Облачное приложение Office 365

• Добавьте свой домен Workspace в Microsoft Office 365. Инструкции см. в разделе «Добавление домена в Microsoft 365» .
• Установите PowerShell .

• Настройка ImmutableID — Office 365 использует атрибут ImmutableID для уникальной идентификации пользователей. Для корректной работы единого входа (SSO) между Google и Office 365 каждый пользователь Office 365 должен иметь ImmutableID, а атрибут SAML Name ID , отправляемый в Office 365 во время SSO, должен совпадать с ImmutableID.

  Неизменяемый идентификатор пользователя Office 365 зависит от способа его создания. Вот наиболее вероятные сценарии:

  • В Office 365 пока нет пользователей . — Если вы собираетесь настроить Google для автоматического создания учетных записей пользователей, вам не нужно настраивать атрибут ImmutableID. По умолчанию он сопоставляется с адресом электронной почты пользователя, именем субъекта пользователя (UPN). Перейдите к шагу 1.

  • Если пользователи были созданы в консоли администратора Office 365, поле ImmutableID должно быть пустым. Для таких пользователей используйте команду PowerShell Update-MgUser, чтобы установить значение ImmutableID в Office 365 в соответствии с именем пользователя (UPN):

    Update-MgUser -UserPrincipalName testuser@your-company.com -OnPremisesImmutableId testuser@your-company.com

    Также можно использовать команду Update-MgUser для массового обновления всех пользователей. Инструкции см. в документации PowerShell .

  • Если пользователи были созданы с помощью синхронизации Microsoft Entra ID, ImmutableID представляет собой закодированную версию objectGUID Active Directory. Для таких пользователей:
    1. Используйте PowerShell для получения ImmutableID из Entra ID. Например, чтобы получить ImmutableID для всех пользователей и экспортировать его в CSV-файл:

       $exportUsers = Get-MgUser -All | Select-Object UserprincipalName, OnPremisesImmutableId | Export-Csv C:csvfile

    2. Создайте пользовательский атрибут в Google, а затем заполните профиль каждого пользователя его неизменяемым идентификатором Office 365. Пошаговые инструкции см. в разделах « Добавить новый пользовательский атрибут» и «Обновить профиль пользователя» . Вы также можете автоматизировать этот процесс с помощью GAM (инструмент командной строки с открытым исходным кодом) или API консоли администратора .

    Для получения дополнительной информации об ImmutableID обратитесь к документации Microsoft .

1. В консоли администратора Google перейдите в меню. Приложения Веб- и мобильные приложения .

   Перейдите в раздел «Веб- и мобильные приложения».

   Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

2. Нажмите «Добавить приложение». Поиск приложений .
3. В поле «Введите название приложения» введите Office 365 .
4. В результатах поиска наведите указатель мыши на Microsoft Office 365 и нажмите «Выбрать» .
5. В окне сведений о поставщике идентификации Google , для варианта 2: скопируйте URL-адрес SSO, идентификатор сущности и сертификат :
   1. Рядом с полем «URL-адрес SSO» нажмите «Копировать». и сохраните URL-адрес.
   2. Рядом с полем «Идентификатор организации» нажмите «Копировать». и сохранить идентификатор сущности.
   3. Рядом с пунктом «Сертификат» нажмите «Копировать». и сохраните сертификат.

      Эти данные необходимы для завершения настройки в Office 365.

Оставьте консоль администратора Google открытой. После завершения шагов настройки в приложении вы продолжите настройку в консоли администратора.

1. Откройте окно браузера в режиме инкогнито, перейдите на страницу входа в Office 365 и войдите в систему, используя свою учетную запись администратора Office 365.
2. С помощью текстового редактора создайте переменные PowerShell на основе данных, скопированных на шаге 1. Вот значения, необходимые для каждой переменной:

   Переменная	Ценить
   $DomainName	" your-company .com"
   $FederationBrandName	«Google Cloud Identity» (или любое другое значение по вашему выбору)
   Аутентификация	"Федеративный"
   $PassiveLogOnUrl $ActiveLogOnUri	"URL-адрес SSO" (из шага 1)
   $СертификатПодписи	"Вставьте полный сертификат сюда" (из Шага 1)*
   $IssuerURI	"Идентификатор сущности" (из шага 1)
   $LogOffUri	"https://accounts.google.com/logout"
   $PreferredAuthenticationProtocol	"SAMLP"

   * Убедитесь, что переменная $SigningCertificate находится на одной строке текста, иначе PowerShell вернет сообщение об ошибке.
3. С помощью консоли PowerShell выполните команду Update-MgDomain, чтобы настроить домен Active Directory для федерации. Инструкции см. в документации Microsoft PowerShell .
4. (Необязательно) Для проверки настроек федерации используйте следующую команду PowerShell:

   Get-MgDomainFederationConfiguration -DomainName your-company.com | Format-List *

Примечание : Если ваш домен уже подключен к федерации и вам необходимо изменить федерацию на Google, выполните следующую команду, используя те же параметры, что указаны в таблице выше:
Update-MgDomainFederationConfiguration

1. Вернитесь на вкладку браузера консоли администратора.
2. Нажмите «Продолжить» .
3. На странице с подробной информацией об поставщике услуг :
   1. Поставьте галочку в поле «Подписанный ответ» .
   2. Для параметра «Формат идентификатора имени» выберите «Постоянный» .
   3. Для поля "Идентификатор имени" выберите один из вариантов:
      • Если вы создали пользовательский атрибут для добавления неизменяемого идентификатора Office 365 в профили пользователей, выберите этот пользовательский атрибут.
      • Если вы не создавали пользовательский атрибут ImmutableID, выберите «Основная информация». Основной адрес электронной почты .
4. Нажмите «Продолжить» .
5. На странице сопоставления атрибутов нажмите «Выбрать поле» и сопоставьте следующие атрибуты каталога Google с соответствующими атрибутами Office 365. Атрибут IDPEmail является обязательным.

   Атрибут каталога Google	атрибут Office 365
   Основные данные > Основной адрес электронной почты	IDPEmail*

6. (Необязательно) Чтобы добавить дополнительные сопоставления, нажмите «Добавить сопоставление» и выберите поля, которые необходимо сопоставить.
7. (Необязательно) Чтобы ввести названия групп, имеющих отношение к этому приложению:
   1. Для выбора членства в группе (необязательно) нажмите «Поиск группы» , введите одну или несколько букв названия группы и выберите название группы.
   2. При необходимости добавьте дополнительные группы (максимум 75 групп).
   3. В поле «Атрибут приложения» введите соответствующее имя атрибута группы поставщика услуг.

   Независимо от количества введенных вами названий групп, ответ SAML будет включать только те группы, в которые пользователь входит (прямо или косвенно). Для получения дополнительной информации перейдите в раздел «О сопоставлении членства в группах» .

8. Нажмите «Готово» .

1. В консоли администратора Google перейдите в меню. Приложения Веб- и мобильные приложения .

   Перейдите в раздел «Веб- и мобильные приложения».

   Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

2. Нажмите «Office 365» .
3. Нажмите «Доступ пользователя» .

4. Чтобы включить или выключить службу для всех сотрудников вашей организации, нажмите «Включить для всех» или «Выключить для всех» , а затем нажмите «Сохранить» .

5. (Необязательно) Чтобы включить или выключить службу для организационного подразделения:

   1. В левой части экрана выберите организационное подразделение.
   2. Чтобы изменить статус службы, выберите «Вкл. » или «Выкл.» .
   3. Выберите один вариант:
      • Если для параметра «Статус службы» установлено значение «Наследуется» , и вы хотите сохранить обновленную настройку, даже если изменится родительская настройка, нажмите «Переопределить» .
      • Если для параметра «Статус службы» установлено значение «Переопределено» , нажмите «Наследовать» , чтобы вернуться к настройкам родительского параметра, или нажмите «Сохранить» , чтобы сохранить новые настройки, даже если настройки родительского параметра изменятся.
        Узнайте больше об организационной структуре .
6. (Необязательно) Чтобы включить службу для группы пользователей в рамках организационных подразделений или внутри них, выберите группу доступа. Подробности см. в разделе «Настройка доступа к службе с помощью групп доступа» .
7. Убедитесь, что домены электронной почты ваших учетных записей Office 365 совпадают с основным доменом управляемой учетной записи Google вашей организации.

Office 365 поддерживает как инициируемый поставщиком удостоверений, так и инициируемый поставщиком услуг единый вход (SSO).

Проверка инициированного поставщиком идентификации единого входа (SSO)

1. В консоли администратора Google перейдите в меню. Приложения Веб- и мобильные приложения .

   Перейдите в раздел «Веб- и мобильные приложения».

   Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

2. Нажмите «Office 365» .
3. В разделе Office 365 нажмите «Проверить вход по SAML» .

   Приложение должно открыться в отдельной вкладке. Если этого не происходит, устраните ошибку и попробуйте снова. Подробную информацию об устранении неполадок см. в разделе «Сообщения об ошибках приложений SAML» .

Проверьте инициированный поставщиком услуг единый вход (SSO).

1. Закройте все окна браузера.
2. Перейдите на страницу входа в Office 365 и войдите в систему, используя свою учетную запись администратора Office 365.
   Вас автоматически перенаправят на страницу входа в Google.
3. Выберите свою учетную запись и введите пароль.

После подтверждения ваших учетных данных приложение должно открыться.

Будучи суперадминистратором, вы можете автоматически создавать учетные записи пользователей в приложении. Подробности см. в разделе «Настройка создания учетных записей пользователей Office 365» .