Интеграция Active Directory с Windows Authentication

Чтобы организовать автоматический вход в Яндекс 360 для бизнеса через службу федерации Active Directory, нужно предварительно настроить интеграцию с Windows Authentication.

Шаг 1. Включите метод проверки подлинности

Active Directory на русском языке

Active Directory на английском языке

Откройте Консоль управления AD FS на сервере, где развернута ваша служба AD FS.
В дереве консоли перейдите к разделу AD FS → Методы проверки подлинности.
В разделе Действия нажмите Изменение методов первичной проверки подлинности.
В открывшемся окне перейдите на вкладку Первичный.
В разделе Интрасеть активируйте опцию Проверка подлинности Windows.
Нажмите Применить и OK для сохранения изменений.

Откройте AD FS Management Console на сервере, где развернута ваша служба AD FS.
В дереве консоли перейдите к разделу AD FS → Authentication Methods.
В разделе Actions нажмите Edit Primary Authentication Methods.
В открывшемся окне перейдите на вкладку Primary.
В разделе Intranet активируйте опцию Windows Authentication.
Нажмите Apply и OK для сохранения изменений.

Шаг 2. Зарегистрируйте имя субъекта-службы (SPN)

Active Directory на русском языке

Active Directory на английском языке

Откройте командную строку от имени администратора на сервере AD FS.
Выполните команду для создания имени субъекта-службы (SPN). Замените yourdomain\adfs-service-account на имя учетной записи службы AD FS и your-adfs-url.com — на URL вашего сервера AD FS:
```
setspn -S HTTP/your-adfs-url.com yourdomain\adfs-service-account
```
Убедитесь, что SPN был добавлен успешно:
```
setspn -L yourdomain\adfs-service-account
```

Откройте Command Prompt от имени администратора на сервере AD FS.
Выполните команду для создания SPN (Service Principal Name). Замените yourdomain\adfs-service-account на имя учетной записи службы AD FS и your-adfs-url.com — на URL вашего сервера AD FS:
```
setspn -S HTTP/your-adfs-url.com yourdomain\adfs-service-account
```
Убедитесь, что SPN был добавлен успешно:
```
setspn -L yourdomain\adfs-service-account
```

Шаг 3. Добавьте сервер в доверенную зону

Active Directory на русском языке

Active Directory на английском языке

Чтобы обеспечить автоматическую аутентификацию на клиентских компьютерах, добавьте сервер AD FS в доверенную зону через групповые политики.

Откройте Консоль управления групповыми политиками.
Создайте новую политику или отредактируйте существующую.
Перейдите в Конфигурация пользователя → Политики → Административные шаблоны → Компоненты Windows → Internet Explorer → Панель управления браузером → Вкладка «Безопасность».
Выберите Список назначений зоны для веб-сайтов.
Включите политику, выбрав Включено.

Нажмите Показать... и добавьте сервер AD FS:

Имя значения: adfs.yourdomain.com
Значение: 1 (доверенная зона)

Нажмите OK для сохранения изменений.
Примените политику на клиентских компьютерах с помощью команды:
```
gpupdate /force
```

Откройте Group Policy Management Console.
Создайте новую политику или отредактируйте существующую.
Перейдите в User Configuration → Policies → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page.
Выберите Site to Zone Assignment List.
Включите политику, выбрав Enabled.

Нажмите Show... и добавьте сервер AD FS:

Value name: adfs.yourdomain.com
Value: 1 (доверенная зона)

Нажмите OK для сохранения изменений.
Примените политику на клиентских компьютерах с помощью команды:
```
gpupdate /force
```

Шаг 4. Настройте поддерживаемых агентов пользователя

Active Directory на русском языке

Active Directory на английском языке

Откройте PowerShell от имени администратора.

Выполните команду:

Set-ADFSProperties -WIASupportedUserAgents @(
    "MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0",
    "Trident/7.0", "MSIPC", "Windows Rights Management Client",
    "MS_WorkFoldersClient", "=~Windows\s*NT.*Edge", "Firefox/25.0",
    "Firefox/47.0", "Mozilla/4.0", "Mozilla/5.0"
)

Перезапустите службу AD FS:
```
Restart-Service adfssrv
```

Откройте PowerShell от имени администратора.

Выполните команду:

Set-ADFSProperties -WIASupportedUserAgents @(
    "MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0",
    "Trident/7.0", "MSIPC", "Windows Rights Management Client",
    "MS_WorkFoldersClient", "=~Windows\s*NT.*Edge", "Firefox/25.0",
    "Firefox/47.0", "Mozilla/4.0", "Mozilla/5.0"
)

Перезапустите службу AD FS:
```
Restart-Service adfssrv
```

Решение проблем с настройкой

Проверка подлинности не работает

Убедитесь, что:

служба AD FS запущена и доступна из сети;
имя субъекта-службы (SPN) зарегистрировано корректно;
групповая политика применена на клиентских компьютерах;
браузер использует корректную версию из списка поддерживаемых агентов.

Ошибки доступа к сайту

Проверьте, что сервер AD FS добавлен в доверенную зону и параметры безопасности браузера разрешают автоматическую аутентификацию.

Написать в службу поддержки

Была ли статья полезна?

Настройка Active Directory (AD FS)

Настройка Azure Active Directory