O ADFS ainda está ativo, mas os domínios do Office 365 não são federados

Question

O ADFS ainda está ativo, mas os domínios do Office 365 não são federados

#1 resposta do (2 votos)

1

Eu herdei uma rede onde, em algum momento, a empresa tinha o Dirsync com o ADFS e o Azure AD Connect sendo executados ao mesmo tempo. Não sei que mal isso pode ter causado. Dirsync foi então removido. O Azure AD Connect foi desinstalado, reinstalado e reconfigurado.

Avanço rápido. Se o servidor do ADFS, que ainda está executando a função do AD FS, ficar inativo, o Office 365 não autenticará os usuários, seja por meio do OWA ou do Outlook. Quando uso o get-msolservice em minha conta do O365, todos os quatro domínios dizem "Gerenciado" sob autenticação, o que, no meu entender, não é federado nesse ponto.

No servidor local do ADFS, há um Trust Confiável da Parte Confiante criado com uma URL que, se colocada off-line, também interromperá a autenticação com o OWA / Outlook.

Alguém sabe se devo desinstalar a função do ADFS no servidor e se isso corrigirá o vínculo entre o O365 e o Active Directory? Nós não precisamos do ADFS, apenas queremos fazer o Azure AD Connect.

Obrigado B

office365 adfs

por Brandon 21.06.2018 / 22:17

1 resposta

Tags office365 adfs

nameservers relatados por whois não podem ser encontrados por nslookup Acidentalmente removido libselinux e nada funciona

score 2 · Answer 1

Algumas coisas para entender aqui. O Office 365 oferece algumas maneiras diferentes de você poder se autenticar por meio dele.

Como padrão, será Somente nuvem onde as contas existem apenas no Office 365. Os nomes de usuário e senhas são criados pelos administradores e mantidos separadamente de qualquer outra identidade que o usuário possa ter.

O Azure AD Connect permite sincronizar as identidades para que os metadados (nome de usuário, nome de exibição, e-mail) correspondam ao Office 365. O Azure AD Connect também tem a opção de sincronizar as senhas em uma versão com hash de seus usuários a senha do AD será sincronizada com o AD do Azure em que o Office 365 é executado.

Isso dará aos usuários uma experiência de "Logon semelhante", pois não registrará automaticamente o usuário no Office 365 quando eles já estiverem conectados ao AD em seus computadores, mas as credenciais são as mesmas, portanto, faz mais fácil para o usuário.

Em seguida, temos as opções Single Sign-On, aqui o conceito é que o usuário efetue login apenas uma vez, quando tiver logado na máquina, o token que a máquina já possui com o AD será usado e registrará automaticamente o usuário para serviços como o Office 365 sem a necessidade de o usuário digitar credenciais.

Com o ADFS, você pode obter o Single Sign-On. Para que o ADFS funcione com o Office 365, é absolutamente necessário que você execute o Azure AD Connect (DirSync) e que suas credenciais locais correspondam às sincronizadas com a nuvem.

Você informará ao Office 365 que o domínio está federado. Isso basicamente diz que, quando um usuário tenta efetuar logon no Office 365, não é o Azure AD que deve perguntar, mas redirecionará o usuário para o servidor ADFS e autenticará lá. , o servidor ADFS informará ao Office 365 que o usuário está autenticado e permitirá que o usuário efetue login.

Se você remover o ADFS, mas manter o Azure AD Connect, poderá ter uma experiência de Logon semelhante (embora seja possível fazer Logon único com o versão mais recente do Azure AD Connect )

Para remover o ADFS desta configuração, você precisa Converter seus domínios federados no Office 365 para Domínios Gerenciados

Espero que isso ajude na compreensão da configuração e responda suas perguntas.

Editar
Apenas percebi que perdi parte da sua pergunta. Você pode verificar facilmente se o Office 365 tenta federar um domínio por meio do ADFS. Se você acessar o link e digitar algo@domínio.tld e os acessos entrar, ele verificará se o domínio, neste caso domínio.tld é federado, se for ele redirecionará seu login para a página de login do ADFS, caso contrário, ele permanecerá no Office 365.

Se estiver no Office 365, você poderá remover os servidores do ADFS (pelo menos do ponto de vista do Office 365, se você se autenticar com outros provedores, precisará verificar com eles também).