我继承了一个网络,公司在某个时候同时运行了带有 ADFS 的 Dirsync 和 Azure AD Connect。我不知道这会造成什么危害。然后删除了 Dirsync。卸载、重新安装并重新配置了 Azure AD Connect。
快进。如果仍在运行 ADFS 角色的 ADFS 服务器发生故障,Office 365 将不会通过 OWA 或 Outlook 对用户进行身份验证。当我对我的 O365 帐户使用 get-msolservice 时,我的所有四个域在身份验证下都显示“托管”,我的理解是它们此时尚未联合。
在本地 ADFS 服务器上,有一个使用 URL 创建的依赖方信任,如果该 URL 脱机,也会中断 OWA/Outlook 的身份验证。
有人知道我是否应该卸载服务器上的 ADFS 角色,以及这是否会修复 O365 和 Active Directory 之间的链接。我们不需要 ADFS,我们只想使用 Azure AD Connect。
谢谢,B
答案1
这里需要了解一些事情。Office 365 提供了几种不同的身份验证方法。
作为标准仅限云其中帐户仅存在于 Office 365 中。用户名和密码由管理员创建,并与用户可能拥有的任何其他身份分开维护。
Azure AD Connect 允许您同步身份,以便元数据(用户名、显示名称、电子邮件)等与 Office 365 匹配。Azure AD Connect 还可以选择同步密码,其中来自 AD 的用户密码的散列版本将同步到运行 Office 365 的 Azure AD。
这将为用户提供“相同登录”体验,当用户已经登录到其计算机上的 AD 时,它不会自动将用户登录到 Office 365,但凭据是相同的,因此它为用户提供了便利。
然后我们有单点登录选项,这里的概念是用户只登录一次,当他们登录到机器时,机器上已有的 AD 令牌将被使用并自动将用户登录到 Office 365 等服务,而无需用户输入凭据。
使用 ADFS,您可以获得单点登录。要使 ADFS 与 Office 365 配合使用,绝对需要您运行 Azure AD Connect (DirSync),并且您的本地凭据与同步到云的凭据相匹配。
您将告诉 Office 365 该域是联合的,这基本上表明当用户尝试登录 Office 365 时,它不应该询问 Azure AD,而是会将用户重定向到 ADFS 服务器并在那里进行身份验证,然后 ADFS 服务器将告诉 Office 365 用户已经通过身份验证并允许用户登录。
如果删除 ADFS 但保留 Azure AD Connect,则可以获得相同的登录体验(尽管可以使用较新版本的 Azure AD Connect)
要从此设置中删除 ADFS,您需要将 Office 365 中的联合域转换为托管域
我希望这有助于理解设置并回答您的问题。
编辑
刚刚意识到我错过了你问题的一部分。
你可以轻松检查 Office 365 是否尝试通过 ADFS 联合域。如果你去https://portal.office.com并输入[电子邮件保护]然后按回车键,它会检查域(在本例中为 domain.tld)是否联合,如果是,它会将您的登录重定向到 ADFS 登录页面,如果不是,它会将其保留在 Office 365 上。
如果它在 Office 365 上,那么您可以继续删除 ADFS 服务器(至少从 Office 365 的角度来看,如果您通过其他提供商进行身份验证,您也需要与他们核对)。