Gérer une approbation de fédération

S’applique à : Exchange Server 2013

Une approbation de fédération établit une relation d’approbation entre un organization Microsoft Exchange 2013 et le système d’authentification Microsoft Entra et prend en charge le partage fédéré avec d’autres organisations Exchange fédérées. Normalement, vous ne devriez pas avoir à gérer ni à modifier l'approbation de fédération qui a été créée. Toutefois, dans certaines circonstances, il sera peut-être nécessaire d'ajouter ou de supprimer des domaines fédérés ou de redéfinir le domaine utilisé afin de configurer l'identificateur de l'organisation (OrgID) pour l'approbation de fédération.

Pour obtenir des tâches de gestion supplémentaires liées à la fédération, consultez Procédures de fédération.

Ce qu'il faut savoir avant de commencer

• Durée d'exécution estimée : 30 minutes.

• Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour connaître les autorisations dont vous avez besoin, consultez l’entrée Autorisations de fédération et de certificats dans la rubrique Autorisations d’infrastructure Exchange et Shell .

• Vous devrez ajouter un enregistrement TXT à votre DNS public pour chaque nouveau domaine fédéré ajouté à l'approbation de fédération. Passez en revue les exigences pour l'ajout d'un enregistrement TXT avec l'organisation qui héberge vos enregistrements DNS publics.

• Dans cette rubrique, nous avons configuré une approbation de fédération en utilisant les paramètres suivants :

  • Contoso.com est le domaine partagé principal pour l'approbation de fédération. (Ce domaine ne sera pas modifié.)

  • Les domaines fédérés service.contoso.com et sales.contoso.com sont inclus dans l'approbation de fédération existante.

  • Marketing.contoso.com est un domaine accepté dans l'organisation Exchange.

• Cette rubrique traite également d'autres tâches de gestion relatives à la fédération, telles que l'affichage et la gestion de certificats utilisés pour l'approbation de fédération et l'affichage d'informations sur les paramètres d'approbation de fédération dans le Shell.

• Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.

Utiliser le Centre d’administration Exchange pour gérer une approbation de fédération

1. Sur un serveur Exchange 2013 dans votre organization local, accédez àPartaged’organisation>.

2. Dans la section Approbation de fédération, cliquez sur Modifier.

3. Dans Domaines activés pour le partage, ignorez l' étape 1, car le domaine partagé principal ne change pas.

4. À l’étape 2, sélectionnez le domaine service.contoso.com , puis cliquez sur Supprimer pour supprimer le domaine de l’approbation fédérée.

5. À l’étape 2, cliquez sur Ajouter.

6. Dans Sélectionner les domaines acceptés, sélectionnez marketing.contoso.com dans la liste des domaines acceptés, puis cliquez sur OK pour ajouter le domaine à l'approbation fédérée.

   Importante

   Une chaîne de vérification de domaine fédéré sera créée pour le domaine marketing.contoso.com. Vous devez créer un enregistrement TXT distinct sur votre DNS public pour ce domaine.

7. Utilisez la chaîne de vérification de domaine créée pour le domaine marketing.contoso.com pour créer un enregistrement TXT sur votre serveur DNS public. En fonction de la planification des mises à jour de votre hôte DNS public, la réplication des modifications DNS peut prendre au moins 15 minutes.

8. Une fois l’enregistrement TXT créé et répliqué, cliquez sur Mettre à jour.

Utiliser l’environnement Shell pour gérer une approbation de fédération

1. Cet exemple permet de supprimer le domaine service.contoso.com de l’approbation de fédération.

   Remove-FederatedDomain -DomainName service.contoso.com
   

2. Cet exemple permet d'ajouter le domaine marketing.contoso.com à l'approbation de fédération.

   Add-FederatedDomain -DomainName marketing.contoso.com
   

Pour des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques Remove-FederatedDomain et Add-FederatedDomain.

Exécutez les commandes d'environnement suivantes pour gérer d'autres aspects relatifs à une approbation de fédération :

1. Afficher l'OrgID fédéré et les domaines fédérés

   Cet exemple affiche l'OrgID fédéré de l'organisation Exchange et les informations connexes, comme les domaines fédérés et l'état.

   Get-FederatedOrganizationIdentifier
   

2. Afficher les certificats de l'approbation de fédération

   Cet exemple montre comment afficher les certificats précédents, actuels et suivants utilisés par l’approbation de fédération « Microsoft Entra authentification ».

   Get-FederationTrust "Azure AD authentication" | Select Org*certificate
   

3. Vérifier l'état des certificats de fédération

   Cet exemple affiche l'état des certificats de fédération sur tous les serveurs de boîtes aux lettres et d'accès au client dans l'organisation.

   Test-FederationTrustCertificate
   

4. Configurer l'approbation de fédération pour utiliser un certificat comme certificat suivant

   Cet exemple configure l’approbation de fédération « authentification Microsoft Entra » pour utiliser le certificat avec l’empreinte numérique fournie comme certificat suivant. Une fois le certificat déployé sur tous les serveurs Exchange dans le organization, vous pouvez utiliser le commutateur PublishCertificate pour configurer l’approbation de fédération afin d’utiliser ce certificat comme certificat actuel.

   Set-FederationTrust "Azure AD authentication" -Thumbprint AC00F35CBA8359953F4126E0984B5CCAFA2F4F17
   

5. Configurer l'approbation de fédération pour utiliser le certificat suivant comme certificat actuel

   Cet exemple configure l’approbation de fédération Microsoft Entra l’authentification pour utiliser le certificat suivant comme certificat actuel et le publie dans le système d’authentification Microsoft Entra.

   Set-FederationTrust "Azure AD authentication" -PublishFederationCertificate
   

   Avertissement

   Avant de configurer l'approbation de fédération afin qu'elle utilise le certificat suivant comme certificat de fédération actuel, assurez-vous que le certificat est déployé sur tous les serveurs Exchange de votre organisation. Utilisez la cmdlet Test-FederationTrustCertificate pour vérifier l'état de déploiement du certificat.

6. Actualiser les métadonnées de fédération et le certificat à partir du système d’authentification Microsoft Entra

   Cet exemple actualise les métadonnées de fédération et le certificat du système d’authentification Microsoft Entra pour l’approbation de fédération Microsoft Entra l’authentification.

   Set-FederationTrust "Azure AD authentication" -RefreshMetadata
   

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques suivantes :

• Get-FederatedOrganizationIdentifier

• Get-FederationTrust

• Test-FederationTrustCertificate

• Set-FederationTrust

Comment savoir si cela a fonctionné ?

Si vous avez réussi à exécuter toutes les étapes de l’Assistant Domaines activés pour le partage, l’approbation de fédération devrait être correctement configurée.

Pour le vérifier, procédez comme suit :

1. Exécutez la commande de l'environnement de ligne de commande suivante pour vérifier les informations d'approbation de la fédération.

   Get-FederationTrust | format-list
   

2. Exécutez la commande de l'environnement de ligne de commande suivante pour vérifier si les informations de la fédération peuvent être récupérées à partir de votre organisation. Par exemple, vérifiez que les domaines sales.contoso.com et marketing.contoso.com sont retournés dans le paramètre DomainNames .

   Get-FederationInformation -DomainName <your primary sharing domain>