До сих пор я смог настроить Google в качестве SAML IDP с включенной инициализацией, поэтому учетные записи, созданные в G Suite и добавленные в группу office-users, создаются в Azure AD с назначенной лицензией.
Документация google проста, но содержит лишь краткое упоминание о настройке Windows, которая является сложной частью.Я собрал несколько других источников , чтобы все заработало.
Добавьте приложение SAML (Office365) в разделе приложений консоли администратора Google.Все настройки должны быть правильно установлены.
Проверьте конфигурацию приложения Office365 SAML 
ПРИМЕЧАНИЕ
Настройка обеспечения (синхронизация учетных записей из GSuite в Azure AD) GSuite Office365 Подготовка .При желании установите область для группы Google (только участники этой группы или подразделения будут автоматически подготовлены; я использовал группу, которую я назвал office-users) 
Настройка Azure AD
Проверка домена в Azure
Запустите консоль PowerShell и установите необходимые инструменты 
> Connect-MsolService (подключение с использованием учетных данных администратора)
`> Set-MsolDomainAuthentication -DomainName" {your-domain} "-FederationBrandName "{ваш бренд-логин}" -Федеративная аутентификация -PassiveLogOnUri "{google-url}" -ActiveLogOnUri "{google-url}" -SigningCertificate "{информация о сертификате}" -IssuerUri "{google-Isser}}" -LogOffUri "google-uri} "-PreferredAuthenticationProtocol" SAMLP "
, где сертификатом является файл google .pem, без новых строк или маркеров начала / конца, и следующих URI, где GOOGLESAMLID - ваш неизменный идентификатор G Suite (из Панель настройки единого входа в консоли администратора Google )
google-uri=https://accounts.google.com/a/saml2/idp?idpid=GOOGLESAMLID
google-issuer=https://accounts.google.com/a/saml2?idpid=GOOGLESAMLID
Считать свойства назад:
> Get-MsolDomainFederationSettings -DomainName "{your-domain}" | Format-List *
Отключить самообслуживание сброса пароля Azure
Проверить, создав нового пользователя G Suite.Соответствующий пользователь должен быть создан в AD.
Я все еще пытаюсь выяснить, как сопоставить нового пользователя G Suite с существующим пользователем Azure AD.Похоже, это должно быть возможно, но я не знаю, где хранится сопоставление.
Мне удалось сначала создать пользователя в Windows и установить его свойство ImmutableId для предполагаемой электронной почты GSuite.адрес:
> Set-MsolUser -UserPrincipalName "my@domain.com" -ImmutableId "my@domain.com"
> $user = Get-MsolUser -UserPrincipalName "my@domain.com"
> $user.ImmutableId
Затем создайте нового пользователя в GSuite и поместите нового пользователя в определенную область, чтобы иметь доступ к приложениям Office.Azure AD теперь будет перенаправлять в Google для аутентификации, и вы можете использовать свои кредиты Google вместо того, что было в Azure.
EDIT После создания нового пользователя в GSuite может потребоватьсянесколько минут для распространения изменений в Azure AD.