設定 ADFS

 

預估完成時間:20 分鐘

在內部部署組織與 Office 365 組織之間使用 Azure Active Directory Connect 搭配 Active Directory Federation Services (AD FS) 的 Active Directory 同步處理會啟用統一全域通訊清單 (GAL),且可讓您管理所有內部部署的 Active Directory 使用者帳戶。此外,Azure AD Connect 搭配 AD FS 會連接內部部署網路中的 Active Directory 以驗證使用者提供的認證。AD FS 在密碼同步化方面有數個優勢,例如從單一位置啟用和停用所有內部部署伺服器與 Office 365 的帳戶存取,對密碼需求有更大的控制權等等。

  1. 在您要安裝 Azure Active Directory Connect 的電腦上將其下載,然後再開啟它。

  2. 在 [歡迎] 頁面上,如果您同意授權合約和隱私權注意事項,請按 [下一步]。

  3. 在 [快速設定] 頁面上,按一下 [自訂]。

  4. 在 [安裝必要元件] 頁面上,按一下 [安裝]。

    您可能不需要在這個頁面上選取任何選項,除非您是大型組織。只有在您了解這些選項對部署 Azure AD Connect 搭配 AD FS 的影響時才加以選取。這份檢查清單假設未選取這些選項。

  5. 在 [使用者登入] 頁面上,選取 [和 AD FS 的同盟],然後按 [下一步]。

  6. 在 [連線到 Azure AD] 頁面上,輸入 Office 365 組織中做為全域系統管理員之使用者帳戶的使用者名稱和密碼,然後再按 [下一步]。

  7. 在 [連接您的目錄] 頁面上,選取包含您想要為混合式部署設定之 Exchange 組織的 Active Directory 樹系,然後輸入在該樹系中身為 Enterprise Administrators 群組成員之使用者帳戶的使用者名稱和密碼。按 [下一步]。

  8. 如果您想要將所有內部部署 Active Directory 使用者同步處理至 Office 365,在 [網域與 OU 篩選] 頁面上,選取 [同步所有網域和 OU]。如果您要選取特定的組織單位 (OU),請選取 [同步選取的網域及 OU],然後選取您要同步處理的 Active Directory 網域和 OU。按 [下一步]。

  9. 在 [唯一識別您的使用者] 頁面上,確定已選取 [使用者只在所有目錄顯示一次],然後按 [下一步]。

  10. 在 [篩選使用者和裝置] 頁面上,確定已選取 [同步處理所有使用者和裝置] 已選取,然後按 [下一步]。

  11. 在 [選擇性功能] 頁面上,選取 [交換混合式部署],然後按 [下一步]。

  12. 在 [AD FS 伺服器陣列] 頁面上,選取 [設定新的 Windows Server 2012 R2 AD FS 伺服器陣列]。

  13. 在 [憑證檔案] 欄位中,瀏覽至包含主體替代名稱 (SAN) 且其符合 AD FS 伺服器之外部 FQDN 的協力廠商憑證。此憑證必須包含私密金鑰。在 [主體名稱] 欄位中,選取您想要使用的 SAN,例如 sts.contoso.com。按 [下一步]。

  14. 在 [AD FS 伺服器] 頁面上,按一下 [瀏覽],選取您要在其中安裝 Azure AD Connect 搭配 AD FS 的伺服器名稱,然後按一下 [新增]。

  15. 在 [Web 應用程式 proxy 伺服器] 頁面上,按一下 [瀏覽],選取將做為外部連線之 web proxy 的伺服器名稱,然後再按一下 [新增]。

  16. 在 [Proxy 信任認證] 頁面上,輸入使用者帳戶的使用者名稱和密碼,此帳戶可以在 AD FS 伺服器上存取憑證儲存區,且該伺服器包含您稍早在這些步驟中指定的憑證,然後按 [下一步]。

  17. 在 [AD FS 服務帳戶] 頁面上,選取 [建立群組受管理的服務帳戶],輸入是企業系統管理員群組成員的使用者名稱和密碼,然後按 [下一步]。

  18. 在 [Azure AD 網域] 頁面上,選取符合您新增至 Office 365 組織之自訂網域,並符合使用者用來登入之使用者主要名稱使用者的網域。例如,如果您新增了自訂網域 contoso.com,而使用者名稱為 <user>@contoso.com,請從清單中選取 contoso.com。按 [下一步]。

  19. 在 [準備好設定] 頁面上,選取 [在設定完成的同時開始同步處理程序],然後按 [下一步]。

    此時,Azure AD Connect 會將內部部署使用者帳戶與其資訊同步處理至 Office 365 組織。這可能需要一段時間,取決於多少帳戶需要同步處理。

  20. 在 [組態完成] 頁面上,按一下 [結束]。

  21. 請確定您的防火牆設定為在 TCP 連接埠 443 上允許從外部來源到 AD FS Web Proxy 伺服器的連線。

初始的完整同步處理完成之後,Azure AD Connect 會每隔 30 分鐘執行增量同步處理。我們不支援變更此間隔。

登入 Office 365 組織的管理入口網路,並確認所有內部部署 Active Directory 使用者帳戶設定都已複寫至 Office 365:

  1. 登入 Office 365 管理中心

  2. {#Text:E16UsersOriginalPortalText#}

    按一下 [使用者],然後按一下 [作用中的使用者],以確認 Office 365 組織上列出您的內部部署使用者。

    注意事項注意事項:
    使用者帳戶出現在此處並不代表使用者信箱已移至 Office 365。顯示的帳戶只代表已經為使用者建立 Office 365 帳戶,且已從內部部署組織同步處理帳戶資訊。
  3. {#Text:E16UsersPreviewPortalText#}

    按一下 [使用者]使用者,然後按一下 [作用中的使用者],以確認 Office 365 組織上列出您的內部部署使用者。

    注意事項注意事項:
    使用者帳戶出現在此處並不代表使用者信箱已移至 Office 365。顯示的帳戶只代表已經為使用者建立 Office 365 帳戶,且已從內部部署組織同步處理帳戶資訊。

您也可以藉由使用 Active Directory 帳戶登入的方式來測試使用者是否可以登入 Office 365。您可以執行下列操作進行測試:

  • 瀏覽至 Office 365 管理中心

  • 當您收到輸入使用者名稱和密碼的提示時,請輸入內部部署使用者的使用者名稱。例如:david@contoso.com。

    在您輸入使用者名稱之後,Office 365 應該會偵測到您的網域已設定為單一登入,並重新導向至內部部署 AD FS Web Proxy 伺服器的登入要求。在這種情況下,您會看到 web proxy 伺服器提供的驗證頁面。

  • 在 AD FS web proxy 登入頁面上,確認您的使用者名稱,輸入您的密碼,然後按一下 [登入]。

    登入之後,您會前往 Office 365 入口網站。

有問題嗎?在 Office 365 論壇中尋求協助。若要存取此論壇,您需要以具有雲端式服務系統管理員存取權的帳戶登入。此論壇的網址為:Office 365 論壇

 
顯示: