逐步的視訊: 設定 ADFS Office 365 的單一登入

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:3061192
這段影片示範如何將設定使用中目錄聯盟服務 (ADF) 設定為 Office 365 一起工作。它並未涵蓋 ADFS proxy 伺服器案例。這段影片討論 ADFS 的 Windows Server 2012 R2。不過,此程序也適用於 ADFS 2.0 — 但不包括 1、 3 和 7 的步驟。在每一個這些步驟,請參閱 「 備忘稿的 ADFS 2.0 」 區段,如需有關如何在 Windows Server 2008 中使用此程序。

有用的備忘稿的視訊中的步驟

步驟 1: 安裝 Active Directory 聯盟服務

使用新增角色和功能精靈 」,以新增 ADFS。
ADFS 2.0 的備忘稿
如果您使用的 Windows Server 2008,您必須下載並安裝,才能夠使用 Office 365 的 ADFS 2.0。您可以從下列 「 Microsoft 下載中心 」 網站來取得 ADFS 2.0:


在安裝之後,使用 Windows Update若要下載並安裝所有適用的更新程式。

步驟 2: 從同盟伺服器名稱的協力廠商 CA 要求憑證

Office 365 需要 ADFS 伺服器上受信任的憑證。因此,您也必須從協力廠商憑證授權單位 (CA) 取得憑證。

當您自訂憑證要求時,請確定在 [一般名稱] 欄位中加入聯盟伺服器名稱。

在這段影片中,我們會解釋如何只產生憑證,簽章要求 (CSR)。您必須將 CSR 檔案傳送到協力廠商 CA。CA 會傳回給您的簽署的憑證。接著,請依照下列步驟執行,以將憑證匯入您的電腦憑證存放區:
  1. 執行 Certlm.msc,以開啟 [本機電腦的憑證存放區。
  2. 在瀏覽窗格中,展開個人,展開 [憑證、 [憑證] 資料夾上按一下滑鼠右鍵,然後按一下匯入
關於同盟伺服器名稱
聯盟服務名稱是您的 ADFS 伺服器的網際網路的網域名稱。Office 365 使用者會被重新導向到這個網域進行驗證。因此,請確定您新增公用網域名稱的記錄。

步驟 3: 設定 ADFS

您無法手動輸入名稱,做為同盟伺服器名稱。名稱是由本機電腦的憑證存放區中憑證的主體名稱 (也就是一般名稱) 所決定的。
ADFS 2.0 的備忘稿
在 ADFS 2.0 中,同盟伺服器名稱是由繫結至 「 預設的網站 「 網際網路資訊服務 (IIS) 」 中的憑證所決定。若要在設定 ADFS 之前,您必須連結新的憑證至預設網站。

您可以使用任何帳戶做為服務帳戶。如果服務帳戶的密碼已過期,ADFS 將會停止運作。因此,請確定帳戶的密碼設定為 [永遠不會過期。

步驟 4: 下載 Office 365 工具

Windows Azure 使用中目錄模組的 Windows PowerShell 」 和 「 Azure Active Directory 同步應用裝置都可以在 Office 365 入口網站。要取得的工具,請按一下 [使用中的使用者],然後按一下單一登入: 設定

步驟 5: 將您的網域新增到 [Office 365

視訊沒有解釋清楚如何加入,並確認您的網域到 Office 365。如需有關該程序的詳細資訊,請參閱請確認您在 Office 365 的網域.

步驟 6: 連線到辦公室 365 的 ADFS

若要連線到辦公室 365 的 ADFS,請在 Windows Azure 目錄模組的 Windows PowerShell 中執行下列命令。

附註在設定 MsolADFSContext 命令中,指定在您的內部網域,而不是聯盟伺服器名稱的 ADFS 伺服器的 FQDN。

Enable-PSRemoting Connect-MsolService Set-MsolADFSContext –computer <the FQDN of the ADFS server>Convert-MsolDomainToFederated –domain <the custom domain name you added into Office 365>
如果命令成功執行,您應該會看到下列:
  • [Microsoft Office 365 識別平台] 藉由廠商信任會新增至您的 ADFS 伺服器中。
  • 使用自訂網域名稱做為電子郵件地址的後置字元至 Office 365 入口網站登入的使用者重新導向至您的 ADFS 伺服器。

步驟 7: 同步到 Office 365 的本機 Active Directory 使用者帳戶

如果您的內部網域名稱與外部網域名稱做為電子郵件地址的後置字元不同,您必須為本機的 Active Directory 網域中的替代 UPN 尾碼新增外部網域名稱。例如,內部網域名稱是"company.local",但是外部網域名稱是"company.com"。在此情況下,您必須將 「 company.com"新增為替代的 UPN 尾碼。

使用目錄同步] 工具來同步到 Office 365 的使用者帳戶。

ADFS 2.0 的備忘稿
如果您使用 ADFS 2.0,您必須變更使用者帳戶的 UPN 從"company.local"為"company.com"before 同步到 365 的辦公室的帳戶。否則,使用者不會驗證在 ADFS 伺服器上。

步驟 8: 設定用戶端電腦的單一登入

您新增到本機內部網路區域,在 Internet Explorer 中的同盟伺服器名稱後,使用者嘗試在 ADFS 伺服器上驗證時,就是會使用 NTLM 驗證。因此,它們不會提示輸入他們的認證。

系統管理員可以實作群組原則 」 設定來加入網域的用戶端電腦上設定單一登入方案。

警告:本文為自動翻譯

內容

文章識別碼:3061192 - 最後檢閱時間:08/15/2015 02:31:00 - 修訂: 3.1

Microsoft Office 365 for enterprises, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Foundation, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2012 Foundation

  • kbsurveynew kbexpertiseinter kbhowto kbmt KB3061192 KbMtzh
意見反應