Office 365-cloud-app

• Voeg uw Google Workspace-domein toe aan Microsoft Office 365. Zie Add a domain to Microsoft 365 (Een domein toevoegen aan Microsoft 365) voor instructies.
• Installeer PowerShell (met Microsoft Azure Active Directory-module).

Office 365 gebruikt het kenmerk ImmutableID als unieke ID voor gebruikers. Als u wilt dat SSO tussen Google en Office 365 werkt, moet elke Office 365-gebruiker een ImmutableID hebben en moet het kenmerk SAML Name ID (SAML-naam-ID) dat tijdens SSO naar Office 365 wordt gestuurd, hetzelfde zijn als de ImmutableID.

De ImmutableID van een Office 365-gebruiker hangt af van hoe de gebruiker is gemaakt. Dit zijn de meest voorkomende scenario's:

• Er zijn nog geen gebruikers in Office 365. Als u instelt dat Google gebruikers automatisch registreert hoeft u de ImmutableID niet in te stellen. Deze wordt standaard toegewezen aan het e-mailadres van de gebruiker (de User Principal Name of UPN). Ga door met stap 2 hieronder.
• Als gebruikers zijn gemaakt in de Office 365-Beheerdersconsole, moet u de ImmutableID leeg laten. Gebruik voor deze gebruikers de PowerShell-opdracht Set-MsolUser om de ImmutableID in Office 365 zo in te stellen dat deze overeenkomt met de UPN van de gebruiker: 

  Set-MsolUser -UserPrincipalName testgebruiker@uwdomein.com -ImmutableId testgebruiker@uwdomein.com

  Met Set-MsolUser kunt u ook alle gebruikers tegelijk updaten. Bekijk de PowerShell-documentatie voor specifieke instructies.

• Als gebruikers zijn gemaakt via Azure Active Directory-synchronisatie, is de ImmutableID een gecodeerde versie van de objectGUID van Active Directory. Doe het volgende voor deze gebruikers:
  1. Haal met PowerShell de ImmutableID op uit Azure AD. Voer bijvoorbeeld de volgende opdracht uit om de ImmutableID op te halen voor alle gebruikers en te exporteren naar een csv-bestand:

     $exportUsers = Get-MsolUser -All | Select-Object UserprincipalName, ImmutableID | Export-Csv C:\csvfile

  2. Maak een aangepast kenmerk in Google en vul in de profielen van alle gebruikers hun ImmutableID van Office 365 in. Zie Een nieuw aangepast kenmerk toevoegen en Een gebruikersprofiel updaten voor instructies. U kunt dit proces ook automatiseren met GAM (een open source opdrachtregeltool) of de Workspace Admin SDK.

Bekijk de Microsoft-documentatie voor meer informatie over de ImmutableID.

1. Log in bij de Google Beheerdersconsole.

   Log in met een account met hoofdbeheerdersrechten (eindigt niet op @gmail.com).

2. Ga in de Beheerdersconsole naar Menu  BeveiligingVerificatieSSO met SAML-apps.

   U moet zijn ingelogd als hoofdbeheerder om deze taak te kunnen uitvoeren.

3. Ga naar het gedeelte Single sign-on (SSO) instellen, kopieer de SSO-URL en de Entiteits-ID en sla deze op, en download het Certificaat.

Ga dan naar Office 365 om de installatiestappen in stap 3 uit te voeren. In stap 4 hieronder gaat u terug naar de Beheerdersconsole om de SSO-configuratie af te ronden.

1. Open een nieuw browsertabblad en log als beheerder in bij de Office 365-app.
2. Maak in een teksteditor PowerShell-variabelen van de IdP-gegevens die u heeft gekopieerd bij Google. U moet de volgende waarden invullen voor elke variabele:

   Variabele	Waarde
   $DomainName	“uwdomein.com”
   $FederationBrandName	“Google Cloud Identity” (of een andere waarde die u kiest)
   $Authentication	“Federated”
   $PassiveLogOnUrl $ActiveLogOnUri	“SSO URL” (uit de Google-IdP-gegevens)
   $SigningCertificate	“Paste complete certificate here” (uit de Google-IdP-gegevens)*
   $IssuerURI	“Entity ID” (uit de Google-IdP-gegevens)
   $LogOffUri	“https://accounts.google.com/logout”
   $PreferredAuthenticationProtocol	“SAMLP”

   *Zorg dat de variabele $SigningCertifcate uit één regel tekst bestaat, anders krijgt u een foutmelding van PowerShell.
3. Voer in de PowerShell-console de opdracht Set-MsolDomainAuthentication uit om federatie in te stellen voor uw Active Directory-domein. Bekijk de Documentatie over Microsoft PowerShell voor specifieke instructies.
4. (Optioneel): Gebruik de volgende PowerShell-opdracht om de federatie-instellingen te testen: 

   Get-MSolDomainFederationSettings -DomainName uwdomein.com | Format-List *

Opmerking: Als uw domein al is gefedereerd en u de federatie wilt wijzigen naar Google, voert u de opdracht
Set-MsolDomainFederationSettings uit met dezelfde parameters als in de tabel hierboven.

1. Log in bij de Google Beheerdersconsole.

   Log in met een account met hoofdbeheerdersrechten (eindigt niet op @gmail.com).

2. Ga in de Beheerdersconsole naar Menu  AppsWeb- en mobiele apps.
3. Klik op App toevoegenApps zoeken.
4. Vul Office 365 in het zoekveld in.
5. Plaats in de zoekresultaten de muisaanwijzer op de SAML-app van Office 365 en klik op Selecteren.
6. Klik op de pagina Google-identiteitsprovidergegevens op Doorgaan.
7. Doe het volgende op de pagina Serviceprovidergegevens:
   1. Vink het vakje aan voor Ondertekende reactie.
   2. Stel de indeling Naam-ID in op PERSISTENT.
   3. Als u een aangepast kenmerk heeft gemaakt om de ImmutableID van Office 365 toe te voegen aan het profiel van uw Google-gebruikers (zie stap 1 hierboven), selecteert u het aangepaste kenmerk bij Naam-ID. Stel Naam-ID anders in op Basisgegevens > Primair e-mailadres.
8. Klik op Doorgaan.
9. Klik op de pagina Kenmerktoewijzing op het menu Veld selecteren en wijs de volgende Google-directorykenmerken toe aan de bijbehorende Office 365-kenmerken:
    

   Google-directorykenmerk	Office 365-kenmerk
   Basic Information > Primary Email (Algemene informatie > Primaire e-mailadres)	IDPEmail

10. (Optioneel) Als u gegevens over groepslidmaatschap van een gebruiker wilt versturen in de SAML-reactie, vult u de groepsnamen die relevant zijn voor deze app in het veld Groepslidmaatschap in.

    1. Klik onder Google Groepen op het invoerveld Zoeken naar een groep.
    2. Typ een of meer letters van de groepsnaam.
    3. Kies de groepsnaam in het dropdownmenu.
    4. Voeg indien nodig meer groepen toe (het totale aantal groepen mag niet hoger zijn dan 75).
    5. Vul onder App-kenmerk de naam in van het overeenkomstige groepskenmerk van de serviceprovider.

    Opmerking: Ongeacht de hoeveelheid groepsnamen die u invult, bevat de SAML-reactie alleen groepen waarvan een gebruiker lid is (direct of indirect). Zie Over groepslidmaatschappen toewijzen voor meer informatie.

11. Klik op Voltooien.

1. Log in bij de Google Beheerdersconsole.

   Log in met een account met hoofdbeheerdersrechten (eindigt niet op @gmail.com).

2. Ga in de Beheerdersconsole naar Menu  AppsWeb- en mobiele apps.
3. Selecteer Office 365.
4. Klik op Gebruikerstoegang.

5. Als u een service wilt in- of uitschakelen voor iedereen in uw organisatie, klikt u op Ingeschakeld voor iedereen of Uitgeschakeld voor iedereen. Klik vervolgens op Opslaan.

6. (Optioneel) Zo zet u service aan of uit voor een organisatie-eenheid:

   1. Selecteer links de organisatie-eenheid.
   2. Selecteer Aan of Uit om de servicestatus te wijzigen.
   3. Kies een van deze opties:
      • Als de servicestatus is ingesteld op Overgenomen en u de geüpdatete instelling wilt behouden, zelfs als de instelling voor de bovenliggende organisatie-eenheid wordt gewijzigd, klikt u op Overschrijven.
      • Als de servicestatus is ingesteld op Overschrijven, klikt u op Overnemen om de instelling hetzelfde te maken als de instelling voor de bovenliggende organisatie-eenheid, of op Opslaan om de nieuwe instelling te behouden, zelfs als de instelling voor de bovenliggende organisatie-eenheid wordt gewijzigd.
        Opmerking: Bekijk meer informatie over de organisatiestructuur.

7. (Optioneel) Schakel de service in voor een groep gebruikers.
   Gebruik toegangsgroepen om een service in te schakelen voor specifieke gebruikers binnen een organisatie-eenheid of in verschillende organisatie-eenheden. Meer informatie

8. Check of de e-mail-ID's van uw Office 365-gebruikersaccounts overeenkomen met die in uw Google-domein.

Office 365 ondersteunt zowel door de identiteitsprovider (IdP) als de serviceprovider (SP) gestarte SSO. Volg deze stappen om SSO te verifiëren in een van beide modi:

Door IdP gestart

1. Log in bij de Google Beheerdersconsole.

   Log in met een account met hoofdbeheerdersrechten (eindigt niet op @gmail.com).

2. Ga in de Beheerdersconsole naar Menu  AppsWeb- en mobiele apps.
3. Selecteer Office 365.
4. Klik linksboven op Test SAML login (SAML-login testen). 

   Als het goed is, wordt Office 365 geopend in een nieuw tabblad. Als dit niet het geval is, gebruikt u de informatie in de SAML-foutmeldingen die worden weergegeven om de IdP- en SP-instellingen te updaten en test u de SAML-inlog opnieuw.

Door SP gestart

1. Open https://login.microsoftonline.com/.
   Als het goed is, wordt u automatisch doorgestuurd naar de inlogpagina van Google.
2. Voer uw inloggegevens in.
3. Nadat uw inloggegevens zijn geverifieerd, wordt u automatisch teruggestuurd naar Office 365.

Als hoofdbeheerder kunt u gebruikers automatisch laten registreren bij de Office 365-app.