Einrichten einer Vertrauensstellung zwischen AD FS und Azure AD

  • Artikel

Aktualisiert: 25. Juni 2015

Gilt für: Azure, Office 365, Power BI, Windows Intune

Jede Domäne, die Sie einem Verbund hinzufügen möchten, muss als Domäne für das einmalige Anmelden hinzugefügt oder aus einer Standarddomäne in eine Domäne für das einmalige Anmelden konvertiert werden. Das Hinzufügen oder Konvertieren einer Domäne richtet eine Vertrauensstellung zwischen AD FS und Microsoft Azure Active Directory (Microsoft Azure AD) ein.

Wichtig

  • Wenn Sie zusätzlich zur Domäne auf oberster Ebene (z. B. contoso.com) eine Unterdomäne verwenden (z. B. corp.contoso.com), müssen Sie die Domäne auf oberster Ebene in Ihrem Cloud-Dienst hinzufügen, bevor Sie Unterdomänen hinzufügen. Wenn die Domäne der obersten Ebene für das einmalige Anmelden eingerichtet wird, werden alle Unterdomänen ebenfalls automatisch dafür eingerichtet.

  • Das Einrichten einer Vertrauensstellung ist ein einmaliger Vorgang, und Sie müssen das Microsoft Azure Active Directory Modul für Windows PowerShell Cmdlets nicht erneut ausführen, wenn Sie Ihrer Serverfarm weitere AD FS-Server hinzufügen.

  • Wenn Sie eine Domäne mit dem Microsoft Azure Active Directory Modul hinzufügen und überprüfen, müssen Sie mehrere zusätzliche Einstellungen angeben. Diese Einstellungen sind erforderlich, damit die DNS-Einträge angezeigt werden, die Sie konfigurieren müssen, damit Ihre Domäne für die Zusammenarbeit mit Ihrem Cloud-Dienst aktiviert wird.

Wenn Sie mehrere Domänen auf oberster Ebene unterstützen müssen, müssen Sie den Schalter SupportMultipleDomain mit allen Cmdlets verwenden, z. B. mit den Cmdlets, die in den Verfahren "Hinzufügen einer Domäne" und "Konvertieren einer Domäne" verwendet werden.

Wenn Sie z. B. contoso.com und fabrikam.com als Domänen für einmaliges Anmelden hinzufügen möchten, führen Sie das Verfahren "Hinzufügen einer Domäne" für contoso.com mithilfe des Schalters SupportMultipleDomain in jedem Schritt aus, der ein Cmdlet beinhaltet. In Schritt 5 verwenden Sie also New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Nachdem Sie alle Schritte des Verfahrens für contoso.com ausgeführt haben, wiederholen Sie das Verfahren für die Domäne fabrikam.com. In Schritt 5 verwenden Sie New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Weitere Informationen finden Sie unter Unterstützung mehrerer Domänen der obersten Ebene.

Führen Sie eine der folgenden Verfahren aus, um Ihre Verbundvertrauensstellung mit Azure AD einzurichten, je nachdem, ob Sie eine neue Domäne hinzufügen oder eine vorhandene Domäne konvertieren müssen.

  • Hinzufügen einer Domäne

  • Konvertieren einer Domäne

Hinzufügen einer Domäne

  1. Öffnen Sie das Microsoft Azure Active Directory Modul.

  2. $cred=Get-Credential ausführen. Wenn Sie vom Cmdlet aufgefordert werden, Ihre Anmeldeinformationen einzugeben, geben Sie die Anmeldeinformationen für Ihr Clouddienst-Administratorkonto ein.

  3. Connect-MsolService –Credential $cred ausführen. Dieses Cmdlet verbindet Sie mit Azure AD. Das Erstellen eines Kontexts, der Sie mit Azure AD verbindet, ist erforderlich, bevor Sie eine der zusätzlichen Cmdlets ausführen, die vom Tool installiert sind.

  4. Führen Sie aus Set-MsolAdfscontext -Computer <AD FS primary server>, wobei <der primäre AD FS-Server> der interne FQDN-Name des primären AD FS-Servers ist. Dieses Cmdlet erstellt einen Kontext, der Sie mit AD FS verbindet.

    Hinweis

    Wenn Sie das Microsoft Azure Active Directory Modul auf dem primären AD FS-Server installiert haben, müssen Sie dieses Cmdlet nicht ausführen.

  5. Führen Sie aus New-MsolFederatedDomain –DomainName <domain>, wobei <die Domäne> die Domäne ist, die für einmaliges Anmelden hinzugefügt und aktiviert werden soll. Durch dieses Cmdlet wird eine neue Domäne der obersten Ebene oder eine Unterdomäne hinzugefügt, die für die Verbundauthentifizierung konfiguriert wird.

    Hinweis

    Nachdem Sie mithilfe des Cmdlets „New-MsolFederatedDomain“ eine Domäne der obersten Ebene hinzugefügt haben, können Sie mit dem Cmdlet „New-MsolDomain“ keine Standarddomänen (Nicht-Verbunddomänen) mehr hinzufügen.

  6. Wenden Sie sich mit den Informationen, die Sie nach Ausführen des Cmdlets New-MsolFederatedDomain erhalten haben, an Ihre Domänenregistrierungsstelle, damit der erforderliche DNS-Eintrag erstellt wird. Dadurch bestätigen Sie, dass Sie die Domäne besitzen. Beachten Sie, dass es – je nach Registrierungsstelle – bis zu 15 Minuten dauern kann, bis die Einstellung wirksam wird. Es kann bis zu 72 Stunden dauern, bis die Änderungen durch das gesamte System weitergegeben sind. Weitere Informationen finden Sie unter Überprüfen einer Domäne bei jeder Domänennamenregistrierungsstelle.

  7. Führen Sie New-MsolFederatedDomain ein zweites Mal aus, und geben Sie dabei denselben Domänennamen an, um den Vorgang abzuschließen.

Konvertieren einer Domäne

Wenn Sie eine vorhandene Domäne in eine einmalige Anmeldedomäne konvertieren, wird jeder lizenzierte Benutzer zu einem Verbundbenutzer, wobei seine vorhandenen Active Directory-Unternehmensanmeldeinformationen (Benutzername und Kennwort) zum Zugriff auf Ihre Clouddienste verwendet werden. Das Ausführen eines schrittweisen Rollouts von einmaligem Anmelden ist derzeit nicht möglich; Sie können jedoch einmaliges Anmelden mit einer Reihe von Produktionsbenutzern aus Ihrer Active Directory-Produktionsstruktur pilotieren. Weitere Informationen finden Sie unter Ausführen eines Pilotprojekts zum Testen des einmaligen Anmeldens vor dem Einrichten (optional).

Hinweis

Eine Konvertierung führen Sie am besten durch, wenn möglichst wenige Benutzer anwesend sind, beispielsweise am Wochenende, um die Auswirkungen auf die Benutzer gering zu halten.

Gehen Sie wie folgt vor, um eine vorhandene Domäne in eine Domäne mit einmaligem Anmelden zu konvertieren.

  1. Öffnen Sie das Microsoft Azure Active Directory Modul.

  2. $cred=Get-Credential ausführen. Wenn Sie vom Cmdlet aufgefordert werden, Ihre Anmeldeinformationen einzugeben, geben Sie die Anmeldeinformationen für Ihr Clouddienst-Administratorkonto ein.

  3. Connect-MsolService –Credential $cred ausführen. Dieses Cmdlet verbindet Sie mit Azure AD. Das Erstellen eines Kontexts, der Sie mit Azure AD verbindet, ist erforderlich, bevor Sie eine der zusätzlichen Cmdlets ausführen, die vom Tool installiert sind.

  4. Führen Sie aus Set-MsolAdfscontext -Computer <AD FS primary server>, wobei <der primäre AD FS-Server> der interne FQDN-Name des primären AD FS-Servers ist. Dieses Cmdlet erstellt einen Kontext, der Sie mit AD FS verbindet.

    Hinweis

    Wenn Sie das Microsoft Azure Active Directory Modul auf dem primären AD FS-Server installiert haben, müssen Sie dieses Cmdlet nicht ausführen.

  5. Führen Sie aus Convert-MsolDomainToFederated –DomainName <domain>, wobei <die Domäne> die zu konvertierende Domäne ist. Mit diesem Cmdlet wird für die Domäne das einmalige Anmelden statt der Standardauthentifizierung festgelegt.

Hinweis

Um zu überprüfen, ob die Konvertierung funktioniert hat, vergleichen Sie die Einstellungen auf dem AD FS-Server und in Azure AD, indem Sie ausführen Get-MsolFederationProperty –DomainName <domain>, wobei <die Domäne> die Domäne ist, für die Sie Einstellungen anzeigen möchten. Wenn die Einstellungen nicht übereinstimmen, können Sie Update-MsolFederatedDomain –DomainName <domain> ausführen, um sie zu synchronisieren.

Nächster Schritt

Da Sie jetzt eine Vertrauensstellung zwischen AD FS und Azure AD eingerichtet haben, müssen Sie im nächsten Schritt die Active Directory-Synchronisierung einrichten. Weitere Informationen finden Sie in der Roadmap zur Verzeichnissynchronisierung. Nachdem Sie die Active Directory-Synchronisierung eingerichtet haben, lesen Sie "Überprüfen und Verwalten des einmaligen Anmeldens mit AD FS".

Weitere Informationen

Konzepte

Prüfliste: Verwenden von AD FS zur Implementierung und Verwaltung des einmaligen Anmeldens
Einmaliges Anmelden: Roadmap