Ja voll geil jetzt haben wir mit AD Connect eine Hybrid AD hergestellt, aber halt.. Jetzt müssen die sich ja alle in Outlook erneut authentifizieren. Aber es gibt einen Weg das zu umgehen mit SSO auf Outlook 2016 und das funktioniert ganz gut. Warum haben wir kein ADFS? Ganz einfach, wer hat denn heute noch Windows Server 2008 im Einsatz?
Was wir brauchen:
- Einen Domänencontroller mit laufender AD Connect (mindestens Windows Server 2012 R2)
- Exchange Online (mindestens Business Premium) und AzureAD Basic
- Viel Geduld
Zur Vorbereitung einmal auf den Exchange Online Server mit Powershell einloggen und erst einmal schauen, dass die Domäne auch für moderne Authentifizierung eingerichtet wird.
Anleitung ->Mit Powershell auf Exchange Online arbeiten
Dort dann einmal überprüfen ob der wert true oder false ist
Get-OrganizationConfig | ft name, *OAuth*Falls dieser auf false gesetzt ist dann einmal auf true ändern:
Set-OrganizationConfig -OAuth2ClientProfileEnabled:$true
SSO In Azure AD Connect aktivieren
Danach nach dieser Anleitung https://docs.microsoft.com/de-de/azure/active-directory/connect/active-directory-aadconnect-sso-quick-start das einmalige Anmelden aktivieren und einrichten.
Dazu dann auf dem DC folgende GPO aktivieren:
Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite
-> Option Liste der Site zu Zonenzuweisungen.
Value: https://autologon.microsoftazuread-sso.com
Data: 1
Value: https://aadg.windows.net.nsatc.net
Data: 1
Sollte so aussehen:
Als nächstes folgende GPO aktivieren:
Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite
-> Aktualisierungen der Statusleiste per Skript zulassen.
Zu guter letzt ist es notwendig noch einen Registry Hack anzuwenden:
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity]
"DisableADALatopWAMOverride"=dword:00000001