Поддерживаемые сценарии использования AD FS для настройки единого входа в Microsoft 365, Azure или Intune

  • Статья
  • Применяется к:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Введение

В этой статье приводятся общие сведения о различных сценариях службы федерации Active Directory (AD FS) (AD FS) и их последствиях для единого входа в Microsoft 365, Microsoft Azure или Microsoft Intune.

Дополнительная информация

Как и большинство служб корпоративного уровня, служба федерации AD FS (используется для единого входа) может быть реализована разными способами в зависимости от бизнес-потребностей. В следующих сценариях AD FS основное внимание уделяется публикации локальной службы федерации AD FS в Интернете. Это очень специфический аспект реализации AD FS.

Сценарий 1. Полная реализация AD FS

Описание

Ферма серверов федерации AD FS обслуживает запросы клиента Active Directory через проверку подлинности единого входа. Прокси-сервер федерации AD FS (с балансировкой нагрузки) предоставляет эти основные службы проверки подлинности в Интернете путем ретрансляции запросов и ответов между интернет-клиентами и внутренней средой AD FS.

Рекомендации

Это рекомендуемая реализация AD FS.

Допущения поддержки

Для этого сценария нет предположений о поддержке. Этот сценарий поддерживается служба поддержки Майкрософт.

Сценарий 2. Опубликовано брандмауэром AD FS

Описание

Ферма серверов федерации AD FS обслуживает запросы клиента Active Directory через проверку подлинности единого входа. Сервер (или ферма серверов) Microsoft Internet Security and Acceleration (ISA) или Microsoft Forefront Threat Management Gateway (TMG) предоставляет эти основные службы проверки подлинности в Интернете с помощью обратного прокси-сервера.

Ограничения

Чтобы это работало, в ферме серверов федерации AD FS должна быть отключена расширенная защита проверки подлинности. Это ослабляет профиль безопасности системы. Из соображений безопасности рекомендуется не делать этого.

Допущения поддержки

Предполагается, что брандмауэр ISA/TMG и правило обратного прокси-сервера реализованы правильно и работают. Чтобы служба поддержки Майкрософт поддерживали этот сценарий, должны выполняться следующие условия:

  • Обратный прокси-сервер трафика HTTPS (порт 443) между интернет-клиентом и сервером AD FS должен быть прозрачным.
  • Сервер AD FS должен получать верную копию запросов SAML от интернет-клиента.
  • Интернет-клиенты должны получать верные копии ответов SAML, как если бы клиенты были напрямую подключены к локальному серверу AD FS.

Сведения о распространенных проблемах, которые могут привести к сбою этой конфигурации, см. в следующем ресурсе:

Сценарий 3. Не опубликовано AD FS

Описание

Ферма серверов федерации AD FS обслуживает запросы клиента Active Directory через проверку подлинности единого входа, и ферма серверов не предоставляется в Интернет ни с помощью каких-либо методов.

Ограничения

Интернет-клиенты (включая мобильные устройства) не могут использовать ресурсы облачной службы Майкрософт. По причинам уровня обслуживания рекомендуется не делать этого.

Расширенные клиенты Outlook не могут подключаться к Exchange Online ресурсам. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

2466333 федеративным пользователям не удается подключиться к почтовому ящику Exchange Online

Допущения поддержки

Предполагается, что клиент признает реализацией, что эта настройка не предоставляет полностью объявленный набор служб, поддерживаемых Microsoft Entra ID. В таких обстоятельствах этот сценарий поддерживается служба поддержки Майкрософт.

Сценарий 4. Ad FS, опубликованная VPN

Описание

Сервер федерации AD FS (или ферма серверов федерации) обслуживает клиентские запросы Active Directory через проверку подлинности единого входа, и сервер или ферма серверов не предоставляются в Интернете никакими способами. Интернет-клиенты подключаются к службам AD FS и используют их только через vpn-подключение к локальной сетевой среде.

Ограничения

Если интернет-клиенты (включая мобильные устройства) не поддерживают VPN, они не могут использовать облачные службы Майкрософт. По причинам уровня обслуживания рекомендуется не делать этого.

Расширенные клиенты Outlook (включая клиенты ActiveSync) не могут подключаться к Exchange Online ресурсам. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

2466333 федеративным пользователям не удается подключиться к почтовому ящику Exchange Online Поддерживаемые возможности

Предполагается, что клиент признает реализацией, что эта настройка не предоставляет полностью объявленный набор служб, поддерживаемых федерацией удостоверений в Microsoft Entra ID.

Предполагается, что VPN реализован правильно и работает. Чтобы этот сценарий поддерживался служба поддержки Майкрософт, должны выполняться следующие условия:

  • Клиент может подключиться к системе AD FS по DNS-имени через HTTPS (порт 443).
  • Клиент может подключаться к конечной точке федерации Microsoft Entra по DNS-имени, используя соответствующие порты и протоколы.

Федерация удостоверений AD FS с высоким уровнем доступности и Microsoft Entra удостоверений

Каждый сценарий можно варьировать с помощью автономного сервера федерации AD FS вместо фермы серверов. Однако корпорация Майкрософт всегда рекомендует реализовать все критически важные службы инфраструктуры с использованием технологии высокого уровня доступности, чтобы избежать потери доступа.

Доступность локальной службы AD FS напрямую влияет на доступность облачной службы Майкрософт для федеративных пользователей, и за ее уровень обслуживания отвечает клиент. Библиотека Microsoft TechNet содержит подробные рекомендации по планированию и развертыванию AD FS в локальной среде. Это руководство поможет клиентам достичь целевого уровня обслуживания для этой критической подсистемы. Дополнительные сведения см. на следующем веб-сайте TechNet:

Службы федерации Active Directory (AD FS) 2.0

Ссылки

Требуется дополнительная помощь? Перейдите на веб-сайт Сообщества Майкрософт или на веб-сайт форумов Microsoft Entra.