(0) exportieren Drucken
Alle erweitern
Dieser Artikel wurde noch nicht bewertet - Dieses Thema bewerten.

Einrichten einer Vertrauensstellung zwischen AD FS und Windows Azure AD

Veröffentlicht: Juni 2012

Letzte Aktualisierung: Januar 2014

Betrifft: Azure, Office 365, Windows Intune

noteHinweis
Dieses Thema stellt Onlinehilfeinhalte für Cloud-Dienste zur Verfügung, z. B. für Windows Intune und Office 365, die Windows Azure Active Directory für Identitäts- und Verzeichnisdienste verwenden.

Jede Domäne, die Sie einem Verbund hinzufügen möchten, muss als Domäne für das einmalige Anmelden hinzugefügt oder aus einer Standarddomäne in eine Domäne für das einmalige Anmelden konvertiert werden. Durch das Hinzufügen oder Konvertieren einer Domäne wird eine Vertrauensstellung zwischen AD FS und Windows Azure Active Directory (Windows Azure AD) hergestellt.

ImportantWichtig
  • Wenn Sie zusätzlich zu einer Domäne der obersten Ebene (z. B. „contoso.com“) eine Unterdomäne (z. B. „corp.contoso.com“) verwenden möchten, müssen Sie ihrem Clouddienst zunächst die Domäne der obersten Ebene hinzufügen, bevor Sie die Unterdomänen hinzufügen. Wenn die Domäne der obersten Ebene für das einmalige Anmelden eingerichtet wird, werden alle Unterdomänen ebenfalls automatisch dafür eingerichtet.

  • Eine Vertrauensstellung muss nur einmal eingerichtet werden. Sie müssen die Windows Azure Active Directory-Modul für Windows PowerShell-Cmdlets nicht erneut ausführen, wenn Sie Ihrer Serverfarm weitere AD FS-Server hinzufügen.

  • Wenn Sie eine Domäne mit dem Windows Azure Active Directory-Modul hinzufügen oder überprüfen, müssen Sie verschiedene weitere Einstellungen angeben. Diese Einstellungen sind erforderlich, damit Sie die DNS-Einträge sehen können, die Sie zum Aktivieren der Domäne für die Clouddienste konfigurieren müssen.

Wenn Sie Unterstützung für mehrere Domänen der obersten Ebene benötigen, müssen Sie bei allen Cmdlets, wie den Cmdlets in den Verfahren zum Hinzufügen oder Konvertieren einer Domäne, den Schalter SupportMultipleDomain verwenden.

Um beispielsweise sowohl contoso.com als auch fabrikam.com als Domänen für einmaliges Anmelden hinzuzufügen, führen Sie das Verfahren zum Hinzufügen einer Domäne für contoso.com aus und verwenden dabei in jedem Schritt, in dem ein Cmdlet verwendet wird, den Schalter SupportMultipleDomain. In Schritt 5 verwenden Sie also New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Nachdem Sie alle Schritte des Verfahrens für contoso.com ausgeführt haben, wiederholen Sie das Verfahren für die Domäne fabrikam.com. In Schritt 5 verwenden Sie New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Weitere Informationen finden Sie unter Support for Multiple Top Level Domains (Unterstützung für mehrere Domänen der obersten Ebene).

Führen Sie eines der folgenden Verfahren aus, um Ihre Verbundvertrauensstellung mit Windows Azure AD einzurichten. Welches Verfahren für Sie geeignet ist, hängt davon ab, ob Sie eine neue Domäne hinzufügen oder eine vorhandene Domäne konvertieren müssen.

  1. Öffnen Sie die Windows Azure Active Directory-Modul.

  2. Führen Sie $cred=Get-Credential aus. Wenn Sie vom Cmdlet aufgefordert werden, Ihre Anmeldeinformationen einzugeben, geben Sie die Anmeldeinformationen für Ihr Clouddienst-Administratorkonto ein.

  3. Führen Sie Connect-MsolService –Credential $cred aus. Mit diesem Cmdlet wird eine Verbindung zu Windows Azure AD hergestellt. Vor dem Ausführen der zusätzlichen von dem Tool installierten Cmdlets muss ein Kontext erstellt werden, mit dem eine Verbindung zu Windows Azure AD hergestellt wird.

  4. Führen Sie Set-MsolAdfscontext -Computer <AD FS primary server> aus, wobei <AD FS primary server> für den internen FQDN des primären AD FS-Servers steht. Mit diesem Cmdlet wird ein Kontext erstellt, über den eine Verbindung mit AD FS hergestellt wird.

    noteHinweis
    Wenn Sie das Windows Azure Active Directory-Modul auf dem primären AD FS-Server installiert haben, müssen Sie dieses Cmdlet nicht ausführen.

  5. Führen Sie New-MsolFederatedDomain –DomainName <domain> aus, wobei <domain> für die Domäne steht, die hinzugefügt und für das einmalige Anmelden aktiviert werden soll. Durch dieses Cmdlet wird eine neue Domäne der obersten Ebene oder eine Unterdomäne hinzugefügt, die für die Verbundauthentifizierung konfiguriert wird.

    noteHinweis
    Nachdem Sie mithilfe des Cmdlets „New-MsolFederatedDomain“ eine Domäne der obersten Ebene hinzugefügt haben, können Sie mit dem Cmdlet „New-MsolDomain“ keine Standarddomänen (Nicht-Verbunddomänen) mehr hinzufügen.

  6. Wenden Sie sich mit den Informationen, die Sie nach Ausführen des Cmdlets New-MsolFederatedDomain erhalten haben, an Ihre Domänenregistrierungsstelle, damit der erforderliche DNS-Eintrag erstellt wird. Dadurch bestätigen Sie, dass Sie die Domäne besitzen. Beachten Sie, dass es – je nach Registrierungsstelle – bis zu 15 Minuten dauern kann, bis die Einstellung wirksam wird. Es kann bis zu 72 Stunden dauern, bis die Änderungen durch das gesamte System weitergegeben sind. Weitere Informationen finden Sie unter Überprüfen einer Domäne bei einer Domänennamen-Registrierungsstelle.

  7. Führen Sie New-MsolFederatedDomain ein zweites Mal aus, und geben Sie dabei denselben Domänennamen an, um den Vorgang abzuschließen.

Wenn Sie eine vorhandene Domäne in eine Domäne mit einmaligem Anmelden konvertieren, wird jeder lizenzierte Benutzer zu einem Verbundbenutzer und kann mit den vorhandenen Unternehmensanmeldeinformationen von Active Directory (Benutzername und Kennwort) auf die Clouddienste zugreifen. Das einmalige Anmelden kann zurzeit nicht phasenweise eingeführt werden. Sie können jedoch ein Pilotprojekt für das einmalige Anmelden mit einer Gruppe von Produktionsbenutzern aus Ihrer Active Directory-Produktionsgesamtstruktur ausführen. Weitere Informationen finden Sie unter Ausführen eines Pilots zum Testen von einmaligem Anmelden vor dem Konfigurieren (optional).

noteHinweis
Eine Konvertierung führen Sie am besten durch, wenn möglichst wenige Benutzer anwesend sind, beispielsweise am Wochenende, um die Auswirkungen auf die Benutzer gering zu halten.

Gehen Sie wie folgt vor, um eine vorhandene Domäne in eine Domäne mit einmaligem Anmelden zu konvertieren.

  1. Öffnen Sie die Windows Azure Active Directory-Modul.

  2. Führen Sie $cred=Get-Credential aus. Wenn Sie vom Cmdlet aufgefordert werden, Ihre Anmeldeinformationen einzugeben, geben Sie die Anmeldeinformationen für Ihr Clouddienst-Administratorkonto ein.

  3. Führen Sie Connect-MsolService –Credential $cred aus. Mit diesem Cmdlet wird eine Verbindung zu Windows Azure AD hergestellt. Vor dem Ausführen der zusätzlichen von dem Tool installierten Cmdlets muss ein Kontext erstellt werden, mit dem eine Verbindung zu Windows Azure AD hergestellt wird.

  4. Führen Sie Set-MsolAdfscontext -Computer <AD FS primary server> aus, wobei <AD FS primary server> für den internen FQDN des primären AD FS-Servers steht. Mit diesem Cmdlet wird ein Kontext erstellt, über den eine Verbindung mit AD FS hergestellt wird.

    noteHinweis
    Wenn Sie das Windows Azure Active Directory-Modul auf dem primären AD FS-Server installiert haben, müssen Sie dieses Cmdlet nicht ausführen.

  5. Führen Sie Convert-MsolDomainToFederated –DomainName <domain> aus, wobei <domain> für die zu konvertierende Domäne steht. Mit diesem Cmdlet wird für die Domäne das einmalige Anmelden statt der Standardauthentifizierung festgelegt.

noteHinweis
Zur Überprüfung, ob die Konvertierung erfolgreich war, vergleichen Sie die Einstellungen des AD FS-Servers mit denen von Windows Azure AD, indem Sie Get-MsolFederationProperty –DomainName <domain> ausführen, wobei <domain> die Domäne ist, deren Einstellungen Sie anzeigen möchten. Wenn die Einstellungen nicht übereinstimmen, können Sie Update-MsolFederatedDomain –DomainName <domain> ausführen, um sie zu synchronisieren.

Nun haben Sie eine Vertrauensstellung zwischen AD FS und Windows Azure AD eingerichtet und müssen als nächstes die Active Directory-Synchronisierung einrichten. Weitere Informationen finden Sie unter Roadmap für die Verzeichnissynchronisierung. Informationen zur weiteren Vorgehensweise nach Einrichten der Active Directory-Synchronisierung finden Sie unter Prüfen und Verwalten des einmaligen Anmeldens mit AD FS.

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.