Office 365とAD DSの同期、AD FS 2.0を使用したシングルサインオンの作成

こんにちは、この分野で習得した知識を皆さんと共有したいと思います。

この記事は、経験豊富な管理者やエンジニアにとって有用ではない可能性があります.Googleの bingと忍耐の助けを借りてすべてを理解することができますが、期限が切れている、トピックが面白くない、またはワークフローを妨げる他のいくつかの状況が発生することがあります。 さらに、一部はウェブからスタックするため、すべてのすべてのスクリーンショットを撮る機会はありませんが、ほとんどのコンポーネントのインストールプロセスは、さらに狂気のポイントにボタンを突っ込むことになります。

リスク

ゼロ、一方向の同期、上司が気に入らなかった場合、何も機能しない、お金を割り当てない、すべてが壊れた-DirSyncとAD FSを停止し、DirSyncを削除し、AD DSのMSOL_AD_Syncアカウントを削除し、Office 365から同期アカウントを削除転送をセットアップします。

最小インフラ要件

AD FSサーバー、Windows Server 2008以降、ドメインメンバー、非ドメインコントローラー

DirSync'A用サーバー（AD DSとOffice 365を同期するためのMicrosoftユーティリティ）、Windows Server 2003以降、ドメインメンバー、非ドメインコントローラー、NET Framework 3.0または3.5およびPowershell

同じフォレストからのAD DS 2003混合\ネイティブモード以上。 ドメイン内のエンタープライズ管理者アカウント。 MSOL_AD_Syncの作成にのみ使用され、ログイン\パスワードはDirSync'eのどこにも保存されません。 アカウントには、AD DSの変更を読み取り、同期する権利が付与されます。

Office 365の管理者アカウント、Office 365でドメインを確認しました 。 ドメイン名は検証済みのドメインと一致しない場合があります。この場合、ドメインのUPNサフィックスを追加し、ユーザーをこのサフィックスにバインドするだけです。

AD FSを発行するための証明書（自己署名されたものでも、テストに使用できます）



注 ：DirSyncはポート80および443で動作し、プロキシサーバーへのログイン方法を知りません。プロキシサーバーに別の「穴」を開ける必要があるためです。 50,000人を超えるユーザーを同期するには、本格的なSQLサーバーをインストールする必要があります。

Office 365

最初にAD DSとの同期をアクティブにする必要があります。このステップは、同期をオンにするのに最大24時間（実際にはこれよりも短い）かかります。



1.ユーザーセクションのOffice 365ポータルに移動します。

2.「Active Directory Synchronization」を検索し、「セットアップ」ボタンを押します

3.表示されたウィンドウの項目番号3で、[アクティブ化]をクリックして同期をオンにします

4.パラグラフ4で、DirSyncをダウンロードします。

AD FS

AD FSをインストールする前に、IISにAD FSを公開するために使用されるドメインまたは自己署名証明書をインポートまたは生成する必要があります。



AD FS 2.0をダウンロードしてインストールします。ADFSサーバープロキシではなく、AD FSサーバーが必要です。 AD FS 2.0をインストールした後、IISに移動し、AD FSサイトをポート443と証明書にバインドします。

注 ：ポート80へのバインドを削除し、サイト設定で「SSLが必要」を有効にすることをお勧めします。 これらはすべて、IIS管理インターフェイスを介して直感的に行われます。



次に、AD FS 2.0管理コンソールに移動し、AD FS 2.0サーバー構成ウィザードまたはC：\ Program Files \ Active Directory Federation Services 2.0 \ FsConfigWizard.exeを起動します。 実際、さらに、さらに、さらに... ファームをインストールする必要があります。ADFSのサービスアカウントが望ましいです。その操作に必要な最小限の追加アクセス許可は、OU「プログラムデータ」に対する「書き込み」権限です。



リンク_https：//adfs_server_name/adfs/ls/idpinitiatedsignon.aspxをクリックして確認できます。

DirSyncをインストールする

このプロセスは非常にシンプルで、さらに完全なものです。 インストール後、構成ウィザードが開きます。 繰り返しますが、2つ目のポイントでOffice 365管理者アカウントを指定する必要があり（この時点でAD DSとの同期を有​​効にする必要があります）、3つ目の段落で管理者の管理者アカウントを指定します。 4番目の段落では、「Rich Coexistance」を含めるよう求められますが、この記事のフレームワークでは考慮しません。 インストール後、「今すぐディレクトリを同期する」のチェックを外すことができます。これにより、現在同期しないようにできますが、同期は3時間ごとにスケジュールに従ってスケジュールされます。



今、少し「魔法」

C：\ Program Files \ Microsoft Online Directory Sync \ SYNCBUS \ Synchronization Service \ UIShell \ miisclient.exeは、DirSyncの隠しGUIです（実際には、通常のFim Synchronization Serviceです）。 十分な知識があれば、設定を「試してみる」ことができますが、GUIを介した設定の変更はマイクロソフトによってサポートされていません。何か変更が必要な場合、マイクロソフトは「構成ウィザード」を再度実行します。 DirSync GUIへのアクセスが許可されていない場合は、ログインするだけでアカウントはFim Synch Serviceグループに追加されています。

強制同期は、DirSync GUIまたはPowerShellを介して実行できます。



1. Povershellを起動します

2.cd C：\ Program Files \ Microsoft Online Directory Sync

3 .. \ DirSyncConfigShell.psc1

4.新しいStart-OnlineCoexistenceSyncウィンドウで

結果は、イベントログまたはOffice 365ポータルで表示できます。





テスト実行の場合、同期するOUを選択できます。 これを行うには、GUIに移動し、SourceAD管理エージェントをダブルクリックし、[Active Directoryフォレストに接続]セクションで[コンテナー]をクリックして、必要なコンテナーを選択します。 複数のドメインがある場合は、リストから目的のドメインを選択し、「コンテナ」をクリックします。 各ドメインで繰り返します。

注 ：これを行わないと、すべてのOUのすべてのアカウントがOffice 365から「離れ」ます。 サービスアカウントとビルトインアカウントを含みます。

AD FS 2.0バンドル-Office 365

AD FSサーバーでOffice 365を操作するために、サインインアシスタントとPowerShellモジュールをダウンロードしてインストールします。 新しいショートカットが[スタート]メニューとデスクトップに表示されます。これは、Office 365を操作するためのpowershellです（最初にimport-module MSOnlineを実行すると、「通常の」powershellを使用できます）。



ドメインを統合します。

1. $ cred = Get-Credential-表示されるウィンドウで、Office 365管理アカウントのユーザー名/パスワードを入力します。

2. Connect-MsolService –Credential $ cred-Office 365に接続します。

3. Set-MsolADFSContext –コンピューター<AD FS 2.0サーバー名>-オプションの手順。ADFSサーバーがインストールされているコンピューターからではなくpowershellを実行する場合にのみ必要です。

4. Convert-MSOLDomainToFederated-domainname <domain.com>-「root」ドメインの名前を指定します。office365.domain.comを変換する必要がある場合、office365.domain.comおよびdomain.comドメインを確認する必要があります。 ただし、ドメインを変換するときは、office365.domain.comではなくdomain.comを指定する必要があります。 ドメインとすべてのサブドメインが変換されます。

注 ：この操作の後、ドメインが既にフェデレーションされているため、AD FS-Office 365バンドルが構成されていないか、正しく構成されていない場合、ユーザーはOffice 365を使用できません 。

5. Update-MSOLFederatedDomain –domainname <domain.com>



Office 365のログインページに移動してすべてが正しく行われると、パスワードフィールドが使用できなくなっていることがわかります。

ISAまたはTMGを使用してAD FSサーバーを公開する

通常のWebサイトとして公開されていますが、いくつかのニュアンスがあります。

1.高ビット文字をブロックし、httpsプロトコルのプロパティの正規化がオフになっていることを確認します。

2.リンク変換をオフにする必要があります。

3.ルールの設定で「ISAサーバーコンピュータからの要求が表示されているように見える」を確認する必要があります

4.リスナー設定で、AD FSのインストール時にIISにインポートした証明書を追加する必要があります。



公開したら、 Office 365ポータルまたはoutlook.comを使用して作業をテストできます。 SSOトラブルシューティングに最適なサイト 。

注 ：ユーザーが作業するには、ライセンスを割り当てる必要があります;テストユーザーの場合、ライセンスを手動で割り当てることができます。 powershellを使用して、ユーザーにライセンスを一括追加できます。

まとめ

その結果、ユーザーは「コンピューター」からメールボックスとパスワードを使用してOffice 365にログインできる作業インフラストラクチャになります。 すべてのパスワードはAD DSに保存されます。 パスワードは同期されません（これにはAD FSが必要です）。 ユーザー情報の変更はすべてネイティブのAD DSに対して行われ、Office 365に自動的に複製されます。



この記事が誰かに役立つことを願っています。

この経験は、FIM 2010を使用する際の「サイド」として得られました。このプログラムの周りにコミュニティがないのは残念です。将来FIMについて書く予定です。