Última modificação no tópico: 2013-02-05
Com o logon único, também denominado federação de identidades, os usuários podem acessar serviços no Microsoft Office 365 corporativo com suas credenciais corporativas existentes do Active Directory (nome de usuário e senha). A configuração do logon único requer os Active Directory Federation Services (AD FS) 2.0 (AD FS 2.0). Este artigo se destina aos administradores e aborda os benefícios do logon único, as experiências do usuário e os requisitos. Também mostra como verificar se a configuração do Active Directory está compatível com os requisitos de logon único.
Há um benefício claro para os usuários quando você configura o logon único: o recurso permite que eles usem suas credenciais corporativas para acessar os serviços no Office 365 no qual a empresa tenha se inscrito. Os usuários não precisam se inscrever de novo ou lembrar de várias senhas.
Além dos benefícios para o usuário, há muitos benefícios para os administradores:
- Controle de política: o administrador pode controlar as políticas de conta por meio do Active Directory, o que dá ao administrador a capacidade de gerenciar políticas de senha, restrições de estação de trabalho, controles de bloqueio e muito mais, sem precisar realizar tarefas adicionais na nuvem.
- Controle de acesso: o administrador pode restringir o acesso ao Office 365, de forma que os serviços possam ser acessados pelo ambiente corporativo, por servidores online ou ambas as formas.
- Redução nas chamadas de suporte: senhas esquecidas são um motivo comum de chamadas de suporte em todas as empresas. Se os usuários tiverem menos senhas para lembrar, é menos provável que eles as esqueçam.
- Segurança: a identidade e as informações dos usuários são protegidas porque todos os servidores e serviços usados no logon único são controlados no local.
- Suporte à autenticação forte: você pode usar a autenticação forte (também chamada de autenticação de dois fatores) com o Office 365. Entretanto, se você usar a autenticação forte, deverá usar logon único. Há restrições no uso da autenticação forte. Para obter mais informações, consulte Configurando opções avançadas para AD FS 2.0.
A experiência de um usuário com o logon único varia com base na maneira como o computador do usuário é conectado à rede da empresa, qual sistema operacional o computador do usuário está executando e como o AD FS 2.0 foi configurado pelo administrador.
A seguir, estão descritas as experiências do usuário com logon único na rede:
- Computador do trabalho em uma rede corporativa: quando os usuários estão no trabalho e conectados à rede corporativa, o logon único permite que eles acessem os serviços do Office 365 sem precisar entrar novamente.
Se o usuário estiver conectado de fora da rede da empresa ou acessando serviços de um determinado dispositivo ou aplicativos, como nas situações a seguir, você deverá implantar um proxy do AD FS 2.0. Para obter mais informações, consulte Planejar e implantar os Serviços de Federação do Active Directory 2.0 para uso com logon único.
- Roaming com um computador do trabalho: os usuários que tiverem feito logon em computadores com domínio associado com suas credenciais corporativas, mas que não estejam conectados à rede corporativa (por exemplo, um computador do trabalho em casa ou em um hotel) poderão acessar os serviços no Office 365.
- Computador doméstico ou público: quando o usuário estiver usando um computador que não está ingressado no domínio corporativo, deverá entrar com credenciais corporativas para acessar os serviços no Office 365.
- Smartphone: em um smartphone, para acessar os serviços no Office 365, como o Microsoft Exchange Online usando o Microsoft Exchange ActiveSync, o usuário deve fazer logon com credenciais corporativas.
- Microsoft Outlook ou outros clientes de email: o usuário deve entrar com suas credenciais corporativas para acessar o email do Office 365 se estiver usando o Outlook ou um cliente de email que não faz parte do Office, for exemplo, um cliente IMAP ou POP.
Para obter mais detalhes sobre o logon único, consulte How single sign-on works.
Para usar o logon único, você deve:
-
ter o Active Directory implantado e em execução no Windows Server 2003 operating system, Windows Server 2008 ou Windows Server 2008 R2 com um nível funcional de modo misto ou nativo.
-
planejar e implantar o AD FS 2.0 no Windows Server 2008 ou Windows Server 2008 R2. Além disso, se o usuário estiver se conectando de fora da rede da empresa, você deve implantar um proxy do AD FS 2.0..
-
usar a Módulo do Microsoft Online Services para Windows PowerShell para estabelecer confiabilidade com o Office 365.
-
Instalar as atualizações necessárias do Office 365 pela página de dowloads Office 365 para garantir que os seus usuários estejam executando as atualizações mais recentes do Windows 7, do Windows Vista, ou do Windows XP. Para acessar a página de downloads do Office 365, entre no portal do Office 365, e em Resources, clique Downloads. Os recursos do Office 365 não funcionarão corretamente sem as versões apropriadas dos sistemas operacionais, navegadores e software. Para obter mais informações, consulteRequisitos de software do Office 365, Configurar a sua área de trabalho para o Office 365, e Atualizar e configurar áreas de trabalho manualmente para o Office 365..
O Active Directory deve ter algumas configurações definidas para funcionar adequadamente com o logon único. Em particular, o nome UPN, também conhecido como nome de logon, deve ser configurado de forma específica para cada usuário.
 Observação: |
|---|
| Para preparar o ambiente do Active Directory para logon único, é recomendável executar a Ferramenta de Preparação da Implantação do Microsoft Office 365 corporativo. Essa ferramenta inspeciona o ambiente do Active Directory e fornece um relatório que inclui informações sobre se você está pronto ou não para configurar o logon único. Se não estiver, ela listará as alterações que você precisa fazer para se preparar para o logon único. Por exemplo, ela inspeciona se os usuários têm UPNs e se esses UPNs estão no formato correto. |
Dependendo de cada um dos seus domínios, você pode precisar fazer o seguinte:
-
O UPN deve ser definido e conhecido pelo usuário.
-
O sufixo de domínio do UPN deve estar no domínio que você optar por configurar para logon único.
-
O domínio que você vai federar deve ser registrado como um domínio público com um registrador de domínios ou em seus próprios servidores DNS públicos.
-
Para criar UPNs, siga as instruções do tópico do Active DirectoryAdicionar sufixos de nome UPN. Tenha em mente que os UPNs usados para logon único só podem conter letras, números, pontos, traços e sublinhados.
-
Se o seu nome de domínio do Active Directory não for um domínio público (por exemplo, que termine com um sufixo “.local”), você deve definir um UPN para que tenha um sufixo de domínio que esteja em um nome de domínio que possa ser registrado publicamente. Recomendamos que você use algo familiar para os usuários, tal como domínio de email.
-
Se você já tiver configurado a sincronização do Active Directory, o UPN do Office 365 do usuário talvez não corresponda ao UPN local do usuário definido no Active Directory. Para corrigir isso, renomeie o UPN do Office 365 usando o cmdlet Set-MsolUserPrincipalName na Módulo do Microsoft Online Services para Windows PowerShell.
Agora que você está preparado para o logon único, é necessário configurar os AD FS 2.0. Para obter mais informações, consulte Planejar e implantar os Serviços de Federação do Active Directory 2.0 para uso com logon único.
Conceitos
Logon único: mapaPlanejar e implantar os Serviços de Federação do Active Directory 2.0 para uso com logon único
Instalar e configurar o Módulo do Microsoft Online Services para Windows PowerShell para logon único
Verificar e gerenciar o logon único
Sincronização do Active Directory: mapa
