhergestellt werden kann, müssen Sie einen anderen Server so höher stufen, dass er zum primären Server wird. Weitere Informationen finden Sie unter AD FS 2.0 - Festlegen des primären Verbundservers in einer WID-Farm.

noteHinweis
Wenn einer der AD FS-Server ausfällt und Sie eine Farmkonfiguration mit hoher Verfügbarkeit einrichten müssen, können Benutzer auch weiterhin auf den Cloud-Dienst zugreifen. Wenn es sich bei dem ausgefallenen Server um einen primären Server handelt, können Sie keine Aktualisierungen der Farmkonfiguration ausführen, bis Sie einen anderen Server als primären Server höher stufen.

Wenn Sie alle Server in der Farm verlieren, müssen Sie die Vertrauensstellung mithilfe der folgenden Schritte erneut erstellen.

noteHinweis
Wenn Sie mehrere Domänen auf oberster Ebene (z. B. contoso.com und fabrikam.com) unterstützen müssen, müssen Sie den Schalter SupportMultipleDomain mit allen Cmdlets verwenden. Wenn Sie den Schalter SupportMultipleDomain verwenden, müssen Sie das Verfahren normalerweise für jede Ihrer Domänen ausführen. Zum Wiederherstellen Ihres AD FS-Servers müssen Sie das Verfahren jedoch nur ein Mal für ein Ihrer Domänen ausführen. Nachdem der Server wiederhergestellt wurde, stellen alle anderen Domänen für einmaliges Anmelden eine Verbindung mit dem Cloud-Dienst her. Weitere Informationen finden Sie unter Unterstützung für mehrere Domänen auf oberster Ebene.

  1. Öffnen Sie das Microsoft Azure Active Directory-Modul.

  2. Führen Sie $cred=Get-Credential aus. Wenn Sie das Cmdlet zur Eingabe von Anmeldeinformationen auffordert, geben Sie die Anmeldeinformationen des Administratorkontos Ihres Cloud-Diensts ein.

  3. Führen Sie Connect-MsolService –Credential $cred aus. Dieses Cmdlet verbindet Sie mit Cloud-Dienst. Das Erstellen eines Kontexts, der Sie mit Cloud-Dienst verbindet, ist erforderlich, bevor Sie eines der anderen Cmdlets ausführen können, die das Tool installiert.

  4. Führen Sie Set-MSOLAdfscontext -Computer <AD FS primary server> aus. Dabei ist <primärer AD FS-Server> der interne FQDN-Name des primären AD FS-Servers. Dieses Cmdlet erstellt einen Kontext, der Sie mit AD FS verbindet.

    noteHinweis
    Wenn Sie das Microsoft Azure Active Directory-Modul auf dem primären AD FS-Server installiert haben, müssen Sie dieses Cmdlet nicht ausführen.

  5. Führen Sie Update-MsolFederatedDomain –DomainName <domain> aus. Dabei ist <domain> die zu konvertierende Domäne. Dieses Cmdlet aktualisiert die Eigenschaften und richtet die Vertrauensstellung ein.

  6. Führen Sie Get-MsolFederationProperty –DomainName <domain> aus. Dabei ist <domain> die Domäne, für die Sie Eigenschaften anzeigen möchten. Anschließend können Sie die Eigenschaften aus dem primären AD FS-Server mit den Eigenschaften im Cloud-Dienst vergleichen, um sicherzustellen, dass sie übereinstimmen. Wenn sie nicht übereinstimmen, führen Sie Update-MsolFederatedDomain –DomainName <domain> erneut aus, um die Einstellungen zu synchronisieren.

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft