Exportieren (0) Drucken
Alle erweitern

Einrichten einer Vertrauensstellung zwischen AD FS und Azure AD

Veröffentlicht: Juni 2012

Letzte Aktualisierung: Februar 2015

Betrifft: Azure, Office 365, Windows Intune

Jede Domäne, die als Verbunddomäne erstellt werden soll, muss als Domäne für einmaliges Anmelden hinzugefügt oder aus einer Standarddomäne in eine Domäne für einmaliges Anmelden konvertiert werden. Durch das Hinzufügen oder Konvertieren einer Domäne wird eine Vertrauensstellung zwischen dem AD FS und Microsoft Azure Active Directory (Microsoft Azure AD) erstellt.

ImportantWichtig
  • Wenn Sie zusätzlich zur Domäne auf oberster Ebene (z. B. contoso.com) eine Unterdomäne verwenden (z. B. corp.contoso.com), müssen Sie die Domäne auf oberster Ebene in Ihrem Cloud-Dienst hinzufügen, bevor Sie Unterdomänen hinzufügen. Wenn die Domäne auf oberster Ebene für einmaliges Anmelden eingerichtet ist, werden auch alle Unterdomänen automatisch mit dieser Funktion eingerichtet.

  • Das Einrichten einer Vertrauensstellung ist ein einmaliger Vorgang, und Sie müssen die Microsoft Azure Active Directory-Modul für Windows PowerShell-Cmdlets nicht erneut ausführen, wenn Sie Ihrer Serverfarm weitere AD FS-Server hinzufügen.

  • Wenn Sie eine Domäne mit dem Microsoft Azure Active Directory-Modul hinzufügen und überprüfen, müssen Sie weitere Einstellungen angeben. Diese Einstellungen sind erforderlich, damit die DNS-Einträge angezeigt werden, die Sie konfigurieren müssen, damit Ihre Domäne für die Zusammenarbeit mit Ihrem Cloud-Dienst aktiviert wird.

Wenn Sie mehrere Domänen auf oberster Ebene unterstützen müssen, müssen Sie den Schalter SupportMultipleDomain mit allen Cmdlets verwenden, z. B. mit den Cmdlets, die in den Verfahren "Hinzufügen einer Domäne" und "Konvertieren einer Domäne" verwendet werden.

Wenn Sie z. B. contoso.com und fabrikam.com als Domänen für einmaliges Anmelden hinzufügen möchten, führen Sie das Verfahren "Hinzufügen einer Domäne" für contoso.com mithilfe des Schalters SupportMultipleDomain in jedem Schritt aus, der ein Cmdlet beinhaltet. Für Schritt 5 verwenden Sie also New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Nachdem Sie alle Schritte des Verfahrens für contoso.com abgeschlossen haben, wiederholen Sie das Verfahren für die Domäne fabrikam.com. In Schritt 5 verwenden Sie New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Weitere Informationen finden Sie unter Unterstützung für mehrere Domänen auf oberster Ebene.

Führen Sie eines der folgenden Verfahren aus, um Ihre Verbundvertrauensstellung mit Azure AD davon abhängig einzurichten, ob Sie eine neue Domäne hinzufügen oder eine vorhandene Domäne konvertieren müssen.

  1. Öffnen Sie das Microsoft Azure Active Directory-Modul.

  2. Führen Sie $cred=Get-Credential aus. Wenn Sie das Cmdlet zur Eingabe von Anmeldeinformationen auffordert, geben Sie die Anmeldeinformationen des Administratorkontos Ihres Cloud-Diensts ein.

  3. Führen Sie Connect-MsolService –Credential $cred aus. Dieses Cmdlet verbindet Sie mit Azure AD. Das Erstellen eines Kontexts, der Sie mit Azure AD verbindet, ist erforderlich, bevor Sie eines der anderen Cmdlets ausführen können, die das Tool installiert.

  4. Führen Sie Set-MsolAdfscontext -Computer <AD FS primary server> aus. Dabei ist <primärer AD FS-Server> der interne FQDN-Name des primären AD FS-Servers. Dieses Cmdlet erstellt einen Kontext, der Sie mit AD FS verbindet.

    noteHinweis
    Wenn Sie das Microsoft Azure Active Directory-Modul auf dem primären AD FS-Server installiert haben, müssen Sie dieses Cmdlet nicht ausführen.

  5. Führen Sie New-MsolFederatedDomain –DomainName <domain> aus. Dabei ist <Domäne> die Domäne, die hinzugefügt und für einmaliges Anmelden aktiviert werden soll. Dieses Cmdlet fügt eine neue Domäne auf oberster Ebene oder eine Unterdomäne hinzu, die für Verbundauthentifizierung konfiguriert wird.

    noteHinweis
    Nachdem Sie das Cmdlet New-MsolFederatedDomain zum Hinzufügen einer Domäne auf oberster Ebene verwendet haben, können Sie das Cmdlet New-MsolDomain nicht zum Hinzufügen von Standarddomänen (kein Verbund) verwenden.

  6. Wenden Sie sich mit den Informationen, die durch die Ergebnisse des Cmdlets New-MsolFederatedDomain bereitgestellt wurden, an Ihre Domänenregistrierungsstelle, um den erforderlichen DNS-Eintrag zu erstellen. Auf diese Weise wird bestätigt, dass Sie der Besitzer der Domäne sind. Beachten Sie, dass diese Verteilung abhängig von Ihrer Registrierungsstelle bis zu 15 Minuten dauern kann. Es kann bis zu 72 Stunden dauern, bis die Änderungen im System verteilt werden. Weitere Informationen finden Sie unter Überprüfen einer Domäne bei einer Domänennamen-Registrierungsstelle.

  7. Führen Sie New-MsolFederatedDomain ein zweites Mal aus, und geben Sie den gleichen Domänennamen an, um den Vorgang abzuschließen.

Wenn Sie eine vorhandene Domäne in eine Domäne für einmaliges Anmelden konvertieren, wird jeder lizenzierte Benutzer zu einem Verbundbenutzer. Dabei werden seine vorhandenen Active Directory-Unternehmensanmeldeinformationen (Benutzername und Kennwort) für den Zugriff auf Ihre Cloud-Dienste verwendet. Eine mehrstufige Einführung von einmaligem Anmelden ist zurzeit nicht möglich. Sie können jedoch ein Pilotprojekt für einmaliges Anmelden mit einer Gruppe von Benutzern aus Ihrer Produktionsumgebung aus Ihrer Active Directory-Produktionsgesamtstruktur ausführen. Weitere Informationen finden Sie unter Run a pilot to test single signon before setting it up (optional).

noteHinweis
Eine Konvertierung wird am besten ausgeführt, wenn möglichst wenige Benutzer vorhanden sind (z. B. an einem Wochenende), um de Auswirkungen auf Benutzer möglichst gering zu halten.

Führen Sie die folgenden Schritte aus, um eine vorhandene Domäne in eine Domäne für einmaliges Anmelden zu konvertieren.

  1. Öffnen Sie das Microsoft Azure Active Directory-Modul.

  2. Führen Sie $cred=Get-Credential aus. Wenn Sie das Cmdlet zur Eingabe von Anmeldeinformationen auffordert, geben Sie die Anmeldeinformationen des Administratorkontos Ihres Cloud-Diensts ein.

  3. Führen Sie Connect-MsolService –Credential $cred aus. Dieses Cmdlet verbindet Sie mit Azure AD. Das Erstellen eines Kontexts, der Sie mit Azure AD verbindet, ist erforderlich, bevor Sie eines der anderen Cmdlets ausführen können, die das Tool installiert.

  4. Führen Sie Set-MsolAdfscontext -Computer <AD FS primary server> aus. Dabei ist <primärer AD FS-Server> der interne FQDN-Name des primären AD FS-Servers. Dieses Cmdlet erstellt einen Kontext, der Sie mit AD FS verbindet.

    noteHinweis
    Wenn Sie das Microsoft Azure Active Directory-Modul auf dem primären AD FS-Server installiert haben, müssen Sie dieses Cmdlet nicht ausführen.

  5. Führen Sie Convert-MsolDomainToFederated –DomainName <domain> aus. Dabei ist <Domäne> die zu konvertierende Domäne. Dieses Cmdlet ändert die Domäne aus Standardauthentifizierung in einmaliges Anmelden.

noteHinweis
Vergleichen Sie zum Überprüfen, ob die Konvertierung funktioniert hat, die Einstellungen auf dem AD FS-Server und in Azure AD, indem Sie Get-MsolFederationProperty –DomainName <domain> ausführen. Dabei ist <Domäne> die Domäne, für die Sie die Einstellungen anzeigen möchten. Wenn die Einstellungen nicht übereinstimmen, können Sie Update-MsolFederatedDomain –DomainName <domain> ausführen, um die Einstellungen zu synchronisieren.

Da Sie jetzt eine Vertrauensstellung zwischen AD FS und Azure AD eingerichtet haben, müssen Sie im nächsten Schritt die Active Directory-Synchronisierung einrichten. Weitere Informationen finden Sie unter Fahrplan zur Verzeichnissynchronisierung. Lesen Sie Überprüfen und Verwalten von einmaligem Anmelden mit AD FS, nachdem Sie die Active Directory-Synchronisierung eingerichtet haben.

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft