Облачное приложение Office 365

• Добавьте домен Google Workspace в Microsoft Office 365. Инструкции приведены в этой статье.
• Установите PowerShell (с модулем Microsoft Azure Active Directory).

Office 365 использует атрибут ImmutableID для идентификации пользователей. Чтобы система единого входа для Google и Office 365 работала, у каждого пользователя Office 365 должен быть этот атрибут. Он должен совпадать с идентификатором названия для SAML, отправляемым в Office 365 при входе с использованием SSO.

Значение атрибута ImmutableID будет зависеть от способа создания пользователя Office 365. Ниже перечислены наиболее распространенные варианты.

• В Office 365 пока нет пользователей. Если в настройках Google вы задали автоматическую подготовку пользователей, атрибут ImmutableID настраивать не нужно, поскольку он по умолчанию сопоставляется с адресом электронной почты пользователя (с UPN – именем участника-пользователя). Перейдите к шагу 2.
• Атрибут ImmutableID будет пустым у пользователей, созданных в консоли администратора Office 365. Чтобы задать этому атрибуту значение, соответствующее имени участника-пользователя, выполните следующую команду PowerShell:

  Set-MsolUser -UserPrincipalName polzovatel@vash-domen.ru -ImmutableId polzovatel@vash-domen.ru

  С помощью команды Set-MsolUser можно также выполнить массовое обновление пользователей. Подробную информацию можно найти в документации к PowerShell.

• Если пользователи созданы при синхронизации Azure Active Directory, значением ImmutableID будет кодированная версия атрибута objectGUID из Active Directory. Выполните следующие действия для этих пользователей:
  1. С помощью PowerShell получите значение ImmutableID из Azure AD. Например, чтобы получить эти значения для всех пользователей и экспортировать их в CSV-файл, выполните следующую команду:

     $exportUsers = Get-MsolUser -All | Select-Object UserprincipalName, ImmutableID | Export-Csv C:\csvfile

  2. Создайте настраиваемый атрибут в Google, а затем добавьте в профиль каждого пользователя атрибут ImmutableID из Office 365. Подробнее о том, как добавить настраиваемый атрибут и как обновить профиль пользователя… Кроме того, этот процесс можно автоматизировать, используя GAM (инструмент командной строки с открытым исходным кодом) или Google Workspace Admin SDK.

Дополнительные сведения об атрибуте ImmutableID можно найти в документации Microsoft.

1. Войдите в консоль администратора Google.

   Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

2. В консоли администратора нажмите на значок меню БезопасностьАутентификация Система единого входа с SAML-приложениями.

   Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.

3. В разделе Настройка системы единого входа (SSO) скопируйте и сохраните URL SSO и идентификатор объекта, а также скачайте сертификат.

После этого откройте приложение Office 365 и следуйте инструкциям для шага 3. Затем вернитесь в консоль администратора (шаг 4) и завершите настройку системы единого входа.

1. В новой вкладке браузера войдите в приложение Office 365 как администратор.
2. В текстовом редакторе создайте переменные PowerShell на основе данных поставщика идентификационной информации, полученных от Google. В таблице ниже указаны значения для каждой переменной.

   Переменная	Значение
   $DomainName	vashdomen.com
   $FederationBrandName	Google Cloud Identity (или любое значение на ваш выбор)
   $Authentication	Federated (федеративная аутентификация)
   $PassiveLogOnUrl $ActiveLogOnUri	URL системы единого входа (из данных поставщика идентификационной информации Google)
   $SigningCertificate	Вставьте сюда сертификат целиком (из данных поставщика идентификационной информации Google)*
   $IssuerURI	Идентификатор объекта (из данных поставщика идентификационной информации Google)
   $LogOffUri	https://accounts.google.com/logout
   $PreferredAuthenticationProtocol	SAMLP

   *Переменная $SigningCertifcate должна быть указана одной строкой, иначе PowerShell вернет сообщение об ошибке.
3. В консоли PowerShell выполните команду Set-MsolDomainAuthentication, чтобы настроить домен Active Directory для федеративной аутентификации. Подробную информацию можно найти в документации Microsoft.
4. Если нужно проверить настройки федеративной аутентификации, используйте следующую команду PowerShell:

   Get-MSolDomainFederationSettings -DomainName vash-domen.ru | Format-List *

Примечание. Если ваш домен уже объединен в федерацию и вам нужно настроить федерацию с Google, выполните команду
Set-MsolDomainFederationSettings, используя параметры из таблицы выше.

1. Войдите в консоль администратора Google.

   Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

2. В консоли администратора нажмите на значок меню ПриложенияМобильные и веб-приложения.
3. Нажмите Добавить приложениеНайти приложения.
4. В строке поиска введите Office 365.
5. В результатах поиска наведите указатель на SAML-приложение Office 365 и нажмите Выбрать.
6. На странице Сведения о поставщике идентификационной информации (Google) нажмите Продолжить.
7. На странице Сведения о поставщике услуг:
   1. Установите флажок Подписанный ответ.
   2. В поле Формат идентификатора названия выберите значение "Постоянный".
   3. Если на шаге 1 вы создали настраиваемый атрибут, чтобы добавить в профили пользователей Google значения Immutable ID из Office 365, выберите этот атрибут для параметра Идентификатор названия. В противном случае задайте для этого параметра значение Общие сведения > Основной адрес электронной почты.
8. Нажмите Продолжить.
9. На странице Сопоставление атрибутов нажмите на меню Выберите поле и сопоставьте перечисленные ниже атрибуты каталога Google с атрибутами Office 365.
   

   Атрибут каталога Google	Атрибут Office 365
   Общие сведения > Основной адрес эл. почты	IDPEmail

10. Если нужно указать названия групп для этого приложения:

    1. В разделе Участие в группах (необязательно) нажмите Поиск групп, введите одну или несколько начальных букв названия группы и выберите нужное.
    2. При необходимости добавьте группы (не более 75).
    3. В разделе Атрибут приложения укажите название соответствующего атрибута группы поставщика услуг.

    Сколько бы групп ни указал администратор, в ответ SAML будет включена информация только о тех группах, участником которых пользователь прямо или косвенно является. Подробнее о сопоставлении информации об участии в группах…

11. Нажмите Готово.

1. Войдите в консоль администратора Google.

   Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

2. В консоли администратора нажмите на значок меню ПриложенияМобильные и веб-приложения.
3. Выберите Office 365.
4. Нажмите Доступ пользователей.

5. Чтобы включить или отключить сервис для всех пользователей в организации, нажмите Включено для всех или Отключено для всех, а затем выберите Сохранить.

6. При необходимости включите или выключите сервис для организационного подразделения:

   1. В левой части страницы выберите организационное подразделение.
   2. Для статуса сервиса выберите значение Вкл. или Выкл.
   3. Выберите один из вариантов:
      • Если для статуса сервиса установлено значение Унаследовано и вы хотите, чтобы настройка продолжала действовать при изменении параметров родительской организации, нажмите Переопределить.
      • Если установлено значение Переопределено, нажмите Наследовать, чтобы применить настройки родительской организации, или Сохранить, чтобы использовать новое значение параметра (даже если настройки родительской организации изменятся).
        Подробнее о структуре организации…
7. Чтобы включить сервис для определенных пользователей, входящих в одно или разные организационные подразделения, выберите группу доступа. Подробнее о том, как включить сервис для группы…
8. Убедитесь, что адреса электронной почты пользователей Office 365 совпадают с указанными для домена Google.

Office 365 поддерживает систему единого входа, инициируемую как поставщиком идентификационной информации, так и поставщиком услуг. Чтобы проверить работу системы в одном из этих режимов, следуйте приведенным ниже инструкциям.

Система, инициируемая поставщиком идентификационной информации

1. Войдите в консоль администратора Google.

   Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

2. В консоли администратора нажмите на значок меню ПриложенияМобильные и веб-приложения.
3. Выберите Office 365.
4. В левом верхнем углу экрана нажмите Проверить вход через SAML.

   Приложение Office 365 должно открыться в новой вкладке. Если этого не произойдет, измените настройки IdP и SP на основе информации в сообщениях об ошибках SAML, а затем проверьте вход через SAML ещё раз.

Система, инициируемая поставщиком услуг

1. Перейдите по адресу https://login.microsoftonline.com/.
   Вы будете автоматически перенаправлены на страницу входа в аккаунт Google.
2. Введите имя пользователя и пароль.
3. После проверки данных система автоматически перенаправит вас в Office 365.

Суперадминистратор может включить автоматическую подготовку пользователей в приложении Office 365.