Freitag, der 21. September 2018 - 06:55 Uhr

Single Sign On (SSO) in Outlook 2016 mit AzureAD

erstellt am: 26.01.2018 | von: DevLink | Kategorie(n): Exchange Server | Keine Kommentare

Ja voll geil jetzt haben wir mit AD Connect eine Hybrid AD hergestellt, aber halt.. Jetzt müssen die sich ja alle in Outlook erneut authentifizieren. Aber es gibt einen Weg das zu umgehen mit SSO auf Outlook 2016 und das funktioniert ganz gut. Warum haben wir kein ADFS? Ganz einfach, wer hat denn heute noch Windows Server 2008 im Einsatz?

Was wir brauchen:

  • Einen Domänencontroller mit laufender AD Connect (mindestens Windows Server 2012 R2)
  • Exchange Online (mindestens Business Premium) und AzureAD Basic
  • Viel Geduld

Zur Vorbereitung einmal auf den Exchange Online Server mit Powershell einloggen und erst einmal schauen, dass die Domäne auch für moderne Authentifizierung eingerichtet wird.
Anleitung ->Mit Powershell auf Exchange Online arbeiten

Dort dann einmal überprüfen ob der wert true oder false ist

Get-OrganizationConfig | ft name, *OAuth*
Falls dieser auf false gesetzt ist dann einmal auf true ändern:
Set-OrganizationConfig -OAuth2ClientProfileEnabled:$true

Quelle:
https://social.technet.microsoft.com/wiki/contents/articles/32711.exchange-online-how-to-enable-your-tenant-for-modern-authentication.aspx


SSO In Azure AD Connect aktivieren

Danach nach dieser Anleitung https://docs.microsoft.com/de-de/azure/active-directory/connect/active-directory-aadconnect-sso-quick-start das einmalige Anmelden aktivieren und einrichten.

Dazu dann auf dem DC folgende GPO aktivieren:

Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite

-> Option Liste der Site zu Zonenzuweisungen.

Value: https://autologon.microsoftazuread-sso.com
Data: 1
Value: https://aadg.windows.net.nsatc.net
Data: 1


Sollte so aussehen:

sso links


Als nächstes folgende GPO aktivieren:

Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite

-> Aktualisierungen der Statusleiste per Skript zulassen.


Zu guter letzt ist es notwendig noch einen Registry Hack anzuwenden:

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity]

"DisableADALatopWAMOverride"=dword:00000001


Quelle:
https://community.spiceworks.com/topic/2025536-outlook-2016-365-keeps-asking-for-credentials?page=3#entry-7420571



, , , , , , ,

Keine Kommentare


Bis jetzt noch keine Kommentare

Einen Kommentar abgeben

Themen:

50 Artikel in 7 Kategorien:

  • Backup (2)
  • Exchange Server (16)
  • Linux (6)
  • Microsoft Server (6)
  • Tutorials (7)
  • Virtualisierung (2)
  • Windows (11)