Configurar o AD FS para o Microsoft 365 para Sign-On Único

Este vídeo mostra como configurar o AD FS (Active Directory Federation Service) para trabalhar em conjunto com o Microsoft 365. Ele não abrange o cenário do servidor proxy do AD FS. Este vídeo discute o AD FS para Windows Server 2012 R2. No entanto, o procedimento também se aplica ao AD FS 2.0 – com exceção das etapas 1, 3 e 7. Em cada uma dessas etapas, consulte a seção "Anotações para AD FS 2.0" para obter mais informações sobre como usar esse procedimento no Windows Server 2008.

Notas úteis para as etapas no vídeo

Etapa 1: Instalar Serviços de Federação do Active Directory (AD FS)

Adicione o AD FS usando o Assistente de Adicionar Funções e Recursos.

Notas do AD FS 2.0

Se você estiver usando o Windows Server 2008, deverá baixar e instalar o AD FS 2.0 para poder trabalhar com o Microsoft 365. Você pode obter o AD FS 2.0 no seguinte site do Centro de Download da Microsoft:

Serviços de Federação do Active Directory (AD FS) 2.0 RTW

Após a instalação, use Windows Update para baixar e instalar todas as atualizações aplicáveis.

Etapa 2: solicitar um certificado de uma AC de terceiros para o nome do servidor federação

O Microsoft 365 requer um certificado confiável no servidor do AD FS. Portanto, você deve obter um certificado de uma autoridade de certificação de terceiros (AC).

Ao personalizar a solicitação de certificado, certifique-se de adicionar o nome do servidor Federação no campo Nome comum .

Neste vídeo, explicamos apenas como gerar uma CSR (solicitação de assinatura de certificado). Você deve enviar o arquivo CSR para uma AC de terceiros. A AC retorna um certificado assinado para você. Em seguida, siga estas etapas para importar o certificado para o repositório de certificados do computador:

1. Execute Certlm.msc para abrir o repositório de certificados do computador local.
2. No painel de navegação, Expanda Pessoal, expanda Certificado, clique com o botão direito do mouse na pasta Certificado e clique em Importar.

Sobre o nome do servidor federação

O nome do Serviço de Federação é o nome de domínio voltado para a Internet do servidor do AD FS. O usuário do Microsoft 365 é redirecionado para esse domínio para autenticação. Portanto, certifique-se de adicionar um registro A público para o nome do domínio.

Etapa 3: Configurar o AD FS

Você não pode digitar manualmente um nome como o nome do servidor federação. O nome é determinado pelo nome da entidade (nome comum) de um certificado no repositório de certificados do computador local.

Notas do AD FS 2.0

No AD FS 2.0, o nome do servidor da Federação é determinado pelo certificado que se associa ao "Site Padrão" nos Serviços de Informações da Internet (IIS). Você deve associar o novo certificado ao site Padrão antes de configurar o AD FS.

Você pode usar qualquer conta como a conta de serviço. Se a senha da conta de serviço tiver expirado, o AD FS deixará de funcionar. Portanto, verifique se a senha da conta está definida para nunca expirar.

Etapa 4: Baixar ferramentas do Microsoft 365

O módulo do Windows Azure Active Directory para Windows PowerShell e o Azure Active Directory Sync dispositivo estão disponíveis no portal do Microsoft 365. Para obter as ferramentas, clique em Usuários Ativos e clique em Logon único: Configurar.

Etapa 5: Adicionar seu domínio ao Microsoft 365

O vídeo não explica como adicionar e verificar seu domínio ao Microsoft 365. Para obter mais informações sobre esse procedimento, consulte Verificar seu domínio no Microsoft 365.

Etapa 6: Conectar o AD FS ao Microsoft 365

Para conectar o AD FS ao Microsoft 365, execute os seguintes comandos no Módulo do Windows Azure Directory para Windows PowerShell.

NotaSet-MsolADFSContext No comando, especifique o FQDN do servidor AD FS em seu domínio interno em vez do nome do servidor federação.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>

Se os comandos forem executados com êxito, você verá o seguinte:

• Um "Microsoft 365 Identifi Platform" Trust confiável é adicionado ao servidor do AD FS.
• Os usuários que usam o nome de domínio personalizado como sufixo de endereço de email para fazer logon no portal do Microsoft 365 são redirecionados para o servidor do AD FS.

Etapa 7: Sincronizar contas de usuário locais do Active Directory com o Microsoft 365

Se o nome de domínio interno difere do nome de domínio externo usado como sufixo de endereço de email, você precisará adicionar o nome do domínio externo como um sufixo UPN alternativo no domínio local do Active Directory. Por exemplo, o nome de domínio interno é "company.local", mas o nome de domínio externo é "company.com". Nessa situação, você precisa adicionar "company.com" como um sufixo UPN alternativo.

Sincronize as contas de usuário com o Microsoft 365 usando a Ferramenta de Sincronização de Diretórios.

Notas do AD FS 2.0

Se você estiver usando o AD FS 2.0, deverá alterar o UPN da conta de usuário de "company.local" para "company.com" antes de sincronizar a conta com o Microsoft 365. Caso contrário, o usuário não será validado no servidor do AD FS.

Etapa 8: configurar o computador cliente para Sign-On único

Depois de adicionar o nome do servidor federação à zona de Intranet local na Internet Explorer, a autenticação NTLM é usada quando os usuários tentam se autenticar no servidor do AD FS. Portanto, eles não são solicitados a inserir suas credenciais.

Os administradores podem implementar Política de Grupo configurações para configurar uma solução de Sign-On única em computadores cliente que são ingressados no domínio.