Støttede scenarioer for bruk av AD FS til å konfigurere enkel pålogging i Microsoft 365, Azure eller Intune

  • Artikkel
  • Gjelder for:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Innledning

Denne artikkelen gir en oversikt over ulike Active Directory Federation Services (AD FS)-scenarioer og deres implikasjoner for enkel pålogging (SSO) i Microsoft 365, Microsoft Azure eller Microsoft Intune.

Mer informasjon

Som med de fleste tjenester på bedriftsnivå, kan AD FS Federation Service (utnyttes for SSO) implementeres på mange måter, avhengig av forretningsbehov. Følgende AD FS-scenarioer fokuserer på hvordan den lokale AD FS Federation Service publiseres på Internett. Dette er et svært spesifikt aspekt ved AD FS-implementering.

Scenario 1: Fullstendig implementert AD FS

Beskrivelse

En AD FS Federation server farm tjenester Active Directory klientforespørsler gjennom SSO godkjenning. En AD FS(belastningsbalansert) forbundsserverproxy viser disse kjernegodkjenningstjenestene til Internett ved å videresende forespørsler og svar frem og tilbake mellom Internett-klienter og det interne AD FS-miljøet.

Anbefalinger

Dette er den anbefalte implementeringen av AD FS.

Støtte antagelser

Det finnes ingen støtteforutsetninger for dette scenarioet. Dette scenarioet støttes av Microsoft Kundestøtte.

Scenario 2: Brannmurpublisert AD FS

Beskrivelse

En AD FS Federation server farm tjenester Active Directory klientforespørsler gjennom SSO godkjenning. En Microsoft Internet Security and Acceleration (ISA) / Microsoft Forefront Threat Management Gateway (TMG)-server (eller serverfarm) viser disse kjernegodkjenningstjenestene til Internett ved omvendt proxy.

Begrensninger

Utvidet godkjenningsbeskyttelse må være deaktivert på serverfarmen for AD FS-forbund for at dette skal fungere. Dette svekker sikkerhetsprofilen til systemet. Av sikkerhetshensyn anbefaler vi at du ikke gjør dette.

Støtte antagelser

Det antas at ISA/TMG brannmur og omvendt proxy regelen er implementert riktig og er funksjonelle. For at Microsoft Kundestøtte skal kunne støtte dette scenarioet, må følgende betingelser være oppfylt:

  • Omvendt proxy for HTTPS-trafikk (port 443) mellom Internett-klienten og AD FS-serveren må være gjennomsiktig.
  • AD FS-serveren må motta en trofast kopi av SAML-forespørsler fra Internett-klienten.
  • Internett-klienter må motta trofaste kopier av SAML-svar som om klientene var direkte knyttet til den lokale AD FS-serveren.

Hvis du vil ha informasjon om vanlige problemer som kan føre til at denne konfigurasjonen mislykkes, kan du se følgende ressurs:

Scenario 3: Ikke-publisert AD FS

Beskrivelse

En AD FS Federation serverfarm tjenester Active Directory klientforespørsler gjennom SSO godkjenning, og serverfarmen er ikke utsatt for Internett på noen måte.

Begrensninger

Internett-klienter (inkludert mobile enheter) kan ikke bruke Microsoft-skytjenesteressurser. Av hensyn til tjenestenivå anbefaler vi at du ikke gjør dette.

Rike Outlook-klienter kan ikke koble til Exchange Online ressurser. Hvis du vil ha mer informasjon, kan du gå til følgende artikkel i Microsoft Knowledge Base:

2466333 brukere i organisasjonsforbund kan ikke koble til en Exchange Online postboks

Støtte antagelser

Det antas at kunden bekrefter ved implementering at dette oppsettet ikke tilbyr den fullstendig annonserte tjenesteserien som støttes av Microsoft Entra ID. Under disse omstendighetene støttes dette scenarioet av Microsoft Kundestøtte.

Scenario 4: VPN-publisert AD FS

Beskrivelse

En AD FS Federation-server (eller forbundsserverfarm) bruker Active Directory-klientforespørsler via SSO-godkjenning, og serveren eller serverfarmen vises ikke på Internett på noen måte. Internett-klienter kobler til og bruker AD FS-tjenester bare via en virtuell privat nettverkstilkobling (VPN) til det lokale nettverksmiljøet.

Begrensninger

Med mindre Internett-klienter (inkludert mobile enheter) er VPN-kompatible, kan de ikke bruke Microsoft-skytjenester. Av hensyn til tjenestenivå anbefaler vi at du ikke gjør dette.

Rike Outlook-klienter (inkludert ActiveSync-klienter) kan ikke koble til Exchange Online ressurser. Hvis du vil ha mer informasjon, kan du gå til følgende artikkel i Microsoft Knowledge Base:

2466333 brukere i organisasjonsforbund kan ikke koble til en Exchange Online mailboxSupport-antakelser

Det antas at kunden bekrefter ved implementering at dette oppsettet ikke tilbyr den fullstendig annonserte tjenesteserien som støttes av identitetsforbundet i Microsoft Entra ID.

Det antas at VPN er implementert riktig og er funksjonell. For at dette scenarioet skal støttes av Microsoft Kundestøtte, må følgende betingelser være oppfylt:

  • Klienten kan koble til AD FS-systemet med DNS-navn via HTTPS (port 443).
  • Klienten kan koble til endepunktet for Microsoft Entra forbund med DNS-navn ved hjelp av riktige porter/protokoller.

AD FS og Microsoft Entra identitetsforbund med høy tilgjengelighet

Hvert scenario kan varieres ved hjelp av en frittstående AD FS Federation-server i stedet for en serverfarm. Det er imidlertid alltid en anbefalt fremgangsmåte for Microsoft at alle kritiske infrastrukturtjenester implementeres ved hjelp av teknologi med høy tilgjengelighet for å unngå tap av tilgang.

Lokal AD FS-tilgjengelighet påvirker direkte Microsofts skytjenestetilgjengelighet for brukere i forbund, og tjenestenivået er kundens ansvar. Microsoft TechNet-biblioteket inneholder omfattende veiledning om hvordan du planlegger og distribuerer AD FS i det lokale miljøet. Denne veiledningen kan hjelpe kunder med å nå måltjenestenivået for dette kritiske delsystemet. Hvis du vil ha mer informasjon, kan du gå til følgende TechNet-nettsted:

Active Directory Federation Services (AD FS) 2.0

Referanser

Trenger du fremdeles hjelp? Gå til Microsoft Community eller nettstedet Microsoft Entra Forums.