Office 365 Single Sign On

Beim Einsatz von Outlook nach der Migration von einem lokalen Exchangeserver zu Office 365 gab es bei unserer Installation zwei Probleme. Zum einen muss man Benutzernamen und Passwort eintragen und das Passwort jedes Mal auch in Outlook ändern, wenn man es in der Domäne geändert hat oder ändern musste. Zum anderen wird beim ersten Start von Outlook der falsche Benutzername vorgeschlagen.

image

Als Benutzername im Fenster oben wird der sogenannte UPN (UserPrincipalName) aus dem Active Directory verwendet. Diesen findet man in der Registerkarte “Konto” unter “Benutzeranmeldename”. Obwohl hier zwei Felder angezeigt werden, ist der UPN nur ein Wert, der aus beiden Feldern zusammengesetzt wird.

image

Wieso schalt.intra?
Früher gab es die Empfehlung, einen Domänennamen zu verwenden, der nicht im Internet aufgelöst werden kann wie domäne.local oder domäne.intra. Heute wird zwar empfohlen, eine Subdomäne der öffentlichen Domäne wie intern.schalt.ch zu verwenden, aber viele Netzwerke sind schon sehr lange in Betrieb und den Domänennamen ändert man nicht einfach so ohne äusseren Zwang. Das Problem wäre aber sowieso auch mit einer Subdomäne vorhanden.

Damit beim Start von Outlook die richtige Adresse vorgeschlagen wird, muss man also den UPN auf die Domäne ändern, die auch für die Mailadresse verwendet wird (bei uns sind das verschiedene). Wie man weitere UPN Suffixe in einem Active Directory hinzufügt, ist in diesem KB Artikel beschrieben: Zuerst öffnet man “Active Directory-Domänen und –Vertrauensstellungen” und öffnet die Eigenschaften durch einen Rechtsklick. Hier kann man nun die gewünschten “Benutzerprinzipalnamen-Suffixe” hinzufügen.

image

Danach lässt sich pro Benutzer auswählen, welches Suffix der UPN verwenden soll.

image

Dies lässt sich über Powershell automatisieren. Man findet einige ausgefeilte Skripts im Internet, ich wollte aber möglichst alles selber unter Kontrolle haben. Daher habe ich es über zwei kleine einfache Skripts gelöst. Das eine exportiert in eine CSV:

Get-ADUser -filter * -SearchBase "OU=xy,DC=yz" -Properties Userprincipalname,Name,Mail | Select-Object Userprincipalname,Name,Mail | Export-Csv -Path C:\Pfad\UPN_change.csv

Über den Schalter –SearchBase kann man mit nur einem einzelnen Benutzer Tests durchführen und dann mit einer kleinen OU starten. Ausserdem kann so die CSV Datei gesichtet werden, bevor man mit dem nächsten Skript fortfährt. In diesem wird die Mailadresse aus der CSV Datei dem UserPrincipalName zugewiesen.

Import-CSV "C:\Users\administrator.SCHALT\Desktop\PS\UPN_change.csv" | ForEach-Object {
Get-ADUser  -Filter "mail -eq '$($_.mail)'" |
Set-ADUser -UserPrincipalName $_.mail
}

Nach dieser Umstellung wird wie gewünscht die richtige Mailadresse als Benutzernamen für Outlook vorgeschlagen.

image

Noch viel praktischer wäre es aber, wenn man gar kein Passwort eingeben müsste. Neu gibt es Single Sign On auch ohne Active Directory Federation Services (AD FS). Dazu muss man die neueste Version von Azure AD Connect herunterladen und dann konfigurieren. Dies ist in diesem Technet Blog Beitrag beschrieben. Nach erfolgtem Upgrade von Azure AD Connect konnte ich aber SSO immer noch nicht aktivieren.

image

Durch einen Klick auf das gelbe Ausrufezeichen kommt man auf diese Seite. Unter “Single Sign On (SSO) prerequisites” ist beschrieben, welche Ausnahmen für SSO auf der Firewall erstellt werden müssen. Diese Freigaben werden nur für die Konfiguration benötigt und können danach wieder rückgängig gemacht werden.

image

Danach kann man das Häklein setzen und “Einmaliges Anmelden aktivieren”. Auf der gleichen Seite wie oben ist auch beschrieben, welche beiden Internetadressen zu der Intranetzone hinzugefügt werden müssen, damit der Browser die Anmeldedaten übermittelt.

Exchange Online ist aber standardmässig noch nicht für “modern authentication” vorbereitet, was aber gemäss diesem Artikel noch aktiviert werden kann.

image

Nun wird beim Start von Outlook das Passwort der Windowsanmeldung an Office 365 übermittelt, wie gewünscht. Leider hat es immer noch einen Schönheitsfehler. Bei der ersten Anmeldung öffnet sich wie vorher ein Fenster für Benutzernamen und Passwort, das aber anders als vorher aussieht. Sobald man ins Fenster klickt, um das Passwort einzugeben, schliesst sich das Fenster und man wird korrekt angemeldet. Das Passwort wird also wie gewünscht im Hintergrund übertragen, man muss es nicht eingeben. Dass sich das Fenster öffnet und die Ersteinrichtung stehen bleibt, bis man ins Fenster geklickt hat, sieht eher nach einem Bug aus. Mal schauen, ob sich das noch lösen lässt.

image

Ausserdem wird das Passwort mit dem Browser übermittelt. Wenn man sich mit dem Internet Explorer (noch nicht mit Edge) am Office 365 Portal anmeldet, muss man auch dort nur noch den Benutzernamen angeben, das Passwort wird automatisch übermittelt.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s