Configurer une approbation de fédération

Exchange 2013
 

Sapplique à :Exchange Server 2013

Dernière rubrique modifiée :2017-07-26

Une approbation de fédération établit une relation d’approbation entre une organisation Microsoft Exchange 2013 et le système d’authentification Azure Active Directory. En configurant une approbation de fédération, vous pouvez configurer le partage fédéré avec d’autres organisations Exchange fédérées, afin de permettre le partage d’informations de disponibilité de calendrier entre les destinataires. Le partage fédéré peut être configuré entre deux organisations Exchange 2013 fédérées ou entre une organisation Exchange 2013 fédérée et des organisations Exchange 2010 fédérées. Vous pouvez également configurer le partage avec une organisation Office 365.

RemarqueRemarque :
La création d’une approbation de fédération fait partie des étapes permettant de configurer le partage fédéré dans votre organisation Exchange. Pour consulter toutes les étapes, voir Configurer le partage fédéré.

Pour les autres tâches de gestion relatives à la fédération, voir Procédures de fédération.

ImportantImportant :
Cette fonctionnalité d’Exchange Server 2013 n’est pas entièrement compatible avec les systèmes Office 365 exécutés par 21Vianet en Chine et certaines limitations de fonctionnalités peuvent s’appliquer. Pour plus d’informations, voir En savoir plus sur Office 365 exécuté par 21Vianet.

  • Durée d’exécution estimée : 30 minutes.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée d’autorisations de « Fédération et certificats » dans la rubrique Autorisations d’infrastructure Exchange et Shell.

  • Le domaine utilisé pour établir une approbation de fédération doit pouvoir être résolu depuis Internet. Il faut donc que le domaine soit inscrit au bureau d’enregistrement de domaines et que la zone DNS (Domain Name System) pour le domaine soit hébergée sur un serveur DNS accessible depuis Internet. Si l’organisation reçoit du courrier Internet pour le domaine, ces critères sont déjà satisfaits.

  • Vous devrez ajouter un enregistrement TXT à votre DNS public. Passez en revue les exigences pour l’ajout d’un enregistrement TXT avec l’organisation qui héberge vos enregistrements DNS publics.

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d’administration Exchange.

  • Les deux organisations Exchange dans une relation de partage fédéré doivent utiliser le même système d’authentification Azure AD pour leurs approbations de fédération. Cette exigence s’applique lors de la configuration du partage fédéré entre deux organisations Exchange sur site ou entre une organisation Exchange sur site et une organisation Exchange hébergée par Office 365.

  • Lors de la création d’une approbation de fédération avec le système d’authentification Azure AD pour votre organisation Exchange 2013, l’approbation de fédération utilisera l’instance professionnelle du système d’authentification Azure AD. Cependant, d’autres organisations Exchange fédérées utilisant des versions antérieures d’Exchange et des approbations de fédération existantes peuvent utiliser l’instance professionnelle ou grand public du système d’authentification Azure AD.

    Les organisations Exchange suivantes utilisent l’instance professionnelle du système d’authentification Azure AD par défaut :

    • Les organisations Exchange 2013 via l’Assistant Activer l’approbation de fédération et les certificats auto-signés pour une approbation de fédération.

    • Les organisations Exchange 2010 SP1 ou version ultérieure via l’Assistant Nouvelle approbation de fédération et les certificats auto-signés pour une approbation de fédération.

    • Les organisations Exchange hébergées par Office 365, telles qu’Exchange Online.

    Les organisations Exchange suivantes utilisent l’instance grand public du système d’authentification Azure AD par défaut :

    • La version finalisée (RTM) des organisations Exchange 2010 via les certificats émis par des autorités de certification tierces.

    Nous recommandons que toutes les organisations Exchange utilisent l’instance professionnelle du système d’authentification Azure AD pour les approbations de fédération. Avant de configurer le partage fédéré entre les deux organisations Exchange, vous devez déterminer l’instance du système d’authentification Azure AD que chaque organisation Exchange utilise pour les approbations de fédération existantes. Pour déterminer l’instance du système d’authentification Azure AD utilisée par une organisation Exchange pour une approbation de fédération existante, exécutez la commande d’environnement Exchange Management Shell suivante.

    Get-FederationInformation -DomainName <hosted Exchange domain namespace>
    

    L’instance professionnelle renvoie la valeur <uri:federation:MicrosoftOnline> pour le paramètre TokenIssuerURIs.

    L’instance grand public renvoie la valeur <uri:WindowsLiveID> pour le paramètre TokenIssuerURIs.

    Pour configurer le partage fédéré au sein d’une organisation Exchange disposant d’une approbation de fédération qui utilise l’instance professionnelle du système d’authentification Azure AD, suivez les étapes indiquées dans cette rubrique. Ces étapes vous guident tout au long de la création des approbations de fédération permettant d’activer le partage fédéré entre deux organisations Exchange 2013 ou entre une organisation Exchange 2013 et une organisation Exchange 2010 qui utilise déjà l’instance professionnelle du système d’authentification Azure AD.

    Pour configurer le partage fédéré entre votre organisation Exchange 2013 et une organisation Exchange qui comporte une approbation de fédération existante utilisant l’instance grand public du système d’authentification Azure AD, l’organisation Exchange utilisant l’instance grand public doit installer Exchange 2010 SP2 ou version ultérieure, ou effectuer la mise à niveau vers Exchange 2013. Si vous décidez d’installer Exchange 2010 SP2 ou version ultérieure, utilisez l’Assistant Nouvelle approbation de fédération pour supprimer et recréer les domaines fédérés et les approbations de fédération existants. Lors de la recréation des approbations de fédération, l’instance professionnelle du système d’authentification Azure AD sera utilisée.

  1. Sur un serveur Exchange 2013 de votre organisation locale, accédez à Organisation > Partage.

  2. Cliquez sur Activer pour démarrer l’Assistant Activer l’approbation de fédération.

  3. Une fois l’Assistant terminé, cliquez sur Fermer.

  4. Dans la section Approbation de fédération de l’onglet Partage, cliquez sur Modifier.

  5. Dans Domaines activés pour le partage, en regard de Étape 1, cliquez sur Parcourir.

  6. Dans Sélectionner les domaines acceptés, sélectionnez dans la liste le domaine partagé principal, puis cliquez sur OK.

    RemarqueRemarque :
    Le domaine que vous sélectionnez sera utilisé pour configurer l’identificateur d’organisation pour l’approbation fédérée. Pour plus d’informations sur l’identificateur d’organisation, voir Fédération.
  7. Notez la preuve de domaine fédéré qui est générée pour le domaine partagé principal. Vous utiliserez cette chaîne pour créer un enregistrement TXT sur votre serveur DNS public.

    ImportantImportant :
    La preuve de domaine fédéré est une chaîne de caractères alphanumériques. Pour éviter les erreurs d’entrée, nous vous conseillons de copier la chaîne depuis le Centre d’administration Exchange (EAC), puis de la coller dans un éditeur de texte comme Notepad. Vous pouvez alors la copier de l’éditeur de texte vers le Presse-papiers, puis la coller dans le champ Texte lors de la création de l’enregistrement TXT. Si l’enregistrement TXT est créé en utilisant une chaîne de preuve de domaine fédéré incorrecte, le système d’authentification Azure AD ne peut pas vérifier la preuve de propriété du domaine et vous ne pouvez pas l’ajouter à l’identificateur d’organisation fédérée.
  8. À l’Étape 2, cliquez sur AjouterIcône Ajouter afin d’ajouter des domaines supplémentaires à l’approbation fédérée pour les adresses électroniques qui seront utilisées par les utilisateurs de votre organisation nécessitant des fonctions de partage fédéré. Par exemple, si vous avez des utilisateurs qui emploient un sous-domaine dans leur adresse électronique (par exemple, sales.contoso.com), ajoutez le domaine sales.contoso.com à l’approbation de fédération.

    RemarqueRemarque :
    Une chaîne de preuve de domaine fédéré sera créée pour chaque domaine supplémentaire sélectionné. Vous devez créer des enregistrements TXT distincts sur votre DNS public pour chaque domaine supplémentaire.
  9. À l’aide des chaînes de preuve de domaine fédéré créées pour chaque domaine, créez des enregistrements TXT pour chacun de ces domaines sur votre serveur DNS public. En fonction de la planification des mises à jour de votre hôte DNS public, la réplication des modifications DNS peut prendre au moins 15 minutes.

  10. Une fois les enregistrements TXT créés et répliqués, cliquez sur Mettre à jour.

  1. Cet exemple crée un identificateur de clé de l’objet unique à utiliser avec le certificat.

    $ski = [System.Guid]::NewGuid().ToString("N")
    
  2. Cet exemple crée un certificat auto-signé pour l’approbation de fédération avec le système d’authentification Azure AD.

    New-ExchangeCertificate -FriendlyName "Exchange Federated Sharing" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
    
  3. Cet exemple récupère le certificat auto-signé et crée l’approbation de fédération « Azure AD authentication ». Cela permet de déployer automatiquement le certificat auto-signé sur les serveurs Exchange de votre organisation.

    Get-ExchangeCertificate | ?{$_.friendlyname -eq "Exchange Federated Sharing"} | New-FederationTrust -Name "Azure AD authentication"
    

Pour des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques New-ExchangeCertificate et New-FederationTrust.

L’exécution réussie des Assistants Activer l’approbation de fédération et Domaines activés pour le partage constitue la première indication que l’approbation de fédération a été configurée comme prévu.

Pour vérifier que vous avez correctement créé et configuré l’approbation de fédération, procédez comme suit :

  1. Exécutez la commande de l’environnement de ligne de commande suivante pour vérifier les informations d’approbation de la fédération.

    Get-FederationTrust | format-list
    
  2. Exécutez la commande de l’environnement de ligne de commande suivante pour vérifier si les informations de la fédération peuvent être récupérées à partir de votre organisation.

    Get-FederationInformation -DomainName <your primary sharing domain>
    

Pour des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques Get-FederationTrust et Get-FederationInformation.

ConseilConseil :
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez le forum à l’adresse : Exchange Server, Exchange Online ou Exchange Online Protection
 
Afficher: