以下文档介绍如何在云同步中使用单一登录。
启用单一登录的步骤
云预配支持单一登录(SSO)。 目前,安装代理时没有启用 SSO 的选项,但可以使用以下步骤启用 SSO 并使用它。
步骤 1:下载并提取Microsoft Entra Connect 文件
- 首先,下载最新版本 的 Microsoft Entra Connect
- 使用管理员权限打开命令提示符,并导航到下载的 msi 文件。
- 运行以下命令:
msiexec /a C:\filepath\AzureADConnect.msi /qb TARGETDIR=C:\filepath\extractfolder - 更改文件路径并将
extractfolder改为与您的文件路径和提取文件夹名称相匹配。 内容现在应位于提取文件夹中。
步骤 2:导入无缝 SSO PowerShell 模块
注释
我们计划在 2024 年 3 月 30 日弃用 Azure AD PowerShell。 若要了解详细信息,请阅读 弃用通知。
我们建议迁移到 Microsoft Graph PowerShell,以便与 Microsoft Entra ID(以前称为 Azure AD)进行交互。 Microsoft Graph PowerShell 在 PowerShell 7 上提供,支持访问所有 Microsoft Graph API。 有关常见迁移查询的解答,请参阅迁移常见问题解答。
- 下载并安装 Azure AD PowerShell。
- 浏览到步骤 1 提取的文件夹中的
Azure Active Directory Connect文件夹。 - 使用以下命令导入无缝 SSO PowerShell 模块:
Import-Module .\AzureADSSO.psd1
步骤 3:获取已启用无缝 SSO 的 Active Directory 森林列表
- 以管理员身份运行 PowerShell。 在 PowerShell 中,调用
New-AzureADSSOAuthenticationContext。 出现提示时,输入 混合标识管理员的凭据。 - 调用
Get-AzureADSSOStatus。 此命令为您提供了已启用此功能的 Active Directory 林列表(请查看“域”列表)。
步骤 4:为每个 Active Directory 林启用无缝 SSO
调用
Enable-AzureADSSOForest。 出现提示时,输入目标 Active Directory 林的域管理员凭据。注释
域管理员凭据用户名必须输入 SAM 帐户名称格式(
contoso\johndoe或contoso.com\johndoe)。 我们使用用户名的域部分来查找使用 DNS 的域管理员的域控制器。注释
使用的域管理员帐户不得是受保护用户组的成员。 如果是这样,操作将失败。
在每个要在其中设置该功能的 Active Directory 林中重复上述步骤。
步骤 5:在租户上启用该功能
若要在租户上启用该功能,请调用 Enable-AzureADSSO -Enable $true。