אפליקציית הענן Office 365

• מוסיפים את הדומיין שלכם ב-Workspace ל-Microsoft Office 365. הוראות מפורטות מופיעות במאמר הוספת דומיין ל-Microsoft 365.
• מתקינים את PowerShell.

• הגדרת ImmutableID –‏ Office 365 משתמש במאפיין ImmutableID כדי לזהות משתמשים באופן ייחודי. כדי שה-SSO בין Google ל-Office 365 יפעל, לכל משתמש ב-Office 365 צריך להיות ImmutableID, והמאפיין SAML Name ID שנשלח ל-Office 365 במהלך ה-SSO צריך להיות זהה ל-ImmutableID.

  ה-ImmutableID של משתמש ב-Office 365 משתנה בהתאם לאופן שבו המשתמש נוצר. אלה התרחישים הסבירים ביותר:

  • עדיין אין משתמשים ב-Office 365 – אם אתם מתכוונים להגדיר את Google להקצאת הרשאות אוטומטית למשתמשים, אתם לא צריכים להגדיר את המאפיין ImmutableID. הוא ממופה כברירת מחדל לכתובת האימייל של המשתמש, שם המשתמש העיקרי (UPN). ממשיכים לשלב 1.

  • אם המשתמשים נוצרו במסוף Admin של Office 365 – השדה ImmutableID צריך להיות ריק. למשתמשים האלה, משתמשים בפקודה PowerShell Update-MgUser כדי להגדיר את ה-ImmutableID ב-Office 365 כך שיתאים ל-UPN של המשתמש:

    Update-MgUser -UserPrincipalName testuser@your-company.com -OnPremisesImmutableId testuser@your-company.com

    אפשר גם להשתמש בפקודה Update-MgUser כדי לעדכן מספר פריטים בו-זמנית את כל המשתמשים. הוראות מפורטות זמינות במאמרי העזרה בנושא PowerShell.

  • אם המשתמשים נוצרו באמצעות סנכרון של Microsoft Entra ID –‏ ImmutableID היא גרסה מקודדת של ה-objectGUID של Active Directory. למשתמשים האלה:
    1. משתמשים ב-PowerShell כדי לאחזר את ה-ImmutableID מ-Entra ID. לדוגמה, כדי לאחזר את ה-ImmutableID של כל המשתמשים ולייצא אותו לקובץ CSV:

       $exportUsers = Get-MgUser -All | Select-Object UserprincipalName, OnPremisesImmutableId | Export-Csv C:csvfile

    2. יוצרים מאפיין מותאם אישית ב-Google, ואז מאכלסים את הפרופיל של כל משתמש ב-ImmutableID שלו ב-Office 365. הוראות מפורטות מופיעות במאמרים בנושא הוספת מאפיין מותאם אישית חדש ועדכון פרופיל משתמש. אפשר גם להפוך את התהליך לאוטומטי באמצעות GAM (כלי שורת פקודה בקוד פתוח) או ממשקי API של מסוף Admin.

    מידע נוסף על ImmutableID זמין במאמרי העזרה של Microsoft.

1. במסוף Google Admin, נכנסים לתפריט אפליקציות אפליקציות לאינטרנט ולניידים.

   לדף "אפליקציות לאינטרנט ולניידים"

   כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

2. לוחצים על הוספת אפליקציה חיפוש אפליקציות.
3. בקטע איך קוראים לאפליקציה? מזינים Office 365.
4. בתוצאות החיפוש, מצביעים על Microsoft Office 365 ולוחצים על בחירה.
5. בחלון פרטי ספק זהויות של Google, באפשרות 2: מעתיקים את כתובת ה-URL של ה-SSO, את מזהה ישות ב-SAML ואת האישור:
   1. ליד ה-URL של ה-SSO, לוחצים על סמל ההעתקה ושומרים את כתובת ה-URL.
   2. לצד מזהה הישות, לוחצים על סמל ההעתקה ושומרים את מזהה הישות.
   3. לצד אישור, לוחצים על סמל ההעתקה ושומרים את האישור.

      תצטרכו את הפרטים האלה כדי לסיים את ההגדרה ב-Office 365.

יוצאים ממסוף Google Admin. אחרי שתשלימו את שלבי ההגדרה באפליקציה, תמשיכו את ההגדרה במסוף Admin.

1. פותחים חלון פרטי בדפדפן, עוברים לדף הכניסה של Office 365 ונכנסים באמצעות חשבון האדמין של Office 365.
2. באמצעות כלי לעריכת טקסט, יוצרים משתני PowerShell מהנתונים שהעתקתם בשלב 1. אלה הערכים שצריך לציין לכל משתנה:

   משתנה	ערך
   $DomainName	‫"your-company.com"
   $FederationBrandName	‫Google Cloud Identity (או כל ערך אחר שתבחרו)
   $Authentication	"מאוחד"
   $PassiveLogOnUrl $ActiveLogOnUri	‫'SSO URL' (משלב 1)
   $SigningCertificate	‫"Paste complete certificate here" (הדבקת האישור המלא כאן) (משלב 1)*
   ‎$IssuerURI	‫מזהה ישות ב-SAML (משלב 1)
   $LogOffUri	‪"https://accounts.google.com/logout"
   $PreferredAuthenticationProtocol	"SAMLP"

   ‫* מוודאים שהמשתנה $SigningCertifcate נמצא בשורה אחת של טקסט, אחרת PowerShell יחזיר הודעת שגיאה.
3. באמצעות מסוף PowerShell, מריצים את הפקודה Update-MgDomain כדי להגדיר את דומיין Active Directory לאיחוד. הוראות מפורטות זמינות במאמרי העזרה של Microsoft PowerShell.
4. (אופציונלי) כדי לבדוק את הגדרות האיחוד, משתמשים בפקודת PowerShell הבאה:

   Get-MgDomainFederationConfiguration -DomainName your-company.com | Format-List *

הערה: אם הדומיין שלכם כבר מאוחד ואתם צריכים לשנות את האיחוד ל-Google, מריצים את הפקודה הבאה באמצעות אותם פרמטרים שמפורטים בטבלה שלמעלה:
Update-MgDomainFederationConfiguration

1. חוזרים לכרטיסייה של מסוף Admin בדפדפן.
2. לוחצים על המשך.
3. בדף פרטי ספק השירות:
   1. מסמנים את התיבה Signed response (תשובה חתומה).
   2. בקטע Name ID format (פורמט מזהה שם), בוחרים באפשרות Persistent (קבוע).
   3. בוחרים אפשרות בשדה מזהה שם:
      • אם יצרתם מאפיין מותאם אישית כדי להוסיף את ה-ImmutableID של Office 365 לפרופילים של המשתמשים, בוחרים את המאפיין המותאם אישית.
      • אם לא יצרתם מאפיין ImmutableID מותאם אישית, בוחרים באפשרות מידע בסיסי כתובת אימייל ראשית.
4. לוחצים על המשך.
5. בדף מיפוי מאפיינים, לוחצים על בחירת שדה וממפים את המאפיינים הבאים של ספריית Google למאפיינים התואמים שלהם ב-Office 365. חובה להזין את מאפיין IDPEmail.

   מאפיין של ספריית Google	מאפיין Office 365
   מידע בסיסי > כתובת אימייל ראשית	IDPEmail*

6. (אופציונלי) כדי להוסיף עוד מיפויים, לוחצים על הוספת מיפוי ובוחרים את השדות שרוצים למפות.
7. (אופציונלי) אפשר להזין שמות של קבוצות שרלוונטיות לאפליקציה הזאת:
   1. בשביל חברות בקבוצה (אופציונלי), לוחצים על חיפוש של קבוצה, ואז מזינים אות אחת או יותר מהשם של הקבוצה ובוחרים את הקבוצה הרצויה.
   2. מוסיפים עוד קבוצות לפי הצורך (אפשר להוסיף עד 75 קבוצות).
   3. בשדה מאפיין אפליקציה, מזינים את שם המאפיין של הקבוצות הרלוונטיות של ספק השירות.

   תגובת SAML תכלול רק קבוצות שמשתמש חבר בהן (באופן ישיר או עקיף), בלי קשר לכמות של שמות הקבוצות שמזינים. מידע נוסף זמין במאמר מידע על מיפוי של חברוּת בקבוצות.

8. לוחצים על סיום.

1. במסוף Google Admin, נכנסים לתפריט אפליקציות אפליקציות לאינטרנט ולניידים.

   לדף "אפליקציות לאינטרנט ולניידים"

   כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

2. לוחצים על Office 365.
3. לוחצים על גישת משתמשים.

4. כדי להפעיל או להשבית שירות לכולם בארגון, לוחצים על מופעל לכולם או על מושבת לכולם, ואז לוחצים על שמירה.

5. (אופציונלי) כדי להפעיל או להשבית שירות ביחידה ארגונית:

   1. בצד ימין, בוחרים את היחידה הארגונית.
   2. כדי לשנות את סטטוס השירות, לוחצים על מופעל או מושבת.
   3. בוחרים אחת מהאפשרויות הבאות:
      • אם ההגדרה של סטטוס השירות היא הועבר בירושה ואתם רוצים שההגדרה שעדכנתם תישמר גם אם הגדרת ההורה תשתנה, לוחצים על שינוי.
      • אם ההגדרה של סטטוס השירות היא בוטל ואתם רוצים לחזור להגדרה שיש להורה, לוחצים על העברה בירושה. לחלופין, אם אתם רוצים שההגדרה החדשה תישמר גם אם ההגדרה של ההורה תשתנה, לוחצים על שמירה.

        מידע נוסף על מבנה ארגוני

6. (אופציונלי) כדי להפעיל שירות לקבוצה של משתמשים בתוך יחידה ארגונית או בכמה יחידות ארגוניות שונות, צריך להגדיר קבוצת גישה. מידע נוסף מופיע במאמר התאמה אישית של גישה לשירותים באמצעות קבוצות גישה.
7. מוודאים שהדומיינים באימיילים של חשבונות המשתמשים ב-Office 365 תואמים לדומיין הראשי של חשבון Google המנוהל של הארגון.

ב-Office 365 יש תמיכה ב-SSO ביוזמת ספק הזהויות וגם ב-SSO ביוזמת ספק השירות.

אימות SSO ביוזמת ספק הזהויות

1. במסוף Google Admin, נכנסים לתפריט אפליקציות אפליקציות לאינטרנט ולניידים.

   לדף "אפליקציות לאינטרנט ולניידים"

   כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

2. לוחצים על Office 365.
3. בקטע Office 365, לוחצים על בדיקת התחברות ל-SAML.

   האפליקציה אמורה להיפתח בכרטיסייה נפרדת. אם לא, פותרים את הבעיה שמופיעה בהודעת השגיאה ומנסים שוב. פרטים על פתרון בעיות מופיעים במאמר הודעות שגיאה באפליקציות SAML.

אימות SSO ביוזמת ספק השירות

1. סוגרים את כל חלונות הדפדפן.
2. עוברים אל דף הכניסה ל-Office 365 ונכנסים באמצעות חשבון האדמין ב-Office 365.
   המערכת אמורה להפנות אתכם אוטומטית לדף של כניסה באמצעות חשבון Google.
3. אתם צריכים לבחור את החשבון שלכם ולהקליד את הסיסמה.

אחרי שמאמתים את פרטי הכניסה, האפליקציה אמורה להיפתח.

סופר-אדמינים יכולים להקצות הרשאות למשתמשים באפליקציה באופן אוטומטי. למידע נוסף אפשר לעבור למאמר בנושא הגדרת הקצאת הרשאות אוטומטית למשתמשים ב-Office 365.