אפליקציית הענן Office 365

• מוסיפים את הדומיין שלכם ב-Workspace ל-Microsoft Office 365. הוראות מפורטות מופיעות במאמר הוספת דומיין ל-Microsoft 365.
• מתקינים את PowerShell.

• הגדרת ImmutableID –‏ Office 365 משתמש במאפיין ImmutableID כדי לזהות משתמשים באופן ייחודי. כדי שה-SSO בין Google ל-Office 365 יפעל, לכל משתמש ב-Office 365 צריך להיות ImmutableID, והמאפיין SAML Name ID שנשלח ל-Office 365 במהלך ה-SSO צריך להיות זהה ל-ImmutableID.

  ה-ImmutableID של משתמש ב-Office 365 משתנה בהתאם לאופן שבו המשתמש נוצר. אלה התרחישים הסבירים ביותר:

  • עדיין אין משתמשים ב-Office 365 – אם אתם מתכוונים להגדיר את Google להקצאת הרשאות אוטומטית למשתמשים, אתם לא צריכים להגדיר את המאפיין ImmutableID. הוא ממופה כברירת מחדל לכתובת האימייל של המשתמש, שם המשתמש העיקרי (UPN). ממשיכים לשלב 1.

  • אם המשתמשים נוצרו במסוף Admin של Office 365 – השדה ImmutableID צריך להיות ריק. למשתמשים האלה, משתמשים בפקודה PowerShell Update-MgUser כדי להגדיר את ה-ImmutableID ב-Office 365 כך שיתאים ל-UPN של המשתמש:

    Update-MgUser -UserPrincipalName testuser@your-company.com -OnPremisesImmutableId testuser@your-company.com

    אפשר גם להשתמש בפקודה Update-MgUser כדי לעדכן את כל המשתמשים בו-זמנית. הוראות מפורטות זמינות במסמכי העזרה של PowerShell.

  • אם המשתמשים נוצרו באמצעות סנכרון של Microsoft Entra ID –‏ ImmutableID היא גרסה מקודדת של Active Directory objectGUID. למשתמשים האלה:
    1. משתמשים ב-PowerShell כדי לאחזר את ה-ImmutableID מ-Entra ID. לדוגמה, כדי לאחזר את ImmutableID של כל המשתמשים ולייצא אותו לקובץ CSV:

       $exportUsers = Get-MgUser -All | Select-Object UserprincipalName, OnPremisesImmutableId | Export-Csv C:csvfile

    2. יוצרים מאפיין מותאם אישית ב-Google, ואז מאכלסים את הפרופיל של כל משתמש ב-ImmutableID שלו ב-Office 365. הוראות מפורטות זמינות במאמרים בנושא הוספת מאפיין מותאם אישית חדש ועדכון פרופיל משתמש. אפשר גם להשתמש ב-GAM (כלי שורת פקודה בקוד פתוח) או ב-Admin console APIs כדי להפוך את התהליך לאוטומטי.

    מידע נוסף על ImmutableID זמין במסמכי העזרה של מיקרוסופט.

1. במסוף Google Admin, נכנסים לתפריט אפליקציותאפליקציות לאינטרנט ולניידים.

   לדף "אפליקציות לאינטרנט ולניידים"

   כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

2. לוחצים על הוספת אפליקציהחיפוש אפליקציות.
3. בקטע איך קוראים לאפליקציה? מזינים Office 365.
4. בתוצאות החיפוש, מצביעים על Microsoft Office 365 ולוחצים על בחירה.
5. בחלון פרטי ספק זהויות של Google, באפשרות 2: מעתיקים את כתובת ה-URL של ה-SSO, את מזהה הישות ואת האישור:
   1. לצד ה-URL של ה-SSO, לוחצים על סמל ההעתקה ושומרים את כתובת ה-URL.
   2. לצד מזהה הישות, לוחצים על סמל ההעתקה ושומרים את מזהה הישות.
   3. לצד אישור, לוחצים על סמל ההעתקה ושומרים את האישור.

      תצטרכו את הפרטים האלה כדי לסיים את ההגדרה ב-Office 365.

משאירים את מסוף Google Admin פתוח. אחרי שתבצעו את שלבי ההגדרה באפליקציה, תמשיכו את ההגדרה במסוף Admin.

1. פותחים חלון פרטי בדפדפן, עוברים לדף הכניסה של Office 365 ונכנסים באמצעות חשבון האדמין של Office 365.
2. באמצעות כלי לעריכת טקסט, יוצרים משתני PowerShell מהנתונים שהעתקתם בשלב 1. אלה הערכים שצריך לציין לכל משתנה:

   משתנה	ערך
   $DomainName	‫"your-company.com"
   $FederationBrandName	‫Google Cloud Identity (או כל ערך אחר שתבחרו)
   $Authentication	"מאוחד"
   $PassiveLogOnUrl $ActiveLogOnUri	‫"SSO URL" (מתוך שלב 1)
   $SigningCertificate	‫"Paste complete certificate here" (הדבקת האישור המלא כאן) (משלב 1)*
   ‎$IssuerURI	‫"Entity ID" (משלב 1)
   $LogOffUri	"https://accounts.google.com/logout"
   $PreferredAuthenticationProtocol	"SAMLP"

   ‫* מוודאים שהמשתנה $SigningCertifcate נמצא בשורה אחת של טקסט, אחרת PowerShell יחזיר הודעת שגיאה.
3. באמצעות מסוף PowerShell, מריצים את הפקודה Update-MgDomain כדי להגדיר את דומיין Active Directory לאיחוד. הוראות מפורטות זמינות במאמרי העזרה של Microsoft PowerShell.
4. (אופציונלי) כדי לבדוק את הגדרות האיחוד, משתמשים בפקודת PowerShell הבאה:

   Get-MgDomainFederationConfiguration -DomainName your-company.com | Format-List *

הערה: אם הדומיין שלכם כבר מאוחד ואתם צריכים לשנות את האיחוד ל-Google, מריצים את הפקודה הבאה באמצעות אותם פרמטרים שמפורטים בטבלה שלמעלה:
Update-MgDomainFederationConfiguration

1. חוזרים לכרטיסייה של מסוף Admin בדפדפן.
2. לוחצים על המשך.
3. בדף פרטי ספק השירות:
   1. מסמנים את התיבה תשובה חתומה.
   2. בקטע Name ID format (פורמט מזהה שם), בוחרים באפשרות Persistent (קבוע).
   3. בוחרים אפשרות בשדה מזהה שם:
      • אם יצרתם מאפיין מותאם אישית כדי להוסיף את ה-ImmutableID של Office 365 לפרופילים של המשתמשים, בוחרים את המאפיין המותאם אישית.
      • אם לא יצרתם מאפיין ImmutableID מותאם אישית, בוחרים באפשרות מידע בסיסיכתובת אימייל ראשית.
4. לוחצים על המשך.
5. בדף מיפוי מאפיינים, לוחצים על בחירת שדה וממפים את המאפיינים הבאים של ספריית Google למאפיינים התואמים שלהם ב-Office 365. חובה להזין את מאפיין IDPEmail.

   מאפיין של ספריית Google	מאפיין Office 365
   מידע בסיסי > כתובת אימייל ראשית	IDPEmail*

6. (אופציונלי) כדי להוסיף עוד מיפויים, לוחצים על הוספת מיפוי ובוחרים את השדות שרוצים למפות.
7. (אופציונלי) אפשר להזין שמות של קבוצות שרלוונטיות לאפליקציה הזאת:
   1. בקטע חברות בקבוצה (אופציונלי), לוחצים על חיפוש של קבוצה, מזינים אות אחת או יותר מהשם של הקבוצה ובוחרים את הקבוצה הרצויה.
   2. מוסיפים עוד קבוצות לפי הצורך (אפשר להוסיף עד 75 קבוצות).
   3. בשדה מאפיין אפליקציה, מזינים את שם המאפיין של הקבוצות הרלוונטיות של ספק השירות.

   תגובת SAML תכלול רק קבוצות שמשתמש חבר בהן (באופן ישיר או עקיף), בלי קשר לכמות של שמות הקבוצות שמזינים. מידע נוסף זמין במאמר מידע על מיפוי של חברוּת בקבוצות.

8. לוחצים על סיום.

1. במסוף Google Admin, נכנסים לתפריט אפליקציותאפליקציות לאינטרנט ולניידים.

   לדף "אפליקציות לאינטרנט ולניידים"

   כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

2. לוחצים על Office 365.
3. לוחצים על גישת משתמשים.

4. כדי להפעיל או להשבית שירות לכולם בארגון, לוחצים על מופעל לכולם או על מושבת לכולם ואז לוחצים על שמירה.

5. (אופציונלי) כדי להפעיל או להשבית שירות ביחידה ארגונית:

   1. בצד ימין, בוחרים את היחידה הארגונית.
   2. כדי לשנות את סטטוס השירות, בוחרים באפשרות מופעל או מושבת.
   3. בוחרים אפשרות:
      • אם ההגדרה של סטטוס השירות היא הועבר בירושה ואתם רוצים שההגדרה שעדכנתם תישמר גם אם הגדרת ההורה תשתנה, לוחצים על שינוי.
      • אם ההגדרה של סטטוס השירות היא בוטל ואתם רוצים לחזור להגדרה שיש להורה, לוחצים על העברה בירושה. לחלופין, אם אתם רוצים שההגדרה החדשה תישמר גם אם ההגדרה של ההורה תשתנה, לוחצים על שמירה.
        מידע נוסף על מבנה ארגוני
6. (אופציונלי) כדי להפעיל שירות לקבוצה של משתמשים בתוך יחידה ארגונית או בכמה יחידות ארגוניות שונות, צריך לבחור בקבוצת גישה. מידע נוסף מופיע במאמר בנושא הגדרה של קבוצות גישה כדי לתת הרשאות לשירותים שונים בהתאם לצרכים.
7. מוודאים שהדומיינים באימיילים של חשבונות המשתמשים ב-Office 365 תואמים לדומיין הראשי של חשבון Google המנוהל של הארגון.

אפליקציית Office 365 תומכת ב-SSO ביוזמת ספק הזהויות וגם ב-SSO ביוזמת ספק השירות.

אימות SSO ביוזמת ספק הזהויות

1. במסוף Google Admin, נכנסים לתפריט אפליקציותאפליקציות לאינטרנט ולניידים.

   לדף "אפליקציות לאינטרנט ולניידים"

   כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

2. לוחצים על Office 365.
3. בקטע Office 365, לוחצים על בדיקת התחברות ל-SAML.

   האפליקציה אמורה להיפתח בכרטיסייה נפרדת. אם לא, פותרים את הבעיה שמופיעה בהודעת השגיאה ומנסים שוב. פרטים על פתרון בעיות זמינים במאמר בנושא הודעות שגיאה באפליקציות SAML.

אימות SSO ביוזמת ספק השירות

1. סוגרים את כל חלונות הדפדפן.
2. עוברים אל דף הכניסה ל-Office 365 ונכנסים באמצעות חשבון האדמין ב-Office 365.
   המערכת אמורה להפנות אתכם אוטומטית לדף של כניסה באמצעות חשבון Google.
3. בוחרים את החשבון ומזינים את הסיסמה.

אחרי שמאמתים את פרטי הכניסה, האפליקציה אמורה להיפתח.

סופר-אדמינים יכולים להקצות הרשאות למשתמשים באפליקציה באופן אוטומטי. למידע נוסף אפשר לעבור למאמר בנושא הגדרת הקצאת הרשאות אוטומטית למשתמשים ב-Office 365.