Office 365 单点登录操作手册

Posted 2021-04-27 微软中国MSDN

1

搭建环境

1. 构建虚拟机 

在 Azure 中创建一个虚拟机，选择适当大小，配置相应的参数。 

2. 配置域控服务器 

创建好虚拟机后，进入虚拟机的服务器管理界面，点击“Add Role and Features Wizard”，安装 Active Directory Domain Service。 

 

安装好后，配置相应的参数。由于我们模拟的是一个全新的环境，因此选择添加一个新

的林。 

 

设置目录服务还原模式（Directory Service Restore Mode）的密码。 

配置成功。 

配置好 Active Directory Domain Service 之后，这作为我们的域控服务器。我们可以在

本地这台服务器上添加用户、组等信息。 

3. 添加本地用户和组的账号信息 

在右上角“Tools”工具里面，点击 Active Directory Users and Computers，对目录用户进

行操作。 

点击“Action”下面的“New”添加新的计算机、组、用户、或者其他角色。 

添加了相应的用户和组之后，我们本地的域环境就基本上搭建完成了。接下来我们将安装 Azure Active Directory Connect 工具来同步本地和云端的账号信息。 

2

安装和配置 Azure AD Connect 

1. 先决条件 

由于很多客户已经拥有了本地域环境，因此在安装 Azure AD Connect 之前，需要准备

好以下项目： 

https://docs.microsoft.com/zh-cn/azure/active-directory/connect/active-directory

aadconnect-prerequisites 

这里着重演示使用 ID Fix 来确认本地 AD 信息的合规性。在同步任务之前修复错误将节

省时间，并且通常可以更加平稳地过渡到云。 

2. 安装 Azure AD Connect 

下载 Azure AD Connect，安装 Azure AD Connect 

我们可以选择快速安装选项，只需要连接 Azure AD 和 AD DS 就可以完成 Azure AD 

Connect 的配置。 

连接到 Azure AD，输入 Office 365 管理员 Azure AD 账号和密码，点击“Next”。 

同理，输入 AD DS 的管理员的账号和密码。 

检查配置，点击“Install”安装 Azure AD Connect。 

3

使用 AADC 同步本地和云端的用户 

安装好了 Azure AD Connect 之后，我们可以开始同步本地和云端的用户账号和密码。

选择“Customize synchronization Options”。

输入 Office 365 管理员的 Azure AD 账号和密码。 

连接目录。

选定目录以及要同步的范围。 

根据组织的要求，选定额外的功能。 

选定好之后，进行本地账号与云端账号的同步。同步之后我们可以在 O365 的“活动用

户”里看到从 Active Directory 同步上来的用户，从本地同步上来的用户需要分配产品权

限，用户才可以使用 O365 的功能。 

4

安装 AD FS 服务器 

Active Directory 联合服务 (AD FS)可提供 Web 单一登录 (Single Sign-On) 技术，这样

只需在一次联机会话的有效期内，就可对一位用户访问多个相关 Web 应用程序进行身

份验证。 

接下来我们构建 AD FS 服务器。在另一台虚拟机上（作为我们的联合服务 AD FS 服务

器），将该虚拟机加入到同一个资源组同一个虚拟网络下面，配置 AD FS 服务器和域控

服务器处于一个域下。  

 

输入域控服务器管理员的名称和密码，连接到域控服务器。 

每个联合服务器都需要有一个服务器身份验证证书和一个令牌签名证书，才能参加 

AD FS 通信。每个联合服务器代理使用 SSL 客户端身份验证证书对联合身份验证服务

进行身份验证。导入 SSL 证书，输入联合服务器名称。 

明确服务的账户。 

 

若 AD 数量小于 50000 个，则可以选择 Windows 自带的内部数据库，否则建议选择 SQL Server Database。 

 

系统检查是否满足安装条件，满足点击“Configure”。 

安装成功。 

5

使用 ADFS 完成单点登陆（SSO） 

1. 安装同步工具 

安装指导和安装包下载： 

http://connect.microsoft.com/site1164/Downloads/DownloadDetails.aspx?DownloadID

=59185 

安装 Windows PowerShell 以使用 AD FS 实施单一登录。 

2. 添加 DNS 记录 

在 O365 管理界面绑定域名，具体步骤请参见附录五。 

3. 设置 AD FS 与 Windows Azure AD 之间的信任 

打开 PowerShell for Windows Azure AD，输入 connect-MsolService 连接到 Azure AD。

此 cmdlet 将你连接到云服务。输入 O365 管理员账户和密码，连接到 Azure AD。 

输入 Get-MsolDomain 查看现在绑定的域名。 

运行 Set-MsolAdfscontext -Computer <AD FS primary server>，其中 <AD FS primary 

server> 是主 AD FS 服务器的内部 FQDN 名称。此 cmdlet 创建将你连接到 AD FS 的上下文。如果已在主 AD FS 服务器上安装了 Microsoft Azure Active Directory 模

块，则不需要运行此 cmdlet。 

运行 Convert-MsolDomainToFederated –DomainName <domain>，其中，<domain> 

是要转换的域,如 lipiaoliang.top,该 cmdlet 会将域从标准身份验证更改为单一登录。

 

这里注意：如果全局管理员的账号已经是 lipiaoliang.top 则无法转换，需要使用一个

Office 365 默认的 onmicrosoft.com 的全局管理员账号。 

输入 get-msoldomain 来验证我们已经将 lipiaoliang.top 转换成联合域。 

输入 https://<domain name>/adfs/ls/idpinitiatedsignon.aspx 测试是否可以登录，如果

可以，说明 AD FS 配置成功。比如，这里我们访问的就是

https://lipiaoliang.top/adfs/ls/idpinitiatedsignon.aspx。 

使用本地 AD 登录 Office 365，将会展现出一下的界面，提示重新定位到组织的登录界

面。 

 

由于我们是外网接入，需要输入域控服务器的用户名和密码，与域控服务器（本地 AD）

进行连接。 

输入用户密码后成功登陆 Office 365。 

附录一、在 AD DS 里为企业用户配置专有 UPN 后缀 

在 Active Directory Domain and Trust 里面，在根目录上右键，选择“属性”，添加 UPN

后缀。

 

添加 UPN 后缀，比如员工使用的域名为 lipiaoliang.top，那么只需要为员工创建一个和

他原有 lipiaoliang.top 后缀相同的用户名就 OK 了。 

在创建新用户的时候，就可以选择相应的 UPN 后缀。

 

附录二、将两台服务器加入到一个域下面 

这里我们演示将 AD FS 加入到 AD DS 相同的域里的方法。 

输入 AD DS 域控服务器的内网 IP。 

修改之后，远程连接会中断，这时候需要在 Azure 管理界面上重新部署虚拟机。 

重新部署虚拟机之后，重启虚拟机。将 AD F 与域控服务器放在相同的域下。 

输入 domain 的管理员用户名和密码，连接到域。 

系统显示成功的加入域里。 

重启之后，我们就完成了将 AD FS 和 AD DC 统一在一个域内的工作。 

附录三、修改 SSL 证书 

运行命令提示符，输入 mmc 命令行。 

进入到 console root，点击 File，选择 Add、Remove Snap-in。 

选择 certificate，点击 Add 插入。 

选择管理证书的电脑，点击 Finish。 

在 AD FS 的管理界面，点击 certificate 

选择要修改的证书，点击 Set service communication Certificate，选择需要修改的证书，点击 ok 即刻完成 SSL 证书的修改。 

修改好证书之后，需要重启 AD FS 服务。 

附录四、Office 365 域名绑定 

以万网的域名为例来展示 Office 365 绑定万网的域名需要需要完成的设置。 

绑定域名要经历四个阶段：添加域、验证域、设置你的联机服务、更新 DNS 记录。 

1. 添加域 

在 Office 365 管理界面，点击“安装”，选择“域”，可以看到 Office 365 的默认域名，点击

“添加域”，绑定已有的域名。 

输入要添加的域名，点击“下一步”。 

在万网界面，在“产品与服务”下拉框下找到“云解析 DNS”。 

在想要绑定的域名处点击“解析”。 

2. 验证域 

我们需要验证添加的域名为我们所有，可选的验证方式有两种，通过验证 TXT 记录或者

MX 记录。如果用户使用的是外国域名供应商提供的域名，可以选择相应的 DNS 主机，

查看添加 TXT 记录或者 MX 记录的分步说明。这里我们演示通过 TXT 记录来验证域名。 

点击解析后，进入如下的界面，点击“添加解析”，将 Office 365 验证域界面下的 TXT 名

称、TXT 值、TTL 时间相应输入主机记录、记录值和 TTL，点击保存。系统提示将等待

5-10 分钟生效。 

5-10 分钟后，我们在 Office 365 验证域的界面点击“验证”，显示进入第三阶段：设置你

的联机服务。 

3. 设置你的联机服务 

一般情况下，我们选择“为我设置联机服务”来更新 DNS 记录，赋予 O365 权限来代为设

置联机服务的其余部分；如果选择“我将管理自己的 DNS 记录”，则需要手动在 DNS 托

管提供者处来为域添加各个记录。这里我们选择推荐的“为我设置联机服务”。 

若用户已经有网站，则可以添加相应的网站记录；若没有，可以直接点击“下一步”。

 

4. 添加 DNS 记录 

复制 DNS 记录，将 DNS 记录添加到域的 DNS 记录处，48 小时内域名生效，一般情况

一个小时就可以成功验证。 

 

点击“验证”，系统提示添加成功，我们就完成了域名绑定的工作。我们可以将刚刚绑定

的域名设为默认的域名，则未来创建的用户或者组的邮件都会默认将该默认域名作为登

录后缀。 

附录五、那些坑 

1. 由于 ADFS 服务器是 2016 server， 在 Windows PowerShell 上运行 Set

AdfsProperties –EnableIdpInitiatedSignonPage $True 命令行，才可以成功配置

SSO。 

 

2. 对于 Mooncake，使用 PowerShell for Windows Azure AD 连接 Azure AD 时候，不

可以直接输入 connect-MsolService（会连接到 Global O365），而应该使用 connect

MsolService - Azureenvironment china