Назад | Перейти на главную страницу

ADFS все еще активен, но домены Office 365 не объединены

Я унаследовал сеть, в которой в какой-то момент в компании одновременно работали Dirsync с ADFS и Azure AD Connect. Я не знаю, какой вред это могло причинить. После этого Dirsync был удален. Azure AD Connect был удален, переустановлен и перенастроен.

Перемотка вперед. Если сервер ADFS, на котором все еще выполняется роль ADFS, выйдет из строя, Office 365 не будет проверять подлинность пользователей ни через OWA, ни через Outlook. Когда я использую get-msolservice для своей учетной записи O365, все четыре моих домена говорят «Управляемый» при проверке подлинности, что, как я понимаю, в этот момент не является федеративным.

На локальном сервере ADFS существует доверие проверяющей стороны, созданное с URL-адресом, который, если его отключить в автономном режиме, также нарушит аутентификацию с OWA / Outlook.

Кто-нибудь знает, нужно ли мне просто удалить роль ADFS на сервере, и исправит ли это связь между O365 и Active Directory. Нам не нужен ADFS, мы просто хотим сделать Azure AD Connect.

Спасибо, Б

Здесь нужно кое-что понять. Office 365 предлагает несколько различных способов проверки подлинности через него.

Стандартно это будет Только облако где учетные записи существуют только в Office 365. Имена пользователей и пароли создаются администраторами и поддерживаются отдельно от любых других удостоверений, которые может иметь пользователь.

Azure AD Connect позволяет синхронизировать удостоверения, чтобы метаданные (имя пользователя, отображаемое имя, электронная почта) и, следовательно, соответствовали Office 365. Azure AD Connect также имеет возможность синхронизировать пароли, где хешированная версия пароля ваших пользователей из AD будет синхронизироваться с Azure AD, на которой работает Office 365.

Это даст пользователям «одинаковый вход в систему», он не будет автоматически регистрировать пользователя в Office 365, когда они уже вошли в AD на своем компьютере, но учетные данные такие же, что упрощает Пользователь.

Затем у нас есть параметры единого входа, здесь концепция заключается в том, что пользователь входит в систему только один раз, когда они вошли в систему, будет использоваться токен, который машина уже имеет с AD, и автоматически войдет в систему пользователя. такие службы, как Office 365, без необходимости ввода учетных данных пользователем.

С ADFS вы можете получить единый вход. Для работы ADFS с Office 365 абсолютно необходимо, чтобы вы запускали Azure AD Connect (DirSync) и чтобы ваши локальные учетные данные совпадали с синхронизированными с облаком.

Вы сообщите Office 365, что домен является федеративным, это в основном говорит о том, что когда пользователь пытается войти в Office 365, он должен запрашивать не Azure AD, но он перенаправляет пользователя на сервер ADFS и аутентифицируется там, ADFS Затем сервер сообщит Office 365, что пользователь прошел проверку подлинности, и разрешит пользователю войти в систему.

Если вы удалите ADFS, но сохраните Azure AD Connect, у вас будет такой же опыт входа в систему (хотя можно выполнить единый вход с помощью более новая версия Azure AD Connect)

Чтобы удалить ADFS из этой настройки, вам необходимо Преобразуйте свои федеративные домены в Office 365 в управляемые домены

Надеюсь, это поможет разобраться в настройке и ответит на ваши вопросы.

редактировать
Только что понял, что пропустил часть вашего вопроса.
Вы можете легко проверить, пытается ли Office 365 интегрировать домен через ADFS. Если вы пойдете в https://portal.office.com и введите something@domain.tld и нажмите Enter, он проверит, является ли домен, в данном случае domain.tld, федеративным, если это так, он перенаправит ваш логин на страницу входа ADFS, если нет, он сохранит его в Office 365.

Если он находится в Office 365, вы можете продолжить и удалить серверы ADFS (по крайней мере, с точки зрения Office 365, если вы аутентифицируетесь у других поставщиков, вам также нужно будет у них проверить).