Cet article a fait l’objet d’une traduction automatique. Pour afficher l’article en anglais, activez la case d’option Anglais. Vous pouvez également afficher le texte anglais dans une fenêtre contextuelle en faisant glisser le pointeur de la souris sur le texte traduit.
Traduction
Anglais

Utiliser l’authentification basée sur les revendications AD FS avec Outlook sur le web

[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

S’applique à :Exchange Server 2016

Découvrez comment configurer l’authentification basée sur les revendications AD FS pour vous connecter à Outlook sur le web et le Centre d’administration Exchange dans Exchange 2016.

L’installation et la configuration des Services ADFS (Active Directory Federation Services) (AD FS) dans des organisations Exchange Server 2016 permet aux clients d’utiliser l’authentification basée sur les revendications AD FS pour se connecter à Outlook sur le web (anciennement nommé Outlook Web App) et au Centre d’administration Exchange (CAE). L’identité basée sur les revendications est une autre approche d’authentification qui supprime la gestion de l’authentification de l’application et facilite la gestion des comptes en centralisant l’authentification. Lorsque l’authentification basée sur les revendications est activée, Outlook sur le web et le CAE ne sont pas responsables de l’authentification des utilisateurs, du stockage des comptes d’utilisateur et des mots de passe, de la recherche des détails de l’identité de l’utilisateur ou de l’intégration avec d’autres systèmes d’identité. La centralisation de l’authentification permet de simplifier la mise à niveau des méthodes d’authentification à venir.

L’authentification basée sur les revendications AD FS remplace les méthodes d’authentification traditionnelles qui sont disponibles pour Outlook sur le web et le CAE. Par exemple :

  • Authentification de certificats clients Active Directory

  • Authentification de base

  • Authentification Digest

  • Authentification par formulaires

  • Authentification Windows

La configuration de l’authentification basée sur les revendications AD FS pour Outlook sur le web et le CAE dans Exchange 2016 implique les serveurs supplémentaires suivants :

  • Un contrôleur de domaine Windows Server 2012 ou de version ultérieure (rôle serveur Services de domaine Active Directory).

  • Un serveur AD FS Windows Server 2012 ou de version ultérieure (rôle serveur Services ADFS (Active Directory Federation Services)). Windows Server 2012 utilise AD FS 2.1 et Windows Server 2012 R2 utilise AD FS 3.0. Vous devez être membre du groupe de sécurité Administrateurs de domaine, Administrateurs d’entreprise ou du groupe Administrateurs local pour installer AD FS et créer les approbations de partie de confiance et les règles de revendication requises sur le serveur AD FS.

  • En option, un serveur proxy d’application web Windows Server 2012 R2 ou de version ultérieure (rôle serveur Accès à distance, service de rôle Proxy d’application web).

    • Le proxy d’application web est un serveur proxy inverse pour les applications web qui se trouvent au sein du réseau d’entreprise. Le proxy d’application web permet aux utilisateurs d’un grand nombre d’appareils d’accéder aux applications web publiées à partir de l’extérieur du réseau d’entreprise. Pour plus d’informations, voir Installation et configuration du proxy d’application web pour les applications internes de publication.

    • Bien que le proxy d’application web soit généralement recommandé lorsqu’AD FS est accessible aux clients externes, l’accès hors connexion dans Outlook sur le web n’est pas pris en charge lors de l’utilisation de l’authentification AD FS via le proxy d’application web.

    • L’installation du proxy d’application web sur un serveur Windows Server 2012 R2 requiert des autorisations d’administrateur local.

    • Vous devez déployer et configurer le serveur AD FS avant de configurer le serveur proxy d’application web, et vous ne pouvez pas installer le proxy d’application web sur le serveur sur lequel est installé AD FS.

  • Durée estimée de la procédure : 45 minutes.

  • Les procédures décrites dans cette rubrique sont basées sur Windows Server 2012 R2.

  • Outlook sur le web pour les appareils ne prend pas en charge l’authentification basée sur les revendications AD FS.

  • Pour les procédures décrites dans l’organisation Exchange, vous devez disposer des autorisations de gestion de l’organisation.

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d’administration Exchange.

tipConseil :
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez le forum à l’adresse : Exchange Server, Exchange Online ou Exchange Online Protection.

AD FS nécessite deux principaux types de certificats :

  • Un certificat SSL (Secure Sockets Layer) de communication de service pour le trafic des services web chiffrés entre le serveur AD FS, les clients, les serveurs Exchange et le serveur proxy d’application web facultatif. Nous vous recommandons d’utiliser un certificat émis par une autorité de certification interne ou commerciale, car tous les clients doivent approuver ce certificat.

  • Un certificat de signature de jetons pour la communication chiffrée et l’authentification entre le serveur AD FS, les contrôleurs de domaine Active Directory et les serveurs Exchange. Nous vous recommandons d’utiliser le certificat de signature de jetons AD FS auto-signé par défaut.

Pour plus d’informations sur la création et l’importation de certificats SSL dans Windows, consultez la rubrique Certificats de serveur.

Voici un résumé des certificats que nous utiliserons dans ce scénario :

 

Nom commun (CN) dans le certificat (dans l’objet, l’autre nom de l’objet ou une correspondance de certificat avec caractères génériques)TypeObligatoire sur les serveursCommentaires

adfs.contoso.com

Émis par une autorité de certification

Serveur AD FS

Serveur proxy d’application web

Il s’agit du nom d’hôte visible pour les clients, de sorte que les clients doivent approuver l’émetteur du certificat.

ADFS Signing - adfs.contoso.com

Auto-signé

Serveur AD FS

Serveurs Exchange

Serveur proxy d’application web

Le certificat auto-signé par défaut est automatiquement copié lors de la configuration du serveur proxy d’application web facultatif, mais vous devez l’importer manuellement dans le magasin de certificats racine approuvés sur tous les serveurs Exchange de votre organisation.

Par défaut, les certificats de signature de jetons auto-signés sont valides pour un an. Le serveur AD FS est configuré pour le renouvellement automatique (remplacement) de ses certificats auto-signés avant leur expiration, mais vous devrez réimporter le certificat sur le serveur Exchange.

Vous pouvez augmenter la période d’expiration du certificat par défaut en exécutant cette commande dans Windows PowerShell sur le serveur AD FS : Set-AdfsProperties -CertificateDuration <Days> (la valeur par défaut est 365). Pour plus d’informations, voir Set-AdfsProperties.

Pour exporter le certificat à partir de la console de gestion AD FS, sélectionnez Service > Certificats > cliquez avec le bouton droit sur le certificat de signature de jetons > sélectionnez Afficher le certificat > cliquez sur l’onglet Détails > cliquez sur Copier dans un fichier.

mail.contoso.com

Émis par une autorité de certification

Serveurs Exchange

Serveur proxy d’application web

Il s’agit du certificat classique utilisé pour chiffrer les connexions client externes sur Outlook sur le web (et probablement à d’autres services IIS Exchange). Pour plus d’informations, consultez la rubrique relative aux Certificate requirements for.

Pour plus d’informations, consultez la section « Conditions requises pour les certificats » dans Vérifier les conditions requises pour le déploiement d’AD FS.

noteRemarque :
Le protocole SSL (Secure Sockets Layer) est remplacé par le protocole TLS (Transport Layer Security) comme protocole utilisé pour chiffrer les données envoyées entre des systèmes informatiques. Ils sont si étroitement liés que les termes « SSL » et « TLS » (sans versions) sont souvent utilisés indifféremment. En raison de cette similitude, les références à « SSL » dans les rubriques concernant Exchange, dans le Centre d’administration Exchange et dans l’Environnement de ligne de commande Exchange Management Shell recouvrent souvent les protocoles SSL et TLS. En règle générale, « SSL » fait référence au véritable protocole SSL uniquement lorsqu’une version est également fournie (par exemple, SSL 3.0). Pour savoir pourquoi vous devez désactiver le protocole SSL et passer au protocole TLS, consultez l’article relatif à la protection contre la vulnérabilité du protocole SSL 3.0.

Vous pouvez utiliser le gestionnaire de serveur ou Windows PowerShell pour installer le service de rôle Services ADFS (Active Directory Federation Services) sur le serveur cible.

Pour utiliser le gestionnaire de serveur pour installer AD FS, procédez comme suit :

  1. Sur le serveur cible, ouvrez Gestionnaire de serveur, cliquez sur Gérer, puis sélectionnez Ajouter des rôles et des fonctionnalités.

    Dans le gestionnaire de serveur, cliquez sur Gérer pour accéder à Ajouter des rôles et des fonctionnalités
  2. L’Assistant Ajout de rôles et de fonctionnalités s’ouvre. Vous allez commencer sur la page Avant de commencer sauf si vous avez précédemment sélectionné Ignorer cette page par défaut. Cliquez sur Suivant.

    La page « Avant de commencer » de l’Assistant Ajouter des rôles et des fonctionnalités.
  3. Sur la page Sélectionner le type d’installation, vérifiez que l’option Installation basée sur un rôle ou une fonctionnalité est sélectionnée, puis sur Suivant.

    La page « Sélectionner le serveur de destination » de l’Assistant Ajouter des rôles et des fonctionnalités.
  4. Sur la page Sélectionner le serveur de destination, vérifiez la sélection du serveur, puis cliquez sur Suivant.

    La page « Sélectionner le serveur de destination » de l’Assistant Ajouter des rôles et des fonctionnalités.
  5. Sur la page Sélectionner des rôles de serveur, sélectionnez Services ADFS (Active Directory Federation Services) dans la liste, puis cliquez sur Suivant.

    Sélectionnez « Services AD FS (Active Directory Federation Services) » dans la page « Sélectionner des rôles de serveurs » de l’Assistant Ajouter des rôles et des fonctionnalités.
  6. Sur la page Sélectionner des fonctionnalités, cliquez sur Suivant (acceptez les sélections de fonctionnalité par défaut).

    La page « Sélectionner des fonctionnalités » de l’Assistant Ajouter des rôles et des fonctionnalités.
  7. Sur la page Services ADFS (Active Directory Federation Services) (AD FS), cliquez sur Suivant.

    La page « Services AD FS (Active Directory Federation Services) » de l’Assistant Ajouter des rôles et des fonctionnalités.
  8. Windows Server 2012 uniquement : Sur la page Sélectionner des services de rôle, cliquez sur Suivant (acceptez les sélections de service de rôle par défaut).

  9. Dans la page Confirmer les sélections pour l’installation, cliquez sur Installer.

    Page « Confirmer les sélections d’installation » de l’Assistant Ajouter des rôles et des fonctionnalités.
  10. Sur la page Progression de l’installation, vous pouvez visionner la barre de progression pour vérifier que l’installation a réussi. Une fois l’installation terminée, laissez l’Assistant ouvert pour pouvoir cliquer sur Configurer le service de fédération sur ce serveur dans l’étape 3b.

    Page « Progression de l’installation » de l’Assistant Ajouter des rôles et des fonctionnalités.

Pour utiliser Windows PowerShell pour installer AD FS, exécutez la commande suivante :

Install-WindowsFeature ADFS-Federation -IncludeManagementTools

Vous pouvez également faire référence à cette liste de vérification pour vous aider à configurer AD FS : Liste de vérification : Configuration d’un serveur de fédération.

Avant de configurer le serveur AD FS, vous devez créer un compte de service géré de groupe (gMSA) sur un contrôleur de domaine Windows Server 2012 ou de version ultérieure. Vous le faites dans une fenêtre Windows PowerShell avec des privilèges élevés sur le contrôleur de domaine (une fenêtre Windows PowerShell que vous ouvrez en sélectionnant Exécuter en tant qu’administrateur).

  1. Exécutez la commande suivante :

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
    

    Si la commande réussit, une valeur de GUID est renvoyée. Par exemple :

    Guid

    ----

    2570034b-ab50-461d-eb80-04e73ecf142b

  2. Pour créer un nouveau compte gMSA pour le serveur AD FS, utilisez la syntaxe suivante :

    New-ADServiceAccount -Name <AccountName> -DnsHostName <FederationServiceName> -ServicePrincipalNames http/<FederationServiceName>
    

    Cet exemple crée un nouveau compte gMSA nommé FSgMSA pour le service de fédération nommé adfs.contoso.com. Le nom du service de fédération est la valeur qui est visible pour les clients.

    New-ADServiceAccount -Name FSgMSA -DnsHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com
    

Pour configurer le serveur AD FS, vous pouvez utiliser le gestionnaire de serveur ou Windows PowerShell.

Pour utiliser le gestionnaire de serveur, procédez comme suit :

  1. Si vous avez laissé l’Assistant Ajout de rôles et de fonctionnalités ouvert sur le serveur AD FS à partir de l’étape 2, vous pouvez cliquer sur le lien Configurer le service de fédération sur ce serveur dans la page Progression de l’installation.

    Page « Progression de l’installation » de l’Assistant Ajouter des rôles et des fonctionnalités.

    Si vous avez fermé l’Assistant Ajout de rôles et de fonctionnalités ou avez utilisé Windows PowerShell pour installer AD FS, vous pouvez atteindre la même place dans le gestionnaire de serveur en cliquant sur Notifications, puis en cliquant sur Configurer le service de fédération sur ce serveur dans l’avertissement Configuration après déploiement.

    Dans le gestionnaire de serveur, cliquez sur Notifications pour afficher un avertissement qui contient le lien permettant de configurer le service de fédération sur ce serveur.
  2. L’Services ADFS (Active Directory Federation Services)Assistant s’ouvre. Sur la page Bienvenue, vérifiez que l’option Créer le premier serveur de fédération dans une batterie de serveurs de fédération est sélectionnée, puis cliquez sur Suivant.

    Page d’accueil dans l’Assistant Configuration des services de fédération Active Directory (AD FS)
  3. Sur la page Se connecter à Services ADFS (Active Directory Federation Services), sélectionnez un compte d’administrateur dans le domaine où réside le serveur AD FS (vos informations d’identification actuelles sont sélectionnées par défaut). Si vous devez sélectionner un autre utilisateur, cliquez sur Modifier. Lorsque vous avez terminé, cliquez sur Suivant.

    Page Connexion à AD DS dans l’Assistant Configuration des services de fédération Active Directory (AD FS)
  4. Sur la page Spécifier les propriétés de service, configurez les paramètres suivants :

    • Certificat SSL   Importez ou sélectionnez le certificat SSL contenant le nom du service de fédération que vous avez configuré dans l’étape 3a (par exemple adfs.contoso.com). Lorsque vous importez un certificat qui n’est pas déjà installé sur le serveur, vous devez importer un fichier .pfx (probablement un fichier protégé par mot de passe qui contient la clé privée du certificat). La valeur du nom commun (CN) dans le champ d’objet du certificat est affichée ici.

    • Nom du service de fédération   Ce champ est rempli automatiquement en fonction du type de certificat SSL que vous sélectionnez ou importez :

      • Certificat d’objet unique   La valeur CN du champ d’objet du certificat s’affiche et vous ne pouvez pas la modifier (par exemple, adfs.contoso.com).

      • Certificat SAN   Si le certificat contient le nom de service de fédération requis, cette valeur s’affiche (par exemple, adfs.contoso.com). Vous pouvez utiliser la liste déroulante pour afficher d’autres valeurs CN dans le certificat.

      • Certificat avec caractères génériques   La valeur CN du champ d’objet du certificat s’affiche (par exemple, *.contoso.com), mais vous devez modifier le nom de service de fédération requis (par exemple, adfs.contoso.com).

      Remarque : Si le certificat que vous sélectionnez ne contient pas le nom de service de fédération requis (le champ Nom du service de fédération ne contient pas la valeur requise), vous recevez l’erreur suivante :

      The federation service name does not match any of the subject names found in the certificate.

    • Nom complet du service de fédération  Entrez le nom de votre organisation. Par exemple, Contoso, Ltd..

    Lorsque vous avez terminé, cliquez sur Suivant.

    Page Spécifier les propriétés de service dans l’Assistant Configuration des services de fédération Active Directory (AD FS)
  5. Sur la page Spécifier le compte de service, configurez les paramètres suivants :

    • Sélectionnez Utiliser un compte d’utilisateur de domaine ou un compte de service géré de groupe existant.

    • Nom du compte   Cliquez sur Sélectionner et entrez le compte gMSA que vous avez créé dans l’étape 3a (par exemple, FSgMSA). Notez qu’une fois la sélection effectuée, la valeur affichée est <Domain>\<gMSAAccountName>$ (par exemple, CONTOSO\FSgMSA$).

    Lorsque vous avez terminé, cliquez sur Suivant.

    Page Spécifier un compte de service dans l’Assistant Configuration des services de fédération Active Directory (AD FS)
  6. Sur la page Spécifier une base de données de configuration, vérifiez que l’option Créer une base de données sur ce serveur à l’aide de la base de données interne Windows est sélectionnée, puis cliquez sur Suivant.

    Page Spécifier une base de données de configuration dans l’Assistant Configuration des services de fédération Active Directory (AD FS)
  7. Sur la page Examiner les options, vérifiez vos sélections. Vous pouvez cliquer sur le bouton Afficher le script pour copier l’équivalent Windows PowerShell des sélections que vous avez effectuées pour une utilisation ultérieure. Lorsque vous avez terminé, cliquez sur Suivant.

    Page Examiner les options dans l’Assistant Configuration des services de fédération Active Directory (AD FS)
  8. Sur la page Vérification des conditions préalables, vérifiez que toutes les vérifications préalables ont été correctement effectuées, puis cliquez sur Configurer.

    Page Vérification des conditions préalables dans l’Assistant Configuration des services de fédération Active Directory (AD FS)
  9. Sur la page Résultats, examinez les résultats, vérifiez que la configuration a réussi. Vous pouvez cliquer sur Étapes ultérieures requises pour le déploiement de votre service FS (Federation Service) si vous souhaitez en savoir plus sur les étapes ultérieures (par exemple, configuration du DNS). Lorsque vous avez terminé, cliquez sur Fermer.

    Page Résultats dans l’Assistant Configuration des services de fédération Active Directory (AD FS)

Pour utiliser Windows PowerShell pour configurer AD FS, procédez comme suit :

  1. Exécutez la commande suivante sur le serveur AD FS pour rechercher la valeur de l’empreinte numérique du certificat installé contenant adfs.contoso.com :

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
    
  2. Exécutez la commande suivante :

    Import-Module ADFS
    
  3. Utilisez la syntaxe suivante :

    Install-AdfsFarm -CertificateThumbprint <ThumbprintValue> -FederationServiceName <FederationServiceName> -FederationServiceDisplayName <FederationServiceDisplayName> -GroupServiceAccountIdentifier <gMSA>
    

    Cet exemple configure AD FS avec les paramètres suivants :

  • Empreinte de certificat adfs.contoso.com   Le certificat *.contoso.com qui a la valeur d’empreinte numérique 5AE82C737900B29C2BAC3AB6D8C44D249EE05609.

  • Nom du service de fédération   adfs.contoso.com

  • Nom complet du service de fédération   Contoso, Ltd.

  • Nom de compte SAM gMSA de fédération et domaine   Par exemple, pour le compte gMSA nommé FSgMSA dans le domaine contoso.com, la valeur requise est contoso\FSgMSA$.

Install-AdfsFarm -CertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -FederationServiceName adfs.contoso.com -FederationServiceDisplayName "Contoso, Ltd." -GroupServiceAccountIdentifier "contoso\FSgMSA`$"

Remarques :

  • Lorsque vous créez le gMSA, le $ est automatiquement ajouté à la valeur Name pour créer la valeur SamAccountName, qui est requise ici.

  • Le caractère d’échappement (`) est requis pour le $ dans SamAccountName.

Pour plus de détails et d’informations sur la syntaxe, consultez la page relative à Install-AdfsFarm.

Après avoir configuré AD FS, vous pouvez vérifier l’installation sur le serveur AD FS en ouvrant correctement l’URL de métadonnées de fédération dans un navigateur web. L’URL utilise la syntaxe https://<FederationServiceName>/federationmetadata/2007-06/federationmetadata.xml. Par exemple, https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml.

  • Sur le serveur Exchange, Outlook sur le web utilise le répertoire virtuel nommé owa et le CAE utilise le répertoire virtuel nommé ecp.

  • La barre oblique (/) qui est utilisée dans les valeurs d’URL d’Outlook sur le web et du CAE est intentionnelle. Il est important que les approbations de partie de confiance AD FS et les URI d’audience Exchangesoient identiques. Les deux doivent avoir ou doivent omettre les barres obliques dans leur URL. Les exemples de cette section contiennent les barres obliques de fin après les URL owa et ecp (owa/ et ecp/).

  • Dans les organisations ayant plusieurs sites Active Directory qui utilisent des espaces de noms séparés (par exemple, eu.contoso.com et na.contoso.com), vous devez configurer des approbations de partie de confiance pour chaque espace de noms à la fois pour Outlook sur le web et le CAE.

Pour créer les approbations de partie de confiance sur le serveur AD FS, vous pouvez utiliser la console de gestion AD FS ou Windows PowerShell.

Pour utiliser la console de gestion AD FS pour créer les approbations de partie de confiance, procédez comme suit :

Remarque : Vous devez suivre ces étapes deux fois : une fois pour Outlook sur le webet une fois pour le CAE. La seule différence, ce sont les valeurs que vous entrez dans les étapes 5 et 8 (les pages Spécifier le nom complet et Configurer l’URL de l’Assistant).

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

    Dans le gestionnaire de serveur, sélectionnez Outils > Gestion AD FS
  2. Dans la console de gestion AD FS, développez Relations d’approbation et sélectionnez Ajouter une approbation de partie de confiance. Dans le volet Actions, sélectionnez Ajouter une approbation de partie de confiance.

    Dans la console de gestion AD FS, développez Relations d’approbation et sélectionnez Ajouter une approbation de partie de confiance dans le volet Action.
  3. L’Assistant Ajout d’approbation de partie de confiance s’ouvre. Sur la page Bienvenue, cliquez sur Démarrer.

    Page d’accueil dans l’Assistant Ajout d’approbation de partie de confiance.
  4. Sur la page Sélectionner la source de données, sélectionnez Entrer les données relatives à la partie de confiance manuellement, puis cliquez sur Suivant.

    Détails pour Outlook sur le web dans la page Sélectionner une source de données dans l’Assistant Ajout d’approbation de partie de confiance.
  5. Sur la page Spécifier le nom complet, configurez les paramètres suivants :

    • Pour Outlook sur le web :

      • Nom d’affichage   Type Outlook sur le web.

      • Remarques   Entrez une description. Par exemple, Ceci est une approbation pour https://mail.contoso.com/owa/.

      Page Spécifier le nom complet dans l’Assistant Ajout d’approbation de partie de confiance.
    • Pour le CAE :

      • Nom d’affichage   Type CAE.

      • Remarques   Entrez une description. Par exemple, Ceci est une approbation pour https://mail.contoso.com/ecp/.

      Détails pour le CAE dans la page Sélectionner une source de données dans l’Assistant Ajout d’approbation de partie de confiance.

    Lorsque vous avez terminé, cliquez sur Suivant.

  6. Sur la page Choix d’un profil, vérifiez que l’option Profil AD FS est sélectionnée, puis cliquez sur Suivant.

    Page Choisir un profil dans l’Assistant Ajout d’approbation de partie de confiance
  7. Sur la page Configurer le certificat, cliquez sur Suivant (ne spécifiez pas un certificat de chiffrement de jetons facultatif).

    Page Configurer le certificat dans l’Assistant Ajout d’approbation de partie de confiance.
  8. Sur la page Configurer l’URL, sélectionnez Activer la prise en charge pour le protocole WS-Federation Passive, puis, dans URL de protocole WS-Federation Passive de partie de confiance, entrez les informations suivantes :

    • Outlook sur le web Entrez votre URL Outlook sur le web externe (par exemple, https://mail.contoso.com/owa/).

      Paramètres pour Outlook sur le web de la page Configurer l’URL dans l’Assistant Ajout d’approbation de partie de confiance.
    • CAE   Entrez votre URL de CAE externe (par exemple, https://mail.contoso.com/ecp/).

    Lorsque vous avez terminé, cliquez sur Suivant.

    Paramètres pour l’EAA sur la page Configurer l’URL dans l’Assistant Ajout d’approbation de partie de confiance.
  9. Sur la page Configurer les identificateurs, cliquez sur Suivant (l’URL de l’étape précédente est répertoriée dans Identificateurs d’approbation de partie de confiance).

    Paramètres pour Outlook sur le web dans la page Configurer les identificateurs dans l’Assistant Ajout d’approbation de partie de confiance.
  10. Sur la page Configurer l’authentification multifacteur maintenant ?, vérifiez que l’option Je ne veux pas configurer les paramètres d’authentification multifacteur pour cette approbation de partie de confiance pour le moment est sélectionnée, puis cliquez sur Suivant.

    Page Configurer l’authentification multifacteur maintenant ? dans l’Assistant Ajout d’approbation de partie de confiance.
  11. Sur la page Choisir les règles d’autorisation d’émission, vérifiez que l’option Autoriser tous les utilisateurs à accéder à cette partie de confiance est sélectionnée, puis cliquez sur Suivant.

    Page Choisir les règles d’autorisation d’émission dans l’Assistant Ajout d’approbation de partie de confiance.
  12. Sur la page Prêt à ajouter l’approbation, vérifiez les paramètres, puis cliquez sur Suivant pour enregistrer les informations relatives à votre approbation de partie de confiance.

    Page Prêt à ajouter l’approbation dans l’Assistant Ajout d’approbation de partie de confiance.
  13. Sur la page Terminer, décochez Ouvrir la boîte de dialogue Modifier les règles de revendication pour cette approbation de partie de confiance à la fermeture de l’Assistant, puis cliquez sur Fermer.

    Page de fin dans l’Assistant Ajout d’approbation de partie de confiance.

Pour utiliser l’invite Windows PowerShell pour créer les approbations de partie de confiance, procédez comme suit :

  1. Dans une fenêtre Windows PowerShell à privilèges élevés, exécutez la commande suivante :

    Import-Module ADFS
    
  2. Utilisez la syntaxe suivante :

    Add-AdfsRelyingPartyTrust -Name <"Outlook on the web" | EAC> -Notes "This is a trust for <OotwURL | EACURL>" -Identifier <OotwURL |  EACURL> -WSFedEndpoint <OotwURL |  EACURL> -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule"  => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice
    

    L’exemple suivant crée une approbation de partie de confiance pour Outlook sur le web en utilisant les valeurs suivantes :

    • Name   Outlook sur le web

    • Notes   Ceci est une approbation pour https://mail.contoso.com/owa/

    • Identifier   https://mail.contoso.com/owa/

    • WSFedEndpoint   https://mail.contoso.com/owa/

    Add-AdfsRelyingPartyTrust -Name "Outlook on the web" -Notes "This is a trust for https://mail.contoso.com/owa/" -Identifier https://mail.contoso.com/owa/ -WSFedEndpoint https://mail.contoso.com/owa/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule"  => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice
    

    Cet exemple crée une approbation de partie de confiance pour le CAE en utilisant les valeurs suivantes :

    • Name   CAE

    • Notes   Ceci est une approbation pour https://mail.contoso.com/ecp/

    • Identifier   https://mail.contoso.com/ecp/

    • WSFedEndpoint   https://mail.contoso.com/ecp/

    Add-AdfsRelyingPartyTrust -Name EAC -Notes "This is a trust for https://mail.contoso.com/ecp/" -Identifier https://mail.contoso.com/ecp/ -WSFedEndpoint https://mail.contoso.com/ecp/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule"  => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice
    

À la fois pour Outlook sur le web et le CAE, vous devez créer deux règles de revendication :

  • SID d’utilisateur Active Directory

  • Active Directory UPN

Pour créer les règles de revendication sur le serveur AD FS, vous pouvez utiliser la console de gestion AD FS ou Windows PowerShell.

Pour utiliser la console de gestion AD FS pour créer des règles de revendication, procédez comme suit :

Remarque : Vous devez suivre ces étapes deux fois : une fois pour Outlook sur le web et une fois pour le CAE. La seule différence est l’approbation de partie de confiance que vous sélectionnez dans la première étape. Toutes les autres valeurs dans la procédure sont identiques.

Pour ajouter les règles de revendication requises :

  1. Dans la console de gestion AD FS, développez Relations d’approbation, sélectionnez Approbations de partie de confiance, sélectionnez l’approbation de partie de confiance Outlook sur le web ou CAE. Dans le volet Actions, sélectionnez Modifier les règles de revendication.

    Dans la console de gestion AD FS, développez Relations d’approbation, sélectionnez Approbations de partie de confiance, sélectionnez l’approbation de partie de confiance et dans le volet Actions, cliquez sur Modifier les règles de revendication.
  2. Dans la fenêtre Modifier les règles de revendication pour <NomDeLaRègle> qui s’ouvre, vérifiez que l’onglet Règles de transformation d’émission est sélectionné, puis cliquez sur Ajouter une règle.

    Dans la fenêtre Modifier les règles de revendication, sélectionnez Ajouter une règle dans l’onglet Règles de transformation d'émission.
  3. L’Assistant Ajout de règle de revendication de transformation s’ouvre. Sur la page Sélectionner un modèle de règle, cliquez dans le menu déroulant Modèle de règle de revendication, puis sélectionnez Envoyer des revendications à l’aide d’une règle personnalisée. Lorsque vous avez terminé, cliquez sur Suivant.

    Dans la page Sélectionner le modèle de règle dans l’Assistant Ajout de règle de revendication de transformation, sélectionnez Envoyer les revendications à l’aide d’une règle personnalisée.
  4. Dans la page Configurer la règle, renseignez les informations suivantes.

    • Nom de la règle de revendication   Entrez un nom descriptif pour la règle de revendication. Par exemple, ActiveDirectoryUserSID.

    • Règle personnalisée   Copiez et collez le texte suivant :

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
      
    Dans la page Configurer la règle dans l’Assistant Ajout de règle de revendication de transformation, configurez les paramètres de règle de revendication pour le SID utilisateur Active Directory.

    Lorsque vous avez terminé, cliquez sur Terminer.

  5. De retour dans la fenêtre Modifier les règles de revendication pour <NomDeLaRègle>, vérifiez que l’onglet Règles de transformation d’émission est sélectionné, puis cliquez sur Ajouter une règle.

    Dans la fenêtre Modifier les règles de revendication, sélectionnez Ajouter une règle dans l’onglet Règles de transformation d'émission.
  6. L’Assistant Ajout de règle de revendication de transformation s’ouvre. Sur la page Sélectionner un modèle de règle, cliquez dans le menu déroulant Modèle de règle de revendication, puis sélectionnez Envoyer des revendications à l’aide d’une règle personnalisée. Lorsque vous avez terminé, cliquez sur Suivant.

    Dans la page Sélectionner le modèle de règle dans l’Assistant Ajout de règle de revendication de transformation, sélectionnez Envoyer les revendications à l’aide d’une règle personnalisée.
  7. Dans la page Configurer la règle, renseignez les informations suivantes.

    • Nom de la règle de revendication   Entrez un nom descriptif pour la règle de revendication. Par exemple, ActiveDirectoryUPN.

    • Règle personnalisée   Copiez et collez le texte suivant :

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
      
    Dans la page Configurer la règle dans l’Assistant Ajout de règle de revendication de transformation, configurez les paramètres de règle de revendication pour l’UPN Active Directory.

    Lorsque vous avez terminé, cliquez sur Terminer.

  8. De retour dans la fenêtre Modifier les règles de revendication pour <NomDeLaRègle>, cliquez sur OK.

    Lorsque vous avez fini d’ajouter les règles de revendication, cliquez sur OK.

Pour utiliser Windows PowerShell pour créer des règles de revendication personnalisées, procédez comme suit :

  1. Ouvrez une fenêtre Windows PowerShell à privilèges élevés, puis exécutez la commande suivante :

    Import-Module ADFS
    
  2. Utilisez la syntaxe suivante :

    Set-AdfsRelyingPartyTrust -TargetName <OotwRelyingPartyTrust | EACRelyingPartyTrust> -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);   @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'
    

    Pour créer les règles de revendication personnalisées dans l’approbation de partie de confiance existante nommée Outlook sur le web, exécutez la commande suivante :

    Set-AdfsRelyingPartyTrust -TargetName "Outlook on the web" -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);   @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'
    

    Pour créer les règles de revendication personnalisées dans l’approbation de partie de confiance existante nommée CAE, exécutez la commande suivante :

    Set-AdfsRelyingPartyTrust -TargetName EAC -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);   @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'
    

Les étapes décrites dans cette section sont nécessaires uniquement si vous souhaitez publier Outlook sur le web et le CAE à l’aide du proxy d’application web et si vous souhaitez que le proxy d’application web effectue l’authentification AD FS. Rappels :

  • Vous ne pouvez pas utiliser l’accès hors connexion dans Outlook sur le web si vous utilisez l’authentification AD FS via le proxy d’application web.

  • Vous ne pouvez pas installer le proxy d’application web sur le serveur où AD FS est installé.

Si vous n’allez pas utiliser le proxy d’application web, passez à l’étape 6.

Pour utiliser le gestionnaire de serveur pour installer le proxy d’application web, procédez comme suit :

  1. Sur le serveur cible, ouvrez Gestionnaire de serveur, cliquez sur Gérer, puis sélectionnez Ajouter des rôles et des fonctionnalités.

    Dans le gestionnaire de serveur, cliquez sur Gérer pour accéder à Ajouter des rôles et des fonctionnalités
  2. L’Assistant Ajout de rôles et de fonctionnalités s’ouvre. Vous allez commencer sur la page Avant de commencer sauf si vous avez précédemment sélectionné Ignorer cette page par défaut. Cliquez sur Suivant.

    La page « Avant de commencer » de l’Assistant Ajouter des rôles et des fonctionnalités.
  3. Sur la page Sélectionner le type d’installation, vérifiez que l’option Installation basée sur un rôle ou une fonctionnalité est sélectionnée, puis sur Suivant.

    La page « Sélectionner le serveur de destination » de l’Assistant Ajouter des rôles et des fonctionnalités.
  4. Sur la page Sélectionner le serveur de destination, vérifiez la sélection du serveur, puis cliquez sur Suivant.

    La page « Sélectionner le serveur de destination » de l’Assistant Ajouter des rôles et des fonctionnalités.
  5. Sur la page Sélectionner les rôles de serveur, sélectionnez Accès à distance dans la liste de rôles, puis cliquez sur Suivant.

    Sélectionnez « Accès distant » dans la page « Sélectionner des rôles de serveurs » de l’Assistant Ajouter des rôles et des fonctionnalités.
  6. Sur la page Fonctionnalités, cliquez sur Suivant (acceptez les sélections de fonctionnalité par défaut).

    Page « Sélectionner des fonctionnalités » dans l’Assistant Ajout de rôles et de fonctionnalités.
  7. Sur la page Accès à distance, consultez les informations, puis cliquez sur Suivant :

    La page « Accès distant » de l’Assistant Ajouter des rôles et des fonctionnalités.
  8. Sur la page Sélectionner des services de rôle, sélectionnez Proxy d’application web. Dans la boîte de dialogue d’ajout des fonctionnalités qui s’ouvre, cliquez sur Ajouter des fonctionnalités pour accepter les valeurs par défaut et fermez la boîte de dialogue. De retour dans la page Sélectionner les services de rôle, cliquez sur Suivant.

    Après avoir sélectionné le proxy d’application web, la boîte de dialogue « Ajouter des fonctionnalités requises pour le proxy de l’application web ? » s’affiche.
    Sélectionnez Proxy d’application web sur la page Sélectionner des services de rôle.
  9. Dans la page Confirmer les sélections pour l’installation, cliquez sur Installer.

    x
  10. Sur la page Progression de l’installation, visionnez la barre de progression pour vérifier que l’installation a réussi. Une fois l’installation terminée, laissez l’Assistant ouvert, pour pouvoir cliquer sur Ouvrir l’Assistant Proxy d’application web à la prochaine étape (5b).

    Page « Progression de l’installation » de l’Assistant Ajouter des rôles et des fonctionnalités.

Pour utiliser Windows PowerShell pour installer le proxy d’application web, exécutez la commande suivante :

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

Une fois que vous avez déployé le serveur proxy d’application web, vous devez configurer les paramètres de proxy d’application web suivants :

  • Nom du service de fédération   Par exemple, adfs.contoso.com.

  • Informations d’identification de l’approbation du service de fédération   Le nom d’utilisateur et mot de passe d’un compte d’administrateur local sur le serveur AD FS.

  • Certificat de proxy AD FS   Un certificat installé sur le serveur proxy d’application web qui identifie le serveur des clients comme un proxy pour le service de fédération et par conséquent contient le nom du service de fédération (par exemple, adfs.contoso.com). En outre, le nom du service de fédération doit être accessible au serveur proxy d’application web (peut être résolu dans le système DNS).

Vous pouvez utiliser le gestionnaire de serveur ou Windows PowerShell pour configurer le serveur proxy d’application web.

Pour utiliser le gestionnaire de serveur pour configurer le proxy d’application web, procédez comme suit :

  1. Si vous avez laissé l’Assistant Ajout de rôles et de fonctionnalités ouvert sur le serveur proxy d’application web à l’étape précédente, vous pouvez cliquer sur le lien Ouvrir l’Assistant Proxy d’application web dans la page Progression de l’Installation.

    Page « Progression de l’installation » de l’Assistant Ajouter des rôles et des fonctionnalités.

    Si vous avez fermé l’Assistant Ajout de rôles et de fonctionnalités ou avez utilisé Windows PowerShell pour installer le proxy d’application web, vous pouvez atteindre la même place en cliquant sur Notifications, puis en cliquant sur Ouvrir l’Assistant Proxy d’application web dans l’avertissement Configuration après déploiement.

    Dans le gestionnaire de serveur, cliquez sur Notifications pour afficher l’avertissement qui contient le lien permettant d’ouvrir l’Assistant Proxy d’application web.
  2. L’Assistant Configuration du proxy d’application web s’ouvre. Dans la page Bienvenue, cliquez sur Suivant.

    Page d’accueil de l’Assistant Configuration de proxy d’application web
  3. Sur la page Serveur de fédération, entrez les informations suivantes :

    • Nom du service de fédération   Par exemple, adfs.contoso.com.

    • Nom d’utilisateur et Mot de passe   Entrez les informations d’identification d’un compte d’administrateur local sur le serveur AD FS.

    Lorsque vous avez terminé, cliquez sur Suivant.

    Entrer les informations d’identification pour le serveur AD FS sur la page Serveur de fédération dans l’Assistant de Configuration de proxy d’application web
  4. Sur la page Certificat de proxy AD FS, sélectionnez un certificat installé qui contient le nom du service de fédération (par exemple adfs.contoso.com). Vous pouvez sélectionner un certificat dans la liste déroulante, puis cliquer sur Affichage > Détails pour afficher plus d’informations sur le certificat. Lorsque vous avez terminé, cliquez sur Suivant.

    Sélectionner le certificat de proxy AD FS sur la page Certificat de proxy AD FS dans l’Assistant Configuration de proxy AD FS
  5. Sur la page Confirmation, vérifiez les paramètres. Vous pouvez copier la commande Windows PowerShell pour automatiser les installations supplémentaires (en particulier, la valeur d’empreinte numérique du certificat). Lorsque vous avez terminé, cliquez sur Configurer.

    Page Confirmation dans l’Assistant Configuration de proxy d’application web
  6. Dans la page Résultats, vérifiez que la configuration s’est correctement déroulée, puis cliquez sur Fermer.

    Page Résultats dans l’Assistant Configuration de proxy d’application web

Pour utiliser Windows PowerShell pour configurer le proxy d’application web, procédez comme suit :

  1. Exécutez la commande suivante sur le serveur proxy d’application web pour rechercher la valeur de l’empreinte numérique du certificat installé contenant adfs.contoso.com :

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
    
  2. Exécutez la commande suivante, puis entrez le nom d’utilisateur et le mot de passe d’un compte d’administrateur local sur le serveur AD FS.

    $ADFSServerCred = Get-Credential
    
  3. Utilisez la syntaxe suivante :

    Install-WebApplicationProxy -FederationServiceName <FederationServiceName> -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint <ADFSCertThumbprint>
    

    Cet exemple montre comment configurer le serveur proxy d’application web avec les paramètres suivants :

    • Nom du service de fédération   adfs.contoso.com

    • Empreinte de certificat SSL AD FS   Le certificat *.contoso.com qui a la valeur d’empreinte numérique 5AE82C737900B29C2BAC3AB6D8C44D249EE05609.

    Install-WebApplicationProxy -FederationServiceName adfs.contoso.com -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609
    

Pour publier les approbations de partie de confiance dans le proxy d’application web, vous pouvez utiliser la console de gestion de l’accès à distance ou Windows PowerShell.

Pour utiliser la console de gestion de l’accès à distance, procédez comme suit :

Remarque : Vous devez suivre ces étapes deux fois : une fois pour Outlook sur le web et une fois pour le CAE. Les paramètres requis sont décrits dans la procédure.

  1. Ouvrez la console de gestion de l’accès à distance sur le serveur proxy d’application web : dans le gestionnaire de serveur, cliquez sur Outils > Gestion de l’accès à distance.

  2. Dans la console de gestion de l’accès à distance, sous Navigation, cliquez sur Proxy d’application web, puis dans le volet Tâches, cliquez sur Publier.

    Sélectionner Publier dans le volet Tâches dans la console de gestion de l’accès à distance
  3. Dans l’Assistant Publication d’une nouvelle application, sur la page Bienvenue, cliquez sur Suivant.

    Page d’accueil de l’Assistant Publication d’une nouvelle application sur le serveur proxy d’application web.
  4. Sur la page Pré-authentification, vérifiez que l’option Services ADFS (Active Directory Federation Services) (AD FS) est sélectionnée, puis cliquez sur Suivant.

    Page Pré-authentification dans l’Assistant Publication d’une nouvelle application sur le serveur proxy d’application web.
  5. Sur la page Partie de confiance, sélectionnez la partie de confiance que vous avez créée sur le serveur ADFS dans l’étape 4 :

    Sélectionnez la partie de confiance dans la page Partie de confiance dans l’Assistant Publication d’une nouvelle application sur le serveur proxy d’application web.
    • Pour Outlook sur le web   Sélectionnez Outlook sur le web.

    • Pour le CAE   Sélectionnez CAE.

    Lorsque vous avez terminé, cliquez sur Suivant.

  6. Sur la page Paramètres de publication, entrez les informations suivantes :

    • Pour Outlook sur le web

      • Nom   Par exemple, Outlook sur le web. Ce nom n’est visible que dans la console de gestion de l’accès à distance.

      • URL externe   Par exemple, https://mail.contoso.com/owa/.

      • Certificat externe   Sélectionnez un certificat installé qui contient le nom d’hôte de l’URL externe pour Outlook sur le web (par exemple, mail.contoso.com). Vous pouvez sélectionner un certificat dans la liste déroulante, puis cliquer sur Affichage > Détails pour afficher plus d’informations sur le certificat.

      • URL du serveur principal   Cette valeur est automatiquement remplie par l’URL externe. Vous devez la modifier uniquement si l’URL du serveur principal est différente de l’URL externe. Par exemple, https://server01.contoso.com/owa/. Notez que les chemins d’accès dans l’URL externe et l’URL du serveur principal doivent correspondre (/owa/), mais que les valeurs de nom d’hôte peuvent être différentes (par exemple, mail.contoso.com et server01.contoso.com).

      Paramètres de publication pour Outlook sur le web dans la page Partie de confiance dans l’Assistant Publication d’une nouvelle application sur le serveur proxy d’application web.
    • Pour le CAE

      • Nom   Par exemple, EAC. Ce nom n’est visible que dans la console de gestion de l’accès à distance.

      • URL externe   L’URL externe pour le centre d’administration Exchange. Par exemple, https://mail.contoso.com/ecp/.

      • Certificat externe   Sélectionnez un certificat installé qui contient le nom d’hôte de l’URL externe pour le CAE (par exemple, mail.contoso.com). Le certificat est probablement un certificat de caractères génériques ou SAN. Vous pouvez sélectionner un certificat dans la liste déroulante, puis cliquer sur Affichage > Détails pour afficher plus d’informations sur le certificat.

      • URL du serveur principal   Cette valeur est automatiquement remplie par l’URL externe. Vous devez la modifier uniquement si l’URL du serveur principal est différente de l’URL externe. Par exemple, https://server01.contoso.com/ecp/. Notez que les chemins d’accès dans l’URL externe et l’URL du serveur principal doivent correspondre (/ecp/), mais que les valeurs de nom d’hôte peuvent être différentes (par exemple, mail.contoso.com et server01.contoso.com).

    Lorsque vous avez terminé, cliquez sur Suivant.

    Paramètres de publication de l’EAA dans la page Partie de confiance dans l’Assistant Publication d’une nouvelle application sur le serveur proxy d’application web.
  7. Sur la page Confirmation, vérifiez les paramètres. Vous pouvez copier la commande Windows PowerShell pour automatiser les installations supplémentaires (en particulier, la valeur d’empreinte numérique du certificat). Lorsque vous avez terminé, cliquez sur Publier.

    Page Confirmation dans l’Assistant Publication d’une nouvelle application sur le serveur proxy d’application web.
  8. Sur la page Résultats, vérifiez que l’application a été correctement publiée, puis cliquez sur Fermer.

    Page Résultats dans l’Assistant Publication d’une nouvelle application sur le serveur proxy d’application web.

Pour utiliser Windows PowerShell pour publier les approbations de partie de confiance, procédez comme suit :

  1. Exécutez la commande suivante sur le serveur proxy d’application web pour rechercher la valeur de l’empreinte numérique du certificat installé contenant le nom d’hôte des URL d’Outlook sur le web et du centre d’administration Exchange (par exemple, mail.contoso.com) :

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
    
  2. Utilisez la syntaxe suivante :

    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName <OotwRelyingParty | EACRelyingParty> -Name "<Outlook on the web  | EAC>" -ExternalUrl <OotwURL | EACURL> -ExternalCertificateThumbprint <Thumbprint> -BackendServerUrl <OotwURL | EACURL>
    

    Cet exemple publie Outlook sur le web dans le proxy d’application web avec les paramètres suivants :

    • Partie de confiance AD FS   Outlook sur le web

    • Nom   Outlook sur le web

    • URL externe   https://mail.contoso.com/owa/

    • Empreinte de certificat externe   Le certificat *.contoso.com qui a la valeur d’empreinte numérique 5AE82C737900B29C2BAC3AB6D8C44D249EE05609.

    • URL du serveur principal   https://mail.contoso.com/owa/

    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName "Outlook on the web" -Name "Outlook on the web" -ExternalUrl https://mail.contoso.com/owa/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE056093 -BackendServerUrl https://mail.contoso.com/owa/
    

    Cet exemple publie le centre d’administration Exchange dans le proxy d’application web avec les paramètres suivants :

    • Nom   CAE

    • URL externe   https://external.contoso.com/ecp/

    • Empreinte de certificat externe   Le certificat *.contoso.com qui a la valeur d’empreinte numérique 5AE82C737900B29C2BAC3AB6D8C44D249EE05609.

    • URL du serveur principal https://mail.contoso.com/ecp/

    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName EAC -Name EAC -ExternalUrl https://external.contoso.com/ecp/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -BackendServerUrl https://mail.contoso.com/ecp/
    

Remarque : Le proxy doit être activé dans tous les points de terminaison AD FS que vous souhaitez publier via le proxy d’application web. Vous effectuez l’opération dans la console de gestion AD FS dans Service > Points de terminaison (vérifiez que Proxy activé est réglé sur Oui pour le point de terminaison spécifié).

Pour configurer l’organisation Exchange pour qu’elle utilise l’authentification AD FS, vous devez utiliser l’Environnement de ligne de commande Exchange Management Shell.Pour en savoir plus sur l’ouverture de l’environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Ouverture de l’environnement de ligne de commande Exchange Management Shell.

  1. Exécutez la commande suivante pour rechercher la valeur d’empreinte numérique du certificat de signature de jetons AD FS importé :

    Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject
    

    Recherchez la valeur de l’objet CN=ADFS Signing - <FederationServiceName> (par exemple, CN=ADFS Signing - adfs.contoso.com).

    Vous pouvez vérifier cette valeur d’empreinte numérique sur le serveur AD FS dans une fenêtre Windows PowerShell à privilèges élevés en exécutant la commande Import-Module ADFS, puis en exécutant la commande Get-AdfsCertificate -CertificateType Token-Signing.

  2. Utilisez la syntaxe suivante :

    Set-OrganizationConfig -AdfsIssuer https://<FederationServiceName>/adfs/ls/ -AdfsAudienceUris "<OotwURL>","<EACURL>" -AdfsSignCertificateThumbprint "<Thumbprint>"
    

    Cet exemple utilise les valeurs suivantes :

    • URL AD FS   https://adfs.contoso.com/adfs/ls/

    • Outlook sur le web URL   https://mail.contoso.com/owa/

    • URL DU CAE   https://mail.contoso.com/ecp/

    • Empreinte du certificat de signature de jetons AD FS   Le certificat ADFS Signing - adfs.contoso.com qui a la valeur d’empreinte numérique 88970C64278A15D642934DC2961D9CCA5E28DA6B.

    Set-OrganizationConfig -AdfsIssuer https://adfs.contoso.com/adfs/ls/ -AdfsAudienceUris "https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/" -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"
    

    Remarque : Le paramètre AdfsEncryptCertificateThumbprint n’est pas pris en charge pour ces scénarios.

Pour les répertoires virtuels d’Outlook sur le web et du centre d’administration Exchange, vous devez configurer l’authentification AD FS comme la seule méthode d’authentification disponible en désactivant toutes les autres méthodes d’authentification.

  • Vous devez configurer le répertoire virtuel du CAE avant de configurer le répertoire virtuel d’Outlook sur le web.

  • Vous souhaitez probablement configurer l’authentification AD FS uniquement sur des serveurs Exchange accessibles sur Internet que les clients utilisent pour se connecter à Outlook sur le web et au centre d’administration Exchange.

  • Par défaut, l’authentification de base et par formulaires est uniquement activée pour les répertoires virtuels d’Outlook sur le web et du centre d’administration Exchange.

Pour l’utiliser l’Environnement de ligne de commande Exchange Management Shell pour configurer un répertoire virtuel Outlook sur le web ou CAE afin qu’il accepte uniquement l’authentification AD FS, utilisez la syntaxe suivante :

Set-EcpVirtualDirectory -Identity <VirtualDirectoryIdentity> -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Cet exemple configure le répertoire virtuel du centre d’administration Exchange dans le site web par défaut sur le serveur nommé Mailbox01 :

Set-EcpVirtualDirectory -Identity "Mailbox01\ecp (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Cet exemple configure le répertoire virtuel d’Outlook sur le web dans le site web par défaut sur le serveur nommé Mailbox01 :

Set-OwaVirtualDirectory -Identity "Mailbox01\owa (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Remarque : Pour configurer tous les répertoires virtuels d’Outlook sur le web et du CAE sur chaque serveur Exchange de votre organisation, exécutez les commandes suivantes :

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false 

  1. Ouvrez le Gestionnaire des services Internet (IIS) sur le serveur Exchange. Un moyen simple pour effectuer cette action dans Windows Server 2012 ou version ultérieure est d’appuyer sur la touche Windows + Q, de taper inetmgr et de sélectionner Gestionnaire des services Internet (IIS) dans les résultats.

  2. Dans le Gestionnaire des services Internet (IIS), sélectionnez le serveur.

  3. Dans le volet Actions, cliquez sur Redémarrer.

Dans le Gestionnaire des services Internet, sélectionnez le serveur et, dans le volet Actions, cliquez sur Redémarrer.

Remarque : pour effectuer cette procédure dans la ligne de commande, ouvrez une invite de commandes élevée sur le serveur Exchange (une fenêtre d’invite de commandes que vous avez ouverte en sélectionnant Exécuter en tant qu’administrateur) et exécutez la commande suivante :

iisreset /noforce

Pour tester les revendications AD FS pour Outlook sur le web :

  1. Dans un navigateur web, ouvrez Outlook sur le web (par exemple, https://mail.contoso.com/owa).

  2. Si vous obtenez une erreur de certificat dans le navigateur web, continuez simplement sur le site web Outlook sur le web. Vous devez être redirigé vers la page de connexion AD FS ou l’invite AD FS des informations d’identification.

  3. Tapez votre nom d’utilisateur (domaine\utilisateur) et votre mot de passe, puis cliquez sur Connexion.

  4. Outlook sur le web est chargé dans la fenêtre.

Pour tester les revendications AD FS pour le CAE :

  1. Dans un navigateur web, ouvrez le centre d’administration Exchange (par exemple, https://mail.contoso.com/ecp).

  2. Si vous obtenez une erreur de certificat dans le navigateur web, continuez simplement sur le site web du CAE. Vous devez être redirigé vers la page de connexion AD FS ou l’invite AD FS des informations d’identification.

  3. Tapez votre nom d’utilisateur (domaine\utilisateur) et votre mot de passe, puis cliquez sur Connexion.

  4. Le centre d’administration Exchange est chargé dans la fenêtre.

Authentification multifacteur

Le déploiement et la configuration d’AD FS pour l’authentification basée sur les revendications permet à Outlook sur le web et au centre d’administration Exchange de prendre en charge l’authentification multifacteur, notamment l’authentification par certificats, par jetons de sécurité ou par empreinte. L’authentification multifacteur requiert deux des trois facteurs d’authentification :

  • Un élément que seul l’utilisateur connait (par exemple, le mot de passe, le code PIN ou le modèle).

  • Un élément que seul l’utilisateur possède (par exemple, une carte de crédit, un jeton de sécurité, une carte à puce ou un téléphone mobile).

  • Un élément propre à l’utilisateur (par exemple, une caractéristique biométrique, comme une empreinte digitale).

Par exemple, un mot de passe et un code de sécurité envoyé à un téléphone mobile, ou un code confidentiel et une empreinte digitale.

Pour plus de détails sur l’authentification multifacteur dans Windows Server 2012 R2, consultez la rubrique Vue d’ensemble : gérer les risques avec une authentification multifacteur supplémentaire pour les applications sensibles et Guide pas à pas : gérer les risques avec une authentification multifacteur supplémentaire pour les applications sensibles.

Dans le serveur AD FS, le service de fédération fonctionne comme un service de jetons de sécurité et fournit les jetons de sécurité qui sont utilisés avec les revendications. Le service de fédération émet des jetons à partir des informations d’identification présentées. Une fois que le magasin de comptes a vérifié les informations d’identification de l’utilisateur, les revendications concernant l’utilisateur sont générées selon les règles de la stratégie d’approbation, puis ajoutées à un jeton de sécurité qui est remis au client. Pour plus d’informations sur les revendications, consultez la rubrique Présentation des revendications.

Coexistence avec d’autres versions d’Exchange

Lorsque vous avez plus d’une version de Exchange est déployé dans votre organisation, vous pouvez utiliser l’authentification AD FS pour le Outlook sur le web et l’estimation à l’achèvement. Ce scénario est pris en charge uniquement si tous les clients sont connectent par le biais d’ou des serveurs de Exchange 2016, et tous les serveurs ont été configurés pour l’authentification AD FS.

Utilisateurs avec boîtes aux lettres sur les serveurs Exchange 2010 peuvent accéder à leurs boîtes aux lettres via un serveur de Exchange 2016 qui est configuré pour l’authentification AD FS. La connexion client initiale pour l’ou les Exchange 2016 server utilise l’authentification AD FS. Toutefois, la connexion proxy Exchange 2010 utilise Kerberos. Il n’y a aucun moyen pris en charge pour configurer les Exchange 2010 pour l’authentification directe AD FS.

 
Afficher: