Установка и настройка модуля Microsoft Online Services для Windows PowerShell для единого входа

Topic last modified: 2012-03-22

После того как администратор развернул Службы федерации Active Directory 2.0, следующий шаг настройки единого входа — загрузить, установить и настроить Модуль Microsoft Online Services для Windows PowerShell. Для этого необходимо программное обеспечение, требуемое Модуль Microsoft Online Services. После загрузки и установки этого модуля нужно выполнить ряд командлетов в интерфейсе командной строки Windows PowerShell. Это позволит добавить или преобразовать домены для использования единого входа.

Дополнительные сведения о развертывании AD FS 2.0 см. в разделе Планирование и развертывание служб федерации Active Directory 2.0 для использования с единым входом.

Выполните следующие действия

1. Выполнение требований для модуля Microsoft Online Services
2. Загрузка модуля Microsoft Online Services
3. Установление отношения доверия путем добавления или преобразования домена для использования единого входа
4. Следующий шаг

1. Выполнение требований для модуля Microsoft Online Services

Для работы Модуль Microsoft Online Services необходимы следующие компоненты:

Операционная система: используйте Windows 7 или Windows Server 2008 R2.
Платформа Microsoft .NET Framework: следует включить компонент Microsoft .NET Framework 3.51 в операционной системе Windows 7 или Windows Server 2008 R2.
Windows PowerShell 2.0 и AD FS 2.0: чтобы выполнить командлеты для настройки единого входа, следует включить компонент Windows PowerShell 2.0; также потребуются права администратора на сервере AD FS 2.0. При выполнении командлетов рекомендуется использовать удаленный доступ к серверу AD FS 2.0; для этого необходимо использовать функции удаленной работы Windows PowerShell. Дополнительные сведения см. в разделе About_Remote_Requirements.
Все обновления ПО Office 365: установите необходимые обновления со страницы загрузок Office 365. Чтобы открыть страницу загрузок Office 365, войдите на портал Office 365 и в области Ресурсы щелкните элемент Загрузки. Эти обновления являются необходимыми, поскольку компоненты Office 365 не будут правильно работать в не поддерживаемых ими старых версиях операционных систем, браузеров и программного обеспечения. Дополнительные сведения см. в разделе Настройка настольного компьютера на работу с Office 365.

Выполните следующие действия

2. Загрузка модуля Microsoft Online Services

Модуль Microsoft Online Services для Windows PowerShell представляет собой загружаемый модуль, входящий в состав Office 365. Этот модуль устанавливает набор командлетов для интерфейса командной строки Windows PowerShell; эти командлеты выполняются для настройки единого входа в Office 365. Перед настройкой единого входа в своей производственной среде можно также выполнить пилотное тестирование единого входа. См. раздел Выполнение пилотного тестирования единого входа перед окончательной настройкой (необязательно).

Примечание.
Чтобы получить дополнительные сведения о командлетах, доступных в Windows PowerShell, в командной строке Windows PowerShell введите `Get-help` и имя командлета. Дополнительные сведения о командлетах единого входа см. в разделе Использование Windows PowerShell для управления Office 365.

Примечание.

Чтобы получить дополнительные сведения о командлетах, доступных в Windows PowerShell, в командной строке Windows PowerShell введите Get-help и имя командлета.
Дополнительные сведения о командлетах единого входа см. в разделе Использование Windows PowerShell для управления Office 365.

Выполнение пилотного тестирования единого входа перед окончательной настройкой (необязательно)

Перед добавлением или преобразованием домена в качестве домена единого входа можно выполнить пилотное тестирование. Выполнение пошагового внедрения единого входа на данный момент недоступно; все пользователи становятся федеративными одновременно. Однако можно выполнить пилотное тестирование единого входа с набором пользователей из рабочего леса Active Directory.

Пользователи, участвующие в пилотном тестировании, должны тщательно проверить различные сценарии входа, чтобы убедиться, что единый вход и развертывание AD FS 2.0 правильно настроены и их можно развернуть в рамках всей организации. Для этого попросите пользователей осуществить доступ к службам Office 365 из браузеров и полнофункциональных клиентских приложений (например, Microsoft Office 2010) в следующих средах:

с компьютера, присоединенного к домену;
с компьютера, не присоединенного к домену, внутри сети предприятия;
с мобильного компьютера, не присоединенного к домену, за пределами сети предприятия;
из других операционных систем, используемых в организации;
с домашнего компьютера;
с компьютера в интернет-кафе (только из браузера);
со смартфона (например, со смартфона, использующего Microsoft Exchange ActiveSync).

Дополнительные сведения см. в Инструкция по пилотному внедрению единого входа в рабочем пользовательском лесу.

Выполните следующие действия

3. Установление отношения доверия путем добавления или преобразования домена для использования единого входа

Каждый домен, который требуется объединить в федерацию, нужно добавить как домен с единым входом или преобразовать в домен с единым входом из стандартного домена. Добавление или преобразование домена позволяет установить отношение доверия между AD FS 2.0 и Office 365.

Важно!
При использовании поддомена (например, corp.contoso.com) помимо домена верхнего уровня (например, contoso.com) следует добавить домен верхнего уровня в Office 365 перед добавлением поддоменов. Если домен верхнего уровня настроен на использование единого входа, все поддомены также автоматически используют единый вход. Установление отношения доверия выполняется один раз и не требует повторного запуска Модуль Microsoft Online Services при добавлении дополнительных серверов AD FS 2.0 в ферму. Если для добавления и проверки домена используется Модуль Microsoft Online Services, необходимо указать в Office 365 несколько дополнительных настроек. Они позволяют просматривать записи DNS, которые необходимо настроить, чтобы обеспечить работу домена со службами Office 365. Дополнительные сведения см. в разделе Указание служб, используемых совместно с доменным именем. Если вам требуется обеспечить поддержку нескольких доменов верхнего уровня, необходимо использовать параметр SupportMultipleDomain для всех командлетов, например, командлетов, используемых при выполнении процедур "добавление домена" и "преобразование домена". Например, чтобы добавить contoso.com и fabrikam.com в качестве доменов единого входа, необходимо следовать процедуре "Добавление домена" для contoso.com, используя параметр SupportMultipleDomain на каждом шаге, где применяется командлет. Таким образом, в шаге 5 используйте `New-MsolFederatedDomain -DomainName contoso.com -SupportMultipleDomain`. После выполнения всех шагов процедуры для contoso.com повторите ее еще раз для домена fabrikam.com. В шаге 5 используйте `New-MsolFederatedDomain -DomainName fabrikam.com -SupportMultipleDomain`. Дополнительные сведения см. в разделе Поддержка нескольких доменов верхнего уровня.

Важно!

При использовании поддомена (например, corp.contoso.com) помимо домена верхнего уровня (например, contoso.com) следует добавить домен верхнего уровня в Office 365 перед добавлением поддоменов. Если домен верхнего уровня настроен на использование единого входа, все поддомены также автоматически используют единый вход.
Установление отношения доверия выполняется один раз и не требует повторного запуска Модуль Microsoft Online Services при добавлении дополнительных серверов AD FS 2.0 в ферму.
Если для добавления и проверки домена используется Модуль Microsoft Online Services, необходимо указать в Office 365 несколько дополнительных настроек. Они позволяют просматривать записи DNS, которые необходимо настроить, чтобы обеспечить работу домена со службами Office 365. Дополнительные сведения см. в разделе Указание служб, используемых совместно с доменным именем.
Если вам требуется обеспечить поддержку нескольких доменов верхнего уровня, необходимо использовать параметр SupportMultipleDomain для всех командлетов, например, командлетов, используемых при выполнении процедур "добавление домена" и "преобразование домена".
Например, чтобы добавить contoso.com и fabrikam.com в качестве доменов единого входа, необходимо следовать процедуре "Добавление домена" для contoso.com, используя параметр SupportMultipleDomain на каждом шаге, где применяется командлет. Таким образом, в шаге 5 используйте New-MsolFederatedDomain -DomainName contoso.com -SupportMultipleDomain. После выполнения всех шагов процедуры для contoso.com повторите ее еще раз для домена fabrikam.com. В шаге 5 используйте New-MsolFederatedDomain -DomainName fabrikam.com -SupportMultipleDomain.
Дополнительные сведения см. в разделе Поддержка нескольких доменов верхнего уровня.

Добавление домена

Откройте Модуль Microsoft Online Services.
Выполните команду $cred=Get-Credential. Когда этот командлет запросит учетные данные, введите учетные данные администратора Office 365.
Запустите Connect-MsolService -Credential $cred. Этот командлет осуществляет подключение к Office 365. Перед выполнением других командлетов, установленных средством, необходимо создать контекст для подключения к Office 365.

Выполните командлет Set-MsolAdfscontext -Computer <основной сервер AD FS 2.0>, где <основной сервер AD FS 2.0> — это внутреннее полное доменное имя основного сервера AD FS 2.0. Этот командлет создает контекст для подключения к AD FS 2.0.

Примечание.
Если продукт Модуль Microsoft Online Services установлен на основном сервере AD FS 2.0, запуск этого командлета не требуется.

Выполните командлет New-MsolFederatedDomain -DomainName <домен>, где <домен> — это имя добавляемого домена, настраиваемого для единого входа. Этот командлет добавляет домен верхнего уровня или поддомен, в котором будет настроена федеративная проверка подлинности.

Примечание.
После использования командлета New-MsolFederatedDomain для добавления домена верхнего уровня вы не сможете использовать командлет New-MsolDomain для добавления обычных доменов без федерации.

Используя результаты выполнения командлета New-MsolFederatedDomain, обратитесь к регистратору имен доменов для создания записи DNS и подтверждения факта владения доменом. Учтите, что распространение данных может занять до 15 минут (в зависимости от регистратора имен доменов). Распространение изменений в системе может занять до 72 часов. Дополнительные сведения см. в разделах Поиск регистратора доменных имен и Проверка домена любого регистратора имен доменов.
Выполните командлет New-MsolFederatedDomain еще раз, указав то же имя домена для завершения процесса.

Преобразование домена

При преобразовании существующего домена в домен с единым входом каждый лицензированный пользователь становится федеративным пользователем и может применять свои учетные данные Active Directory (имя пользователя и пароль), используемые им в организации, для доступа к службам в Office 365. Выполнение пошагового внедрения единого входа на данный момент недоступно; однако можно выполнить пилотное тестирование единого входа с набором пользователей из рабочего леса Active Directory. Дополнительные сведения см. в разделе Выполнение пилотного тестирования единого входа перед окончательной настройкой (необязательно).

Примечание.
Преобразование рекомендуется выполнять при минимальном количестве пользователей, например на выходных, чтобы снизить влияние на пользователей организации.

Для преобразования существующего домена в домен с единым входом выполните следующие действия.

Откройте Модуль Microsoft Online Services.
Выполните команду $cred=Get-Credential. Когда этот командлет запросит учетные данные, введите учетные данные администратора Office 365.
Запустите Connect-MsolService -Credential $cred. Этот командлет осуществляет подключение к Office 365. Перед выполнением других командлетов, установленных средством, необходимо создать контекст для подключения к Office 365.

Примечание.
Если продукт Модуль Microsoft Online Services установлен на основном сервере AD FS 2.0, запуск этого командлета не требуется.

Запустите командлет Convert-MsolDomainToFederated -DomainName <домен>, где <домен> — имя преобразуемого домена. Этот командлет преобразует домен для использования единого входа вместо обычной проверки подлинности.

Примечание.
Чтобы убедиться в корректности преобразования, сравните параметры на сервере AD FS 2.0 и в Office 365 с помощью команды `Get-MsolFederationProperty -DomainName <домен>`, где <домен> представляет собой домен, для которого требуется просмотреть параметры. Если параметры не совпадают, то можно выполнить команду `Update-MsolFederatedDomain -DomainName <домен>`, чтобы синхронизировать параметры.

Примечание.

Чтобы убедиться в корректности преобразования, сравните параметры на сервере AD FS 2.0 и в Office 365 с помощью команды Get-MsolFederationProperty -DomainName <домен>, где <домен> представляет собой домен, для которого требуется просмотреть параметры. Если параметры не совпадают, то можно выполнить команду Update-MsolFederatedDomain -DomainName <домен>, чтобы синхронизировать параметры.

4. Следующий шаг

После установки модуля и настройки доменов на использование единого входа необходимо настроить синхронизацию Active Directory. Дополнительные сведения см. в разделе План внедрения синхронизации службы каталогов Active Directory. После этого ознакомьтесь с разделом Проверка и управление единым входом.

Выполните следующие действия

См. также

Концепции

Единый вход: стратегия
Подготовка к использованию единого входа
Планирование и развертывание служб федерации Active Directory 2.0 для использования с единым входом
Проверка и управление единым входом

Статья оказалась полезной? Поделитесь с нами своим мнением

Юридическое уведомление

Конфиденциальность

Сообщество