配置 ADFS

 

估计完成时间:20 分钟

使用在本地组织与 Office 365 组织之间启用了 Active Directory 联合身份验证服务 (AD FS) 的 Azure Active Directory Connect 的 Active Directory 同步启用统一的全局地址列表 (GAL),并允许您本地管理所有 Active Directory 用户帐户。此外,Azure AD Connect 使用 AD FS 与您的本地网络中的 Active Directory 相连接,以验证用户提供的凭据。AD FS 在密码同步方面有几大优势,如从一个位置跨所有本地服务器和 Office 365 启用和禁用帐户访问,更好地控制密码要求及其他优势。

我该如何做?

  1. 在您将要安装 Azure Active Directory Connect 的计算机进行下载,然后将其打开。

  2. 如果您同意许可条款和隐私声明,请在“欢迎”页上,单击“下一步”。

  3. 在“快速设置”页上,单击“自定义”。

  4. 在“安装所需的组件”页上,单击“安装”。

    您可能不需要选择此页上的任何选项,除非您是大型组织。只有您了解这些选项对使用 AD FS 的 Azure AD Connect 的部署的影响,才选择这些选项。此检查表假定尚未选择任何选项。

  5. 在“用户登录”页上,选择“使用 AD FS 进行联合身份验证”,然后单击“下一步”。

  6. 在“连接到 Azure AD”页上,输入作为 Office 365 组织中全局管理员的用户帐户的用户名和密码,然后单击“下一步”。

  7. 在“连接目录”页上,选择包含您要为其配置混合部署的 Exchange 组织的 Active Directory 林,然后输入作为该林中企业管理员组的成员的用户帐户的用户名和密码。单击“下一步”。

  8. 在“域和 OU 筛选”页面上,如果想要将所有本地 Active Directory 用户同步到 Office 365 中,请选择“同步所有域和 OU”。如果想要选择一个特定的组织单位 (OU),请选择“同步选定的域和 OU”,然后选择要同步的 Active Directory 域和 OU。单击“下一步”。

  9. 在“唯一标识用户”页上,确保选中“用户仅跨所有目录表示一次”,然后单击“下一步”。

  10. 在“筛选用户和设备”页上,确保选中“同步所有用户和设备”,然后单击“下一步”。

  11. 在“可选功能”页上,选择“Exchange 混合部署”,然后单击“下一步”。

  12. 在“AD FS 场”页面上,选择“配置新 Windows Server 2012 R2 AD FS 场”。

  13. 在“证书文件”字段中,浏览到包含与 AD FS 服务器的外部 FQDN 匹配的使用者可选名称 (SAN) 的第三方证书。此证书必须包含私钥。在“使用者名称”字段中,选择您想要使用的 SAN,例如 sts.contoso.com。单击“下一步”。

  14. 在“AD FS 服务器”页上,单击“浏览”,选择您要安装使用 AD FS 的 Azure AD Connect 的服务器的名称,然后单击“添加”。

  15. 在“Web 应用程序代理服务器”页上,单击“浏览”,选择将充当外部连接的 Web 代理的服务器的名称,然后单击“添加”。

  16. 在“代理信任凭据”页上,输入可以在包含在之前的步骤中指定的证书的 AD FS 服务器上访问证书存储的用户帐户的用户名和密码,然后单击“下一步”。

  17. 在“AD FS 服务帐户”页面上,选择“创建一个托管服务帐户的组”,输入企业管理员组一名成员的用户名和密码,然后单击“下一步”。

  18. 在“Azure AD 域”页上,选择与添加到 Office 365 组织的自定义域匹配且与用户登录所用的“用户主体名称”用户匹配的域。例如,如果您添加了自定义域 contoso.com,且用户名为 <用户>@contoso.com,则从列表中选择 contoso.com。单击“下一步”。

  19. 在“准备配置”页上,选择“在配置完成后立即启动同步过程”,然后单击“下一步”。

    此时,Azure AD Connect 会将您的本地用户帐户及其信息同步到您的 Office 365 组织。根据需要同步的帐户数,这可能需要一段时间。

  20. 在“配置完成”页上,单击“退出”。

  21. 请确保您的防火墙配置为允许外部源在 TCP 端口 443 上连接到您的 AD FS Web 代理服务器。

初始完全同步完成后,Azure AD Connect 将每 30 分钟执行一次增量同步。我们并不支持更改此间隔。

我如何知道这有效?

登录到 Office 365 组织的管理门户,并验证所有本地 Active Directory 用户帐户设置是否已复制到 Office 365:

  1. 登录到 Office 365 管理中心

  2. {#Text:E16UsersOriginalPortalText#}

    依次单击“用户”和“活动用户”,验证本地用户是否列在 Office 365 组织中。

    备注

    只是因为此处显示了用户帐户,并不意味着用户邮箱已移至 Office 365。显示的帐户仅表示已为用户创建了 Office 365 帐户,并且已从本地组织同步了帐户信息。

  3. {#Text:E16UsersPreviewPortalText#}

    依次单击“用户用户和“活动用户”,验证本地用户是否列在 Office 365 组织中。

    备注

    只是因为此处显示了用户帐户,并不意味着用户邮箱已移至 Office 365。显示的帐户仅表示已为用户创建了 Office 365 帐户,并且已从本地组织同步了帐户信息。

您还可以测试用户是否可以通过使用本地 Active Directory 帐户尝试登录来登录到 Office 365。可以通过执行以下操作进行测试:

  • 浏览到 Office 365 管理中心

  • 在系统提示您提供用户名和密码时,请键入本地用户的用户名。例如,david@contoso.com。

    键入用户名后,Office 365 应检测您的域配置为单一登录并将登录请求重新定向到您的本地 AD FS Web 代理服务器。这种情况下,您将看到 Web 代理服务器提供的身份验证页。

  • 在 AD FS Web 代理服务器登录页上,确认您的用户名,输入您的密码,然后单击“登录”。

    登录后,您应转到 Office 365 门户。

有疑问吗?请在 Office 365 论坛中寻求帮助。若要访问论坛,您需要使用已拥有对基于云的服务的管理员访问权限的帐户进行登录。请访问以下论坛:Office 365 论坛