Unterstützte Szenarios für die Verwendung von AD FS, um einmaliges Anmelden in Office 365, Azure oder Windows Intune einzurichten

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 2510193 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

EINFÜHRUNG

Dieser Artikel bietet einen Überblick über die verschiedenen Active Directory-Verbunddienste (AD FS) Szenarien und deren Bedeutung für einmaliges Anmelden (SSO) in Office 365, Microsoft Azure oder Windows Intune.

WEITERE INFORMATIONEN

Als kann AD FS-Verbunddienst (für SSO genutzt) mit den meisten Diensten auf Unternehmensebene in vielerlei Hinsicht, je nach geschäftlichen Anforderungen implementiert werden. Schwerpunktmäßig die folgenden AD FS-Szenarien, wie das lokale AD FS-Verbunddienst im Internet veröffentlicht wird. Dies ist eine sehr spezielle Aspekt des AD FS-Implementierung.

Szenario 1: AD FS vollständig implementiert

Beschreibung
AD FS-Verbund Serverfarm Dienste Active Directory-Client fordert über SSO-Authentifizierung. Ein AD FS (Lastenausgleich) Verbundserverproxy macht diese Kerndienste für die Authentifizierung mit dem Internet durch Weitergabe von Anforderungen und Antworten zwischen Internetclients und den internen AD FS-Umgebung.

Empfehlungen
Dies ist die empfohlene Implementierung von AD FS Gehostet.

Annahmen zu unterstützen.
Es gibt keine Annahmen Unterstützung für dieses Szenario. Dieses Szenario wird vom Microsoft-Support unterstützt.

Szenario 2: Firewall veröffentlicht AD FS

Beschreibung
AD FS-Verbund Serverfarm Dienste Active Directory-Client fordert über SSO-Authentifizierung. Ein Microsoft Internet Security and Acceleration (ISA) / Microsoft Forefront Threat Management Gateway (TMG) Server (oder Serverfarm) macht die Basisdienste Authentifizierung mit dem Internet durch reverse-Proxy.

Einschränkungen
Erweiterte Authentifizierungsschutz muss der AD FS-Verbund Serverfarm zu diesem Zweck deaktiviert werden. Dies schwächt das Sicherheitsprofil des Systems. Aus Sicherheitsgründen wird empfohlen, dass Sie dies nicht tun.
Annahmen zu unterstützen.
Es wird angenommen, dass ISA/TMG-Firewall und reverse-Proxy-Regel korrekt implementiert sind und funktionieren. Für Microsoft-Support zur Unterstützung dieses Szenarios müssen die folgenden Bedingungen erfüllt sein:
  • Der reverse-Proxyserver über HTTPS (Port 443)-Datenverkehr zwischen dem Internetclient und dem AD FS-Server muss transparent sein.
  • Der AD FS-Server muss eine originalgetreue Kopie der SAML-Anforderungen vom Internetclient empfangen.
  • Internet-Clients müssen Treue Kopien der SAML-Antworten erhalten, als ob die Clients direkt mit dem lokalen verbunden wären AD FS-Servern.
Informationen über allgemeine Probleme, die diese Konfiguration fehlschlagen verursachen können, finden Sie unter den folgenden Ressourcen:

Szenario 3: Nicht veröffentlichte AD FS

Beschreibung
AD FS-Verbund Serverfarm Dienste Active Directory-Client fordert über SSO-Authentifizierung, und die Server-Farm ist nicht im Internet offen gelegt von jeder Methode.

Einschränkungen
Internet-Clients (einschließlich mobiler Geräte) können nicht Microsoft Cloud Service-Ressourcen verwenden. Aus Gründen der Service Level empfehlen wir, dass Sie dies nicht tun.

Outlook rich-Clients Verbindung keine mit Exchange Online-Ressourcen. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
2466333 Föderationsbenutzer Verbindung keine mit Exchange Online-Postfach
Annahmen zu unterstützen.
Es wird angenommen, dass der Kunde durch Implementierung erkennt an, dass Setup vollständig angekündigte Suite von Dienstleistungen bietet, die von Azure Active Directory (AD Azure) unterstützt werden. Unter diesen Umständen ist dieses Szenario vom Support von Microsoft unterstützt.

Szenario 4: VPN-veröffentlicht AD FS

Beschreibung

Ein AD FS-Verbundserver (oder der Verbundserverfarm) bedient Active Directory Clientanforderungen über SSO-Authentifizierung und den Server oder die Serverfarm ist nicht mit dem Internet durch eine beliebige Methode ausgesetzt. Internet-Clients Verbinden mit und ADFS-Dienste nur über ein virtuelles privates Netzwerk (VPN) Verbindung mit der lokalen Netzwerkumgebung verwenden.

Einschränkungen

Es sei denn, Internet-Clients (einschließlich mobiler Geräte) VPN-fähig sind, können sie Microsoft Cloud-Dienste nicht verwenden. Aus Gründen der Service Level empfehlen wir, dass Sie dies nicht tun.

Outlook rich Clients (einschließlich ActiveSync-Clients) Verbindung keine mit Exchange Online-Ressourcen. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
2466333 Föderationsbenutzer Verbindung keine mit Exchange Online-Postfach
Annahmen zu unterstützen.

Es wird angenommen, dass durch die Implementierung der Kunde erkennt an, dass Setup vollständig angekündigte Suite von Dienstleistungen zur Verfügung steht, die durch Identitätsverbund in Azure Active Directory unterstützt werden.

Es wird angenommen, das VPN korrekt implementiert und funktionsfähig ist. Für dieses Szenario vom Support von Microsoft unterstützt werden müssen die folgenden Bedingungen erfüllt sein:
  • Der Client kann mit der AD FS-System des DNS-Namens über HTTPS (Port 443) verbinden.
  • Der Client kann an den Endpunkt der Azure Active Directory Federation nach DNS-Namen mit entsprechenden Ports/Protocols verbinden.

Hochverfügbarkeits-AD FS und Azure AD Identitätsverbund

Jedes Szenario kann mit einem AD FS-Verbund-Einzelserver anstelle einer Serverfarm variiert werden. Es ist jedoch immer eine Microsoft Best Practice-Empfehlung, dass alle kritischen Infrastruktur-Services implementiert werden, mithilfe von Technologie mit hoher Verfügbarkeit, um den Zugriff zu vermeiden.

Lokale Verfügbarkeit von AD FS wirkt sich direkt auf die Microsoft-Cloud-Dienstverfügbarkeit für Verbundbenutzer und Service-Level liegt in der Verantwortung des Kunden. Die Microsoft TechNet-Bibliothek enthält umfassende Anweisungen zum Planen und Bereitstellen von AD FS in der lokalen Umgebung. Diese Anleitung hilft Kunden ihre Ziel-Service-Level für kritische Subsystems erreichen. Weitere Informationen finden Sie auf der folgenden TechNet-Website:
http://technet.Microsoft.com/en-us/library/adfs2 (ws

Informationsquellen

Benötigen Sie weitere Hilfe? Klicken Sie auf der Office 365-Community Website oder die Active Directory Azure-Foren Website.

Eigenschaften

Artikel-ID: 2510193 - Geändert am: Freitag, 20. Juni 2014 - Version: 12.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
Keywords: 
o365 o365e o365a o365m o365062011 pre-upgrade o365022013 after upgrade kbmt KB2510193 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 2510193
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com