O365结合ADFS限制用户登录地址 (三) - 部署ADFS及Proxy

    承接上文，下边来重点介绍下ADFS以及Proxy的部署，注意配置前因为Proxy没有加域，如果是本地AD签发的证书，最好提前导入到Proxy中最好证书的信任

    1.在AAD Connect向导里，首先我们需要创建一个新的ADFS的FARM，然后提供ADFS使用的证书

    2.选择好使用的证书

    3.将ADFS服务器加入到FARM里

    4.之后部署ADFS Proxy，因为Proxy不加域，首先在Proxy上添加DNS后缀，在DNS上添加Proxy的DNS记录

    

    5.在Proxy Servers这里添加Proxy这台服务器

    6.这里有个小坑，你可能会发现下边会报出WIN RM无法连接的错

    7.要解决这个问题其实也不难，需要手动配置下服务器，因为本身部署ADFS或者Proxy也是通过WIN RM来远程执行PowerShell，如果是加域的话可以走kerberos认证，把WINRM服务开启后，端口正常监听，防火墙没问题就可以通过了，但是如果是不加域的机器，就需要通过设置白名单的方式来实现远程PowerShell了，首先开启WINRM服务

    通过命令Enable-PSRemoting -Force

    

    8.可以看到服务已经正常开启了

    9.服务开启后注意还需要添加白名单，步骤按照图里的执行即可

    10.最后还需要注意你的网卡类型，这个搞不好也会坑到你，完成后再次执行向导，可以看到已经能正常连接了

    11.之后输入你的Domain admin的密码，他会被用来执行一些脚本配置等

    12.这里配置Service Account，需要输入你的enterprise account

    13.接下来选择需要做联盟的域，点击next

    14.开始配置，等待结束即可

    15.部署完成后，可以看到账户已经被同步到O365中（O365需要提前开启AD同步，可以手动在portal配置，也可以通过Set-MsolDirSyncEnabled -EnableDirSync $true实现，过程不演示了，比较简单）

    16.之后可以测试下，登陆O365 Portal，输入域账号登陆

    17.可以看到已经在重定向了

    18.这里可以看到如果是本地AD颁发的证书，这里是会报信任错误的

    19.成功跳转到ADFS Proxy，输入本地AD的账号密码

    

    20.登陆成功！

    

    21.同时如果是登陆失败的，在ADFS的Log也是可以看到的，ADFS的审核Log有些是需要手动开启的，这里暂时不说了

    

    基本的配置就是这样了，对比以前的部署过程，现在已经可以算是省去了绝大部分时间了！后边会介绍如何使用ADFS实现我们限制用户登录行为的目标