Configurer ADFS

  • Article

 

Durée d’exécution estimée : 20 minutes

La synchronisation Active Directory à l’aide d’Azure Active Directory Connect avec Active Directory Federation Services (AD FS) activé entre votre organisation locale et l’organisation Office 365 active une liste unifiée d’adresses globale (LAG) et vous donne la possibilité de gérer localement tous les comptes utilisateurs Active Directory. En outre, Azure AD Connect avec AD FS se connecte à Active Directory sur votre réseau local pour valider les informations d’identification fournies par l’utilisateur. AD FS offre plusieurs avantages par rapport à la synchronisation par mot de passe, notamment l’activation et la désactivation des accès aux comptes sur tous les serveurs locaux et Office 365 à partir d’un emplacement unique, un plus ample contrôle sur les conditions de mot de passe, et d’autres avantages encore.

Comment procéder ?

  1. Téléchargez Azure Active Directory Connect sur l’ordinateur où vous allez l’installer, puis ouvrez-le.

  2. Sur la page Bienvenue, cliquez sur Suivant si vous acceptez les termes du contrat de licence et la déclaration de confidentialité.

  3. Sur la page Configuration rapide, cliquez sur Personnaliser.

  4. Sur la page Installer les composants nécessaires, cliquez sur Installer.

    Il est probablement inutile de sélectionner les options de cette page, sauf si vous êtes une grande organisation. Sélectionnez uniquement ces options si vous comprenez leur impact sur le déploiement d’Azure AD Connect avec AD FS. Cette liste de contrôle part du principe qu’aucune des options n’a été sélectionnée.

  5. Sur la page Connexion utilisateur, sélectionnez Fédération avec AD FS, puis cliquez sur Suivant.

  6. Sur la page Connexion à Azure AD, entrez le nom d’utilisateur et mot de passe d’un compte d’utilisateur qui est administrateur Global de votre organisation Office 365, puis cliquez sur Suivant.

  7. Sur la page Connexion de vos annuaires, sélectionnez la forêt Active Directory qui contient l’organisation Exchange que vous voulez configurer pour un déploiement hybride, puis entrez le nom d’utilisateur et mot de passe d’un compte utilisateur membre du groupe Administrateurs d’entreprise dans cette forêt. Cliquez sur Suivant.

  8. Sur la page Filtrage par domaine ou unité d’organisation, sélectionnez Synchroniser tous les domaines et toutes les unités d’organisation si vous voulez synchroniser tous vos utilisateurs Active Directory sur site vers Office 365. Si vous souhaitez sélectionner une unité d’organisation spécifique, sélectionnez Synchroniser les domaines et les unités d’organisation sélectionnés, puis sélectionnez les domaines et les unités d’organisation Active Directory que vous voulez synchroniser. Cliquez sur Suivant.

  9. Sur la page Identifiant de vos utilisateurs uniquement, vérifiez que l’option Les utilisateurs ne sont représentés qu’une fois sur tous les annuaires est sélectionnée, puis cliquez sur Suivant.

  10. Sur la page Filtrer les utilisateurs et appareils, vérifiez que l’option Synchroniser tous les utilisateurs et les appareils est sélectionnée, puis cliquez sur Suivant.

  11. Sur la page Fonctionnalités facultatives, sélectionnez Déploiement Exchange hybride, puis cliquez sur Suivant.

  12. Sur la page Batterie de serveurs AD FS, sélectionnez Configuration d’une nouvelle batterie Windows Server 2012 R2 AD FS.

  13. Dans le champ Fichier de certificat, recherchez le certificat de tiers qui inclut un autre nom de l’objet (SAN) correspondant au nom de domaine externe complet du serveur AD FS. Ce certificat doit contenir une clé privée. Dans le champ Nom du sujet, sélectionnez le SAN que vous souhaitez utiliser, par exemple sts.contoso.com. Cliquez sur Suivant.

  14. Sur la page Serveurs AD FS, cliquez sur Parcourir, sélectionnez le nom du serveur sur lequel installez Azure AD Connect avec AD FS, puis cliquez sur Ajouter.

  15. Sur la page Serveurs proxy d’applications web, cliquez sur Parcourir, sélectionnez le nom du serveur jouera le rôle de proxy web pour les connexions externes, puis cliquez sur Ajouter.

  16. Sur la page Informations d’identification de confiance du proxy, entrez le nom d’utilisateur et le mot de passe d’un compte d’utilisateur qui peut accéder au magasin de certificats sur le serveur AD FS qui contient le certificat que vous avez spécifié plus haut dans cette procédure, puis cliquez sur Suivant.

  17. Sur la page Compte de service AD FS, sélectionnez Création d’un compte de service géré de groupe, entrez le nom d’utilisateur et le mot de passe d’un utilisateur membre du groupe Administrateurs de l’entreprise, puis cliquez sur Suivant.

  18. Sur la page Domaine Azure AD, sélectionnez le domaine qui correspond au domaine personnalisé que vous avez ajouté à votre organisation Office 365 et au nom d’utilisateur principal à l’aide duquel les utilisateurs vont se connecter. Par exemple, si vous avez ajouté le domaine personnalisé contoso.com et que les noms d’utilisateur sont <utilisateur> @contoso.com, sélectionnez contoso.com dans la liste. Cliquez sur Suivant.

  19. Sur la page Prêt à configurer, sélectionnez Démarrez le processus de synchronisation dès que la configuration est terminée, puis cliquez sur Suivant.

    À ce stade, Azure AD Connect synchronise vos comptes d’utilisateurs locaux et leurs informations avec votre organisation Office 365. En fonction du nombre de comptes à synchroniser, cette opération peut prendre un certain temps.

  20. Sur la page Configuration terminée, cliquez sur Quitter.

  21. Assurez-vous que votre pare-feu est configuré pour autoriser les connexions sur le port TCP 443 provenant de sources externes à votre serveur proxy Web AD FS.

Une fois la synchronisation initiale complète terminée, Azure AD Connect effectuera une synchronisation incrémentielle toutes les 30 minutes. La modification de cet intervalle n’est pas prise en charge.

Comment savoir si cela a fonctionné ?

Connectez-vous au portail d’administration de votre organisation Office 365 et vérifiez que tous les paramètres des comptes d’utilisateurs Active Directory locaux ont été répliqués sur Office 365 :

  1. Connectez-vous à votre centre d’administration Office 365

  2. {#Text:E16UsersOriginalPortalText#}

    Cliquez sur Utilisateurs puis sur Utilisateurs actifs pour vérifier que vos utilisateurs locaux sont répertoriés dans l’organisation Office 365.

    NoteRemarque :
    La présence d’un compte d’utilisateur sur cette page ne signifie pas que la boîte aux lettres de l’utilisateur a été déplacée vers Office 365. Cela signifie qu’un compte Office 365 a été créé pour un utilisateur et que les informations de ce compte ont été synchronisées depuis l’organisation locale.

  3. {#Text:E16UsersPreviewPortalText#}

    Cliquez sur UtilisateursUtilisateur puis sur Utilisateurs actifs pour vérifier que vos utilisateurs locaux sont répertoriés dans l’organisation Office 365.

    NoteRemarque :
    La présence d’un compte d’utilisateur sur cette page ne signifie pas que la boîte aux lettres de l’utilisateur a été déplacée vers Office 365. Cela signifie qu’un compte Office 365 a été créé pour un utilisateur et que les informations de ce compte ont été synchronisées depuis l’organisation locale.

Vous pouvez également tester la connexion des utilisateurs à Office 365 en essayant de vous connecter à l’aide d’un compte Active Directory local. Pour effectuer ce test, procédez comme suit :

  • Accédez au Centre d’administration Office 365.

  • Lorsque vous êtes invité à entrer un nom d’utilisateur et mot de passe, tapez le nom d’utilisateur d’un utilisateur local. Par exemple, david@contoso.com.

    Une fois que vous avez entré le nom d’utilisateur, Office 365 doit détecter que votre domaine est configuré pour une authentification unique et rediriger la demande de connexion à votre serveur proxy web AD FS local. Suite à cela, une page d’authentification fournie par le serveur proxy web s’affiche.

  • Dans la page de connexion au proxy web AD FS, vérifiez votre nom d’utilisateur, entrez votre mot de passe, puis cliquez sur Se connecter.

    Une fois que vous vous êtes connecté, vous devez être redirigé vers le portail Office 365.

Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Office 365. Pour accéder à ces forums, vous devez vous connecter en utilisant un compte disposant de l’accès administrateur au service informatique en nuage. Consultez les forums suivants : Forums Office 365