Stapsgewijze video: ADFS instellen voor Office 365 voor eenmalige aanmelding

Van toepassing: Windows Server 2012 R2 DatacenterWindows Server 2012 R2 EssentialsWindows Server 2012 R2 Standard

Deze video wordt uitgelegd hoe het instellen van Active Directory Federation Service (AD FS) gebruiken in combinatie met Office 365. Dit geldt niet voor het AD FS-scenario voor proxy server. In deze video wordt AD FS voor Windows Server 2012 R2 beschreven. Echter, de procedure geldt ook voor AD FS 2.0, met uitzondering van stap 1, 3 en 7. In elk van deze stappen, Zie de sectie 'Opmerkingen voor ADFS 2.0' voor meer informatie over het gebruik van deze procedure in Windows Server 2008.

Nuttige Info voor de stappen in de video


Stap 1: Installeer Active Directory Federation Services

AD FS met behulp van functies toevoegen en de Wizard Functies toevoegen.

Notities voor ADFS 2.0
Als u Windows Server 2008, moet u downloaden en installeren van ADFS 2.0 te kunnen werken met Office 365. U kunt AD FS 2.0 downloaden vanaf de volgende website van Microsoft Download Center:


Gebruik na de installatie van Windows Update downloaden en installeren van alle van toepassing zijnde updates.

Stap 2: Een certificaat aanvragen bij een Certificeringsinstantie van derden voor de Federation-server

Office 365 is een vertrouwd certificaat op de AD FS-server vereist. Daarom moet u een certificaat verkrijgen van een externe certificeringsinstantie (CA).

Als u de aanvraag wilt aanpassen, moet u de naam van de Federation-server toevoegen in het veld algemene naam .

In deze video leggen we alleen het genereren van een certificaat ondertekenen request (CSR). U moet de CSR-bestand verzenden naar een Certificeringsinstantie van derden. De Certificeringsinstantie retourneert u een ondertekend certificaat. Volg deze stappen uit om het certificaat te importeren in het certificaatarchief van uw computer:
  1. Certlm.msc om te openen het certificaatarchief van de lokale computer worden uitgevoerd.
  2. In het navigatiedeelvenster uitvouwen persoonlijke certificaatte vouwen, klik met de rechtermuisknop op de map certificaat en klik op importeren.
Over de naam van de Federation-server
De naam van de Federation-Service is de domeinnaam van de internetverbinding van uw AD FS-server. De Office 365-gebruiker wordt omgeleid naar dit domein voor verificatie. Zorg ervoor dat u een openbare toevoegt een record voor de domeinnaam.

Stap 3: AD FS configureren

U kunt geen naam handmatig typen als de naam van de Federation-server. De naam wordt bepaald door de naam (Common name) van een certificaat in het certificaatarchief van de lokale computer.
Notities voor ADFS 2.0
In AD FS 2.0, wordt de naam van de Federation-server bepaald door het certificaat dat wordt gekoppeld aan "Standaardwebsite" in Internet Information Services (IIS). Voordat u AD FS configureert, moet u het nieuwe certificaat binden aan de standaardwebsite.

U kunt een account als de serviceaccount. Als het wachtwoord van de serviceaccount is verlopen, werkt AD FS niet meer. Zorg ervoor dat het wachtwoord van de account nooit verloopt is ingesteld.

Stap 4: Office 365-tools downloaden

Windows Azure Active Directory-Module voor Windows PowerShell en Azure Active Directory sync toestel zijn beschikbaar in Office 365 portal. Als u de hulpprogramma's, klikt u op Actieve gebruikersen klik vervolgens op eenmalige aanmelding: instellen van.

Stap 5: Uw domein toevoegen aan Office 365

De video wordt niet uitgelegd hoe toe te voegen en te controleren of uw domein van Office 365. Zie voor meer informatie over deze procedure controleren of uw domein in Office 365.

Stap 6: Verbinding maken met AD FS Office 365

Voer de volgende opdrachten in Windows Azure Directory-Module voor Windows PowerShell voor AD FS verbinding met Office 365.

Opmerking Geef de FQDN-naam van de AD FS-server in het interne domein in plaats van de naam van de Federation-server in de opdracht Set-MsolADFSContext.

Enable-PSRemoting Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the ADFS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Office 365>
Als de opdrachten worden uitgevoerd, raadpleegt u het volgende:
  • Een 'Microsoft Office 365 identificeren Platform' vertrouwen partij vertrouwen wordt toegevoegd aan de AD FS-server.
  • Gebruikers die de naam van het aangepaste domein als een achtervoegsel e-mailadres gebruikt voor aanmelding bij de Office 365 portal worden omgeleid naar de AD FS-server.

Stap 7: Sync lokale Active Directory-gebruikersaccounts met Office 365

Als de interne domeinnaam van de naam van het externe domein dat wordt gebruikt als een achtervoegsel e-mailadres verschilt, hebt u de naam van het externe domein toevoegen als een alternatief UPN-achtervoegsel in het lokale Active Directory-domein. Bijvoorbeeld de interne domeinnaam is 'company.local', maar de naam van het externe domein is "company.com". In dit geval moet u "company.com" als een alternatief UPN-achtervoegsel toevoegen.

De gebruikersaccounts voor Office 365 via Directory Sync synchroniseren.

Notities voor ADFS 2.0
Als u AD FS 2.0 gebruikt, moet u de UPN van de gebruikersaccount van de 'company.local' naar 'company.com' wijzigen voordat u de Office 365-account synchroniseren. Anders wordt de gebruiker niet worden gevalideerd op de AD FS-server.

Stap 8: De clientcomputer voor eenmalige aanmelding configureren

Nadat u de naam van de Federation-server toegevoegd aan de lokale intranetzone in Internet Explorer, wordt het NTLM-verificatie wanneer gebruikers proberen te verifiëren op de AD FS-server gebruikt. Ze zijn daarom niet gevraagd hun referenties op te geven.

Beheerders kunnen instellingen voor Groepsbeleid om een oplossing voor eenmalige aanmelding configureren op clientcomputers die lid zijn van het domein te implementeren.