Aplikacja chmurowa Office 365

• Dodaj domenę Workspace do Microsoft Office 365. Instrukcje znajdziesz w artykule o dodawaniu domeny do Microsoft 365.
• Zainstaluj PowerShell.

• Skonfiguruj atrybut ImmutableID – Office 365 korzysta z atrybutu ImmutableID w celu unikalnej identyfikacji użytkowników. Aby logowanie jednokrotne (SSO) między Google a Office 365 mogło działać poprawnie, każdy użytkownik Office 365 musi mieć atrybut ImmutableID, a atrybut identyfikatora nazwy SAML wysyłany do aplikacji Office 365 podczas logowania jednokrotnego musi być taki sam jak ImmutableID.

  Atrybut ImmutableID użytkownika aplikacji Office 365 różni się w zależności od tego, jak utworzono konto użytkownika. Oto najbardziej prawdopodobne scenariusze:

  • Brak użytkowników w aplikacje Office 365 – jeśli zamierzasz skonfigurować automatyczną obsługę administracyjną użytkowników w Google, nie musisz konfigurować atrybutu ImmutableID. Jest on domyślnie mapowany na adres e-mail użytkownika, czyli główną nazwę użytkownika (UPN). Przejdź do kroku 1.

  • Jeśli konta użytkowników zostały utworzone w konsoli administracyjnej Office 365, atrybut ImmutableID powinien być pusty. W przypadku tych użytkowników użyj polecenia PowerShell Update-MgUser do skonfigurowania atrybutu ImmutableID w aplikacji Office 365 tak, aby był on zgodny z UPN użytkownika:

    Update-MgUser -UserPrincipalName testuser@your-company.com -OnPremisesImmutableId testuser@your-company.com

    Możesz też użyć polecenia Update-MgUser, aby przesłać zbiorczo wszystkich użytkowników. Instrukcje znajdziesz w dokumentacji PowerShell.

  • Jeśli użytkownicy zostali utworzeni za pomocą synchronizacji z usługą Microsoft Entra ID, atrybut ImmutableID jest zakodowaną wersją atrybutu objectGUID usługi Active Directory. W przypadku tych użytkowników:
    1. Użyj PowerShell, aby pobrać atrybut ImmutableID z Entra ID. Aby na przykład pobrać atrybut ImmutableID dla wszystkich użytkowników i wyeksportować go do pliku CSV:

       $exportUsers = Get-MgUser -All | Select-Object UserprincipalName, OnPremisesImmutableId | Export-Csv C:csvfile

    2. Utwórz atrybut niestandardowy w Google, a następnie uzupełnij profil każdego użytkownika indywidualnym atrybutem ImmutableID aplikacji Office 365. Odpowiednie instrukcje znajdziesz w sekcji Dodawanie nowego atrybutu niestandardowego artykułu Tworzenie niestandardowych atrybutów profili użytkowników oraz w sekcji Aktualizowanie profilu użytkownika artykułu Dodawanie informacji do profilu użytkownika w katalogu. Możesz też zautomatyzować ten proces, używając GAM (narzędzie wiersza poleceń typu open source) lub interfejsów API konsoli administracyjnej.

    Więcej informacji o atrybucie ImmutableID znajdziesz w dokumentacji firmy Microsoft.

1. W konsoli administracyjnej Google otwórz Menu  AplikacjeAplikacje internetowe i mobilne.

   Otwórz stronę Aplikacje internetowe i mobilne

   Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

2. Kliknij Dodaj aplikacjęWyszukaj aplikacje.
3. W polu Enter app name (Wpisz nazwę aplikacji) wpisz Office 365.
4. W wynikach wyszukiwania najedź kursorem na Microsoft Office 365 i kliknij Wybierz.
5. W oknie Informacje o dostawcy tożsamości Google w obszarze Opcja 2: skopiuj adres URL logowania jednokrotnego, identyfikator jednostki i certyfikat:
   1. Obok opcji Adres URL logowania jednokrotnego kliknij Kopiuj  i zapisz adres URL.
   2. Obok opcji Identyfikator jednostki kliknij Kopiuj  i zapisz identyfikator jednostki.
   3. Obok opcji Certyfikat kliknij Kopiuj  i zapisz certyfikat.

      Te informacje są potrzebne do ukończenia konfiguracji w aplikacji Office 365.

Konsolę administracyjną Google pozostaw otwartą. Po ukończeniu konfiguracji w aplikacji będziesz kontynuować konfigurowanie w konsoli administracyjnej.

1. Otwórz okno przeglądarki w trybie incognito, wejdź na stronę logowania Office 365 i zaloguj się na konto administratora tej aplikacji.
2. W edytorze tekstu utwórz zmienne PowerShell na podstawie danych skopiowanych w kroku 1. Oto wartości, które są niezbędne dla każdej zmiennej:

   Zmienna	Wartość
   $DomainName	„twoja-firma.com”
   $FederationBrandName	„Google Cloud Identity” (lub inna wybrana wartość)
   $Authentication	„Federacyjna”
   $PassiveLogOnUrl $ActiveLogOnUri	„SSO URL” (z kroku 1)
   $SigningCertificate	„Tutaj wklej cały certyfikat” (z kroku 1)*
   $IssuerURI	„Identyfikator jednostki” (z kroku 1)
   $LogOffUri	"https://accounts.google.com/logout"
   $PreferredAuthenticationProtocol	„SAMLP”

   * Upewnij się, że zmienna $SigningCertifcate znajduje się w całości w jednej linii tekstu – w przeciwnym razie PowerShell wyświetli komunikat o błędzie.
3. Używając konsoli PowerShell, uruchom polecenie Update-MgDomain, aby skonfigurować domenę Active Directory dla federacji. Instrukcje znajdziesz w dokumentacji Microsoft PowerShell.
4. (Opcjonalnie) Aby przetestować ustawienia federacji, wpisz to polecenie PowerShell:

   Get-MgDomainFederationConfiguration -DomainName your-company.com | Format-List *

Uwaga: jeśli Twoja domena jest już sfederowana i musisz zmienić federację na Google, uruchom to polecenie, używając parametrów wymienionych w tabeli powyżej:
Update-MgDomainFederationConfiguration

1. Wróć na kartę przeglądarki z konsolą administracyjną.
2. Kliknij Dalej.
3. Na stronie Informacje o dostawcy usługi:
   1. Zaznacz pole Podpisana odpowiedź.
   2. W polu Format identyfikatora nazwy wybierz Trwały.
   3. W polu Identyfikator nazwy wybierz opcję:
      • Jeśli utworzono atrybut niestandardowy, aby dodać atrybut ImmutableID aplikacji Office 365 do profili użytkowników, wybierz atrybut niestandardowy.
      • Jeśli nie utworzono atrybutu niestandardowego ImmutableID, wybierz Basic Information (Informacje podstawowe)  Primary email (Podstawowy adres e-mail).
4. Kliknij Dalej.
5. Na stronie Mapowanie atrybutów kliknij menu Wybierz pole i zmapuj te atrybuty katalogu Google dla odpowiednich atrybutów Office 365. Atrybut IDPEmail jest wymagany.

   Atrybut katalogu Google	Atrybut Office 365
   Basic Information > Primary Email	IDPEmail*

6. (Opcjonalnie) Aby dodać kolejne mapowania, kliknij Dodaj mapowanie i wybierz pola, które chcesz zmapować.
7. (Opcjonalnie) Aby wpisać nazwy grup odpowiednie dla tej aplikacji:
   1. W polu Członkostwo w grupie (opcjonalne) kliknij Wyszukaj grupę, wpisz co najmniej jedną literę nazwy grupy i wybierz nazwę grupy.
   2. W razie potrzeby dodaj kolejne grupy (maksymalnie 75 grup).
   3. W polu Atrybut aplikacji wpisz odpowiednią nazwę atrybutu grup usługodawcy.

   Bez względu na to, ile nazw grup wpiszesz, odpowiedź SAML będzie zawierać tylko grupy, do których należy użytkownik (bezpośrednio lub pośrednio). Więcej informacji znajdziesz w artykule Mapowanie członkostwa w grupie.

8. Kliknij Zakończ.

1. W konsoli administracyjnej Google otwórz Menu  AplikacjeAplikacje internetowe i mobilne.

   Otwórz stronę Aplikacje internetowe i mobilne

   Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

2. Kliknij Office 365.
3. Kliknij Dostęp użytkownika.

4. Aby włączyć lub wyłączyć usługę dla wszystkich użytkowników w organizacji, kliknij Włączone dla wszystkich lub Wyłączone dla wszystkich, a następnie Zapisz.

5. (Opcjonalnie) Aby włączyć lub wyłączyć usługę w jednostce organizacyjnej:

   1. Po lewej stronie wybierz jednostkę organizacyjną.
   2. Aby zmienić stan usługi, wybierz Wł. lub Wył..
   3. Wybierz jedną z tych opcji:
      • Jeśli stan usługi to Dziedziczone i chcesz zachować zaktualizowane ustawienie, nawet jeśli ustawienie nadrzędne ulegnie zmianie, kliknij Zastąp.
      • Jeśli stan usługi to Zastąpione, kliknij Odziedzicz, aby przywrócić to samo ustawienie co jego ustawienie nadrzędne, lub Zapisz, aby zachować nowe ustawienie nawet wtedy, gdy ustawienie nadrzędne ulegnie zmianie.
        Dowiedz się więcej o strukturze organizacyjnej.
6. (Opcjonalnie) Aby włączyć usługę dla grupy użytkowników w jednej lub kilku jednostkach organizacyjnych, wybierz grupę dostępu. Więcej informacji znajdziesz w artykule Dostosowywanie dostępu do usług za pomocą grup dostępu.
7. Sprawdź, czy domeny adresów e-mail kont użytkowników Office 365 są zgodne z domeną podstawową zarządzanego konta Google organizacji.

Office 365 obsługuje logowanie jednokrotne inicjowane zarówno przez dostawcę tożsamości, jak i przez dostawcę usług.

Weryfikowanie logowania jednokrotnego zainicjowanego przez dostawcę tożsamości

1. W konsoli administracyjnej Google otwórz Menu  AplikacjeAplikacje internetowe i mobilne.

   Otwórz stronę Aplikacje internetowe i mobilne

   Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

2. Kliknij Office 365.
3. W sekcji Office 365 kliknij Testuj logowanie SAML.

   Aplikacja powinna otworzyć się w osobnej karcie. Jeśli tak się nie stanie, rozwiąż problem z komunikatem o błędzie i spróbuj ponownie. Szczegółowe informacje o rozwiązywaniu problemów znajdziesz w sekcji Komunikaty o błędach aplikacji SAML.

Weryfikowanie logowania jednokrotnego zainicjowanego przez dostawcę usług

1. Zamknij wszystkie okna przeglądarki.
2. Wejdź na stronę logowania Office 365 i zaloguj się na konto administratora Office 365.
   Powinno nastąpić automatyczne przekierowanie na stronę logowania Google.
3. Wybierz swoje konto i wpisz hasło.

Gdy dane logowania zostaną uwierzytelnione, powinna otworzyć się aplikacja.

Jako superadministrator możesz włączyć automatyczną obsługę administracyjną użytkowników w aplikacji. Szczegółowe informacje znajdziesz w artykule Konfigurowanie obsługi administracyjnej użytkowników aplikacji Office 365.