ADFS все еще активна, но домены Office 365 не объединены
Я унаследовал сеть, в которой в какой-то момент в компании одновременно работали Dirsync с ADFS и Azure AD Connect. Я не знаю, какой вред это могло причинить. Dirsync был затем удален. Azure AD Connect был удален, переустановлен и перенастроен.
Перемотка вперед. Если сервер ADFS, на котором все еще выполняется роль ADFS, выходит из строя, Office 365 не будет аутентифицировать пользователей ни через OWA, ни через Outlook. Когда я использую get-msolservice для своей учетной записи O365, все четыре моих домена говорят "Управляемый" в процессе аутентификации, что, насколько я понимаю, на данный момент не является федерацией.
На локальном сервере ADFS существует доверие проверяющей стороны, созданное с помощью URL-адреса, который при отключении от сети также нарушает аутентификацию в OWA/Outlook.
Кто-нибудь знает, следует ли мне просто удалить роль ADFS на сервере и исправит ли это связь между O365 и Active Directory. Нам не нужна ADFS, мы просто хотим использовать Azure AD Connect.
Спасибо б
1 ответ
Несколько вещей, чтобы понять здесь. Office 365 предлагает несколько различных способов проверки подлинности.
Как правило, это будет Облако только там, где учетные записи существуют только в Office 365. Имена пользователей и пароли создаются администраторами и поддерживаются отдельно от любых других идентификационных данных, которые может иметь пользователь.
Azure AD Connect позволяет синхронизировать удостоверения таким образом, чтобы метаданные (имя пользователя, отображаемое имя, адрес электронной почты) и т. Д. Соответствовали Office 365. Azure AD Connect также имеет возможность синхронизировать пароли, где хешированная версия пароля вашего пользователя из AD будет синхронизирован с Azure AD, на которой работает Office 365.
Это даст пользователям возможность "Единого входа", при этом он не будет автоматически регистрировать пользователя в Office 365, когда они уже зарегистрированы в AD на своем компьютере, но учетные данные совпадают, что облегчает Пользователь.
Тогда у нас есть параметры единого входа, здесь концепция заключается в том, что пользователь входит в систему только один раз, когда он вошел в систему на своем компьютере, токен, который машина уже имеет с AD, будет использован, и пользователь автоматически войдет в систему. такие службы, как Office 365 без необходимости ввода учетных данных пользователем.
С ADFS вы можете получить единый вход. Для работы ADFS с Office 365 абсолютно необходимо, чтобы вы запустили Azure AD Connect (DirSync) и чтобы ваши локальные учетные данные совпадали с данными, синхронизированными с облаком.
Вы скажете Office 365, что домен является федеративным, это в основном говорит о том, что когда пользователь пытается войти в Office 365, он запрашивает не Azure AD, а перенаправляет пользователя на сервер ADFS и выполняет аутентификацию там, ADFS. Затем сервер сообщит Office 365, что пользователь прошел проверку подлинности, и разрешит пользователю войти в систему.
Если вы удалите ADFS, но сохраните Azure AD Connect, вы сможете использовать единый вход (хотя единый вход можно выполнить с более новой версией Azure AD Connect).
Чтобы удалить ADFS из этой настройки, необходимо преобразовать федеративные домены в Office 365 в управляемые домены.
Я надеюсь, что это поможет понять настройку и ответит на ваши вопросы.
редактировать
Просто понял, что пропустил часть твоего вопроса.
Вы можете легко проверить, пытается ли Office 365 объединить домен через ADFS. Если вы зайдете на https://portal.office.com/ и наберете что-то@domain.tld и нажмете Enter, он проверит, является ли домен, в данном случае domain.tld, федеративным, если он будет перенаправлять ваш логин на страницу входа в систему ADFS, в противном случае она останется на Office 365.
Если это на Office 365, то вы можете продолжить и удалить серверы ADFS (как минимум с точки зрения Office 365, если вы аутентифицируетесь с другими провайдерами, вам нужно будет также проверить их).