内部ドメイン名と外部ドメイン名が異なるOffice365 SSO
SSOをOffice365およびSharepointとオンラインで連携させようとしていますが、非常に混乱しています。私の内部ドメインは「internal.com」で、外部名は「external.com」です。 external.comはO365のドメインとして追加されますが、internal.comは追加されません。 internal.comを外部DNSサーバーに配置し、O365のドメインとして追加する必要がありますか?これで、内部ユーザーがexternal.sharepoint.comにサインインする必要がなくなりますか?
Office 365と同期する場合、内部ドメインはルーティング可能なアドレスである必要があり、これはユーザーのUPNサフィックスに割り当てる必要があります。ユーザーを同期するときは、内部([email protected])と同じログオンを使用してOffice365にログインします。
サーバーは内部システムと通信するように構成されているため、External.com(つまり、sts.external.com)からフェデレーションエンドポイントにアクセスできれば問題ありません。これにより、ユーザーがログインに使用する名前は変更されません。
内部ActiveDirectoryユーザーの代替UPNサフィックスとして外部ドメイン(電子メールドメイン)を追加する必要があります。
UPNサフィックスを追加するには( TechNetから )
- ActiveDirectoryドメインと信頼関係を開きます。 Active Directoryドメインと信頼関係を開くには、[スタート]ボタンをクリックし、[管理ツール]をクリックして、[ActiveDirectoryドメインと信頼関係]をクリックします。
- コンソールツリーで、[Active Directoryドメインと信頼関係]を右クリックし、[プロパティ]をクリックします。
- [UPNサフィックス]タブで、フォレストの代替UPNサフィックスを入力し、[追加]をクリックします。
- 手順3を繰り返して、代替のUPNサフィックスを追加します。
既存のユーザーのUPNサフィックスを更新する必要がある場合は、Office 365サポートサイトの この記事 に、便利なPowerShellスクリプトに関連する背景情報があります。 domain.localを使用していない可能性がありますが、概念はすべて適用されます。