Office 365 身份验证和单一登录部署（4）

配置本地和Office 365联合信任

建议将DirSync tool和Windows Azure Active Directory 模块安装在ADFS服务器上，这样就不用去设置ADFS context。以域管理员登录DC服务器。

1. 1.转换自定义域为联合域

• 安装Microsoft Online Services Sign-In Assistant for IT Professionals (MOSSA version 7.0以上)，以下是下载链接，

http://www.microsoft.com/en-us/download/details.aspx?id=39267

• 安装.NET Framework 3.5和4.5,  目的是为了安装Windows Azure Active Directory Module for Windows PowerShell

• 安装用于 Windows PowerShell 的 Windows Azure Active Directory 模块，该模块可以在Office 365中下载( 用户和组 > 活动用户 > 管理)

• Windows Azure Active Directory 模块安装完成后，以管理员身份运行Windows PowerShell 的 Windows Azure Active Directory，见下图：

• 输入 “Connect-MSOLService”，然后验证窗口中输入一个Office 365 global administrator account进行验证，见下图：

• 输入get-msoldomain –domainname hphaobo.com | fl

查看下hphaobo.com这个域的验证方式为Managed，见下图：

• 转换hphaobo.com这个域的验证方式为联合验证，

输入Convert-MsolDomainToFederated –DomainName “hphaobo.com”，转换后可以查看到hphaobo.com的Authentication已变成Federated，见下图：

• 最后我们可以打ADFS Management,我们能看到ADFS能为客户端提供单一登录服务(Single sign-on)，见下图：

2. 激活Active Directory(Office 365)

Windows Azure Active Directory (WAAD Sync tool能将本地(On-premises)的对象同步到Office 365上，本次Lab是将DirSync tool安装在DC上，以下是安装和配置的步骤。

• 激活Active Directory

使用订阅账户登录Office 365，导航至 用户和组 > 活动用户 > Active Directory 同步设置，见下图：

• 在设置并管理Active Directory同步页面中，点击“激活”，见下图：

• 在寻问是否要激活窗口中，点击“激活”，见下图：

• 刚激活后可能不会马上生效，有时需要等待长达24小时，以下是完成激活页面，见下图:

3. 安装和配置目录同步

• 建立一个Office 365 Tenant账户用于配置DirSync, 在此建立的用户名为[email protected], 见下图：

设置该账户时，不分配许可证，见下图：

角色设置为“全局管理员”，见下图：

• 修改密码，并将[email protected]设置密码永不过期，需要使用用于 Windows PowerShell 的 Windows Azure Active Directory 模块，输入 “Connect-MSOLService”，然后验证窗口中输入一个Office 365 global administrator account进行验证。

未设置时PasswordNeverExpires为False ，见下图：

使用Set-MsolUser -UserPrincipalName "[email protected]" -PasswordNeverExpires $true 设置密码永不过期，见下图：

设置后查看svc-dirsync PasswordNeverExpires状态，见下图：

• 下载WAAD Sync Tool工具，在Office 365管理中心中下载，见下图：

• 开始安装，以管理员身份运行刚下载的dirsync-zh-hans工具，出现安装Welcome页，点next, 见下图：

• 接受License Tems，见下图：

• Select Installation Folder, 使用默认，点Next, 见下图：

• 等待安装进程，直到完成，见下图：

• 勾选Start Configuration Wizard now, 点击Finished. 见下图：

• 开始配置WAAD, 在出现的WAAD Sync tool Configuration Wizard中，点Next, 见下图：

• 在Windows Azure Active Directory Credentials页中，输入Office 365的订阅管理账号[email protected]和密码，目的在同步时会以该服务账户连接Office 365服务, 见下图：

• 在Active Directory Credentials页面中，输入本地AD管理员权限账户，见下图：

• 在Hybrid Deployment页中，根据需要进行选择，如果勾选”Enable Hybrid Deployment”，则允许从Azure Active Directory写数据到on-premises Active Directory，这个功能只修改已存在的对象，见下图：

• 在Password Synchronization页中，设置是否允许将密码同步到Office 365上，

• 按照向导配置，点击Next，见下图：

• 在Finished页面中，选择是否立即同步，在此我们选择”Synchronize your directories now”，见下图：

• 最后出现一个如何Verify directory synchronization的消息框，点击OK，完成。

• 同步完成后，登录Office 365后，可以看到on-premises账户已同步到Office 365中，见下图：

4. 检验AD对象同步

可以使用miisclient工具查看同步的状态，该工具位于C:\Program Files\Windows Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell 下，见下图：

5.强制目录同步

在企业有些场景中，有时需要立即同步信息，我们可以Powershell命令来实现

在安装有DirSync Tool的服务器上打开Powershell, 运行

import-module dirsync

Start-OnlineCoexistenceSync

见下图：

6.激活已同步的账户

选择已同步的账户，然后点击“激活已同步用户”，按向导完成激活。见下图：

演示Office 365单一登录

使用已同步到Office 365账户([email protected]) ，该账户在Office 365中分配了Exchange online许可

将portal.microsoftonline.com, login.microsoftonline.com, portal.office.com加入到IE Local Intranet可信任站点中

用[email protected] 登录客户端，IE中打开portal.microsoftonline.com, 输入用户(UPN格式)：[email protected]，见下图: