Configurer l’authentification basée sur des certificats dans Exchange 2016

Exchange 2016
[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

S’applique à :Exchange Server 2016

Découvrez comment configurer Exchange 2016 CU1 ou version ultérieure pour utiliser l’authentification basée sur les certificats pour Outlook sur le web et ActiveSync.

Dans Exchange, l’authentification basée sur les certificats permet aux clients Outlook sur le web (anciennement appelé Outlook Web App) et Exchange ActiveSync d’être authentifiés par des certificats clients sans devoir entrer un nom d’utilisateur et un mot de passe.

Avant de configurer Exchange, vous devez émettre un certificat client pour chaque utilisateur. En raison du nombre élevé de certificats concernés, vous devez utiliser une infrastructure à clé publique (PKI) interne automatisée pour émettre et gérer des certificats clients. Par exemple, Services de certificat Active Directory (AD CS) est une PKI interne automatisée. Pour plus d’informations sur les services AD CS, consultez la rubrique Vue d’ensemble des services de certificats Active Directory. Voici quelques informations complémentaires sur les conditions requises pour l’utilisation de certificats :

  • Le certificat client doit être émis à des fins d’authentification client (il s’agit, par exemple, du modèle de certificat par défaut User dans AD CS).

  • Le certificat client doit contenir le nom principal (UPN) de l’utilisateur (indiqué dans les champs Subject ou Subject Alternative Name du certificat).

  • Le certificat client doit être associé au compte d’utilisateur dans Active Directory.

  • Tous les serveurs et les appareils intervenant dans la procédure d’accès à Outlook sur le web et ActiveSync (y compris les serveurs proxy et les appareils clients) doivent approuver l’ensemble de la chaîne d’approbation pour les certificats clients (le certificat racine de l’autorité de certification et toutes les autorités de certification intermédiaires ayant émis des certificats).

Pour procéder à l’authentification basée sur les certificats dans Outlook sur le web, le certificat client doit être installé sur l’ordinateur local, l’appareil ou une carte à puce. Pour procéder à l’authentification basée sur les certificats dans ActiveSync, le certificat client doit être installé sur l’appareil local. Vous pouvez automatiser l’installation des certificats sur les appareils à l’aide d’une solution de gestion des périphériques mobiles (GPM) à l’instar d’Intune. Pour plus d’informations sur Intune, consultez la page Microsoft Intune.

tipConseil :
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez le forum à l’adresse : Exchange Server, Exchange Online ou Exchange Online Protection.

Tous les serveurs Exchange ayant le même espace de noms et les mêmes adresses URL doivent utiliser les mêmes méthodes d’authentification. Pour cela, vous devez installer la fonctionnalité Authentification par mappage de certificat client sur tous vos serveurs Exchange.

Exécutez la commande suivante dans l’Environnement de ligne de commande Exchange Management Shell :

Install-WindowsFeature Web-Client-Auth

Pour en savoir plus sur la syntaxe et les paramètres, consultez la rubrique relative à la cmdlet Install-WindowsFeature.

  1. Ouvrez le Gestionnaire des services Internet (IIS) sur le serveur Exchange. Un moyen simple pour effectuer cette action dans Windows Server 2012 ou version ultérieure est d’appuyer sur la touche Windows + Q, de taper inetmgr et de sélectionner Gestionnaire des services Internet (IIS) dans les résultats.

  2. Sélectionnez le serveur, puis vérifiez que l’option Affichage des fonctionnalités est sélectionnée en bas de la page.

  3. Dans la section IIS, double-cliquez sur Authentification.

    Dans IIS, sélectionnez le serveur, puis Authentification
  4. Sur la page Authentification qui s’ouvre, sélectionnez Authentification de certificats clients Active Directory dans la liste, puis, dans le volet Actions, cliquez sur Activer.

    Page d’authentification du serveur dans IIS

    Un message d’avertissement s’affiche pour vous prévenir que SSL doit être activé pour utiliser le mappage de certificat client Active Directory.

Remarque : vous devez exiger les certificats clients. Le fait de les accepter (pour prendre en charge l’authentification basée sur les certificats et l’authentification classique basée sur le nom d’utilisateur et le mot de passe) ne fonctionne pas toujours sur tous les types d’appareils ActiveSync.

  1. Dans le Gestionnaire des services Internet, développez le serveur, Sites, puis Site web par défaut.

  2. Sélectionnez le répertoire virtuel owa, puis vérifiez que l’option Affichage des fonctionnalités est sélectionnée en bas de la page.

  3. Dans la section IIS, double-cliquez sur Paramètres SSL.

  4. Sur la page Paramètres SSL, vérifiez que la case Demande de SSL est cochée, puis, sous Certificats clients, sélectionnez Exiger.

  5. Dans le volet Actions, cliquez sur Appliquer.

    Dans IIS, dans les paramètres SSL du répertoire virtuel, sélectionnez Exiger sous Certificats clients
  6. Sélectionnez le répertoire virtuel Microsoft-Server-ActiveSync.

  7. Dans la section IIS, double-cliquez sur Paramètres SSL.

  8. Sur la page Paramètres SSL, vérifiez que la case Demande de SSL est cochée, puis, sous Certificats clients, sélectionnez Exiger.

  9. Dans le volet Actions, cliquez sur Appliquer.

Remarque : pour effectuer ces procédures dans la ligne de commande, ouvrez une invite de commandes élevée sur le serveur Exchange (une fenêtre d’invite de commandes que vous avez ouverte en sélectionnant Exécuter en tant qu’administrateur) et exécutez les commandes suivantes :

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/owa/" -section:system.webserver/security/access /sslFlags:"Ssl, SslRequireCert" /commit:apphost
%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/Microsoft-Server-ActiveSync/" -section:system.webserver/security/access /sslFlags:"Ssl, SslRequireCert" /commit:apphost

Après avoir opté pour l’authentification basée sur les certificats clients, vous devez désactiver toutes les autres méthodes d’authentification dans les répertoires virtuels Outlook sur le web et ActiveSync. L’authentification de base et l’authentification par formulaires sont activées par défaut.

  1. Dans l’Environnement de ligne de commande Exchange Management Shell, remplacez <ServerName> par le nom de votre serveur Exchange, puis exécutez la commande suivante pour désactiver toutes les autres méthodes d’authentification sur le répertoire virtuel Outlook sur le web :

    Set-OwaVirtualDirectory "<ServerName>\owa (Default Web Site)" -BasicAuthentication $false -WindowsAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -AdfsAuthentication $false -OAuthAuthentication $false
    

    Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Set-OwaVirtualDirectory.

  2. Remplacez <ServerName> par le nom de votre serveur Exchange, puis exécutez la commande suivante pour désactiver toutes les autres méthodes d’authentification sur le répertoire virtuel ActiveSync :

    Set-ActiveSyncVirtualDirectory "<ServerName>\Microsoft-Server-ActiveSync (Default Web Site)" -BasicAuthEnabled $false -WindowsAuthEnabled $false
    

    Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-ActiveSyncVirtualDirectory.

importantImportant :
Lorsque vous aurez effectué cette étape, l’exécution de la cmdlet Set-ActiveSyncVirtualDirectory peut désactiver le mappage de certificat client pour ActiveSync.
  1. Dans le Gestionnaire des services Internet, développez le serveur, Sites, puis Site web par défaut.

  2. Sélectionnez le répertoire virtuel owa, puis vérifiez que l’option Affichage des fonctionnalités est sélectionnée en bas de la page.

  3. Dans la section Gestion, double-cliquez sur Éditeur de configuration.

  4. Sur la page Éditeur de configuration, cliquez sur la liste déroulante Section, puis accédez à system.webServer > sécurité > authentification > clientCertificateMappingAuthentication.

    Sélectionnez clientCertificateMappingAuthentication dans le Gestionnaire de configuration d’IIS pour le répertoire virtuel owa
  5. Définissez la valeur activé sur True, puis, dans le volet Actions, cliquez sur Appliquer.

    Activez la valeur clientCertificateMappingAuthentication dans l’éditeur de configuration d’IIS pour le répertoire virtuel owa
  6. Sélectionnez le répertoire virtuel Microsoft-Server-ActiveSync.

  7. Dans la section Gestion, double-cliquez sur Éditeur de configuration.

  8. Sur la page Éditeur de configuration, cliquez sur la liste déroulante Section, puis accédez à system.webServer > sécurité > authentification > clientCertificateMappingAuthentication.

  9. Définissez la valeur activé sur True, puis, dans le volet Actions, cliquez sur Appliquer.

Remarque : pour effectuer ces procédures dans la ligne de commande, ouvrez une invite de commandes élevée sur le serveur Exchange et exécutez les commandes suivantes :

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/owa/" -section:system.webserver/security/authentication/clientCertificateMappingAuthentication /enabled:"True" /commit:apphost
%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/Microsoft-Server-ActiveSync/" -section:system.webserver/security/authentication/clientCertificateMappingAuthentication /enabled:"True" /commit:apphost

Vous n’avez pas besoin d’effectuer cette étape si vous n’utilisez pas les services AD CS pour émettre les certificats clients. Ce paramètre indique que l’autorité de certification est habilitée à émettre des certificats clients pour la procédure d’authentification Active Directory.

  1. Exportez le certificat racine de l’autorité de certification dans un fichier X.509 .cer encodé en base 64 ou au format binaire DER. Dans cet exemple, nous utilisons le fichier C:\Data\CARoot.cer.

  2. Sur un serveur membre du domaine (par exemple, un contrôleur de domaine ou un serveur Exchange), ouvrez une invite de commande élevée et exécutez la commande suivante :

    %windir%\system32\certutil.exe -enterprise -addstore NTAuth "C:\Data\CARoot.cer"
    

    Pour réaliser cette étape, vous devez appartenir au groupe Administrateurs d’entreprise.

Si vos clients reçoivent des erreurs, vous devez peut-être augmenter les valeurs uploadReadAheadSize dans la métabase IIS pour autoriser les en-têtes de demande. Pour en savoir plus, consultez la rubrique relative à l’erreur 413 HTTP.

  1. Dans le Gestionnaire des services Internet, développez le serveur, Sites, puis Site web par défaut.

  2. Sélectionnez le répertoire virtuel owa, puis vérifiez que l’option Affichage des fonctionnalités est sélectionnée en bas de la page.

  3. Dans la section Gestion, double-cliquez sur Éditeur de configuration.

  4. Sur la page Éditeur de configuration, cliquez sur la liste déroulante Section, puis accédez à systemwebServer > serverRuntime.

    Sélectionnez serverRuntime dans l’éditeur de configuration dans IIS pour le répertoire virtuel owa
  5. Définissez la valeur uploadReadAheadSize sur 49152, puis, dans le volet Actions, cliquez sur Appliquer.

    Modifiez la valeur uploadReadAheadSize dans l’éditeur de configuration d’IIS pour le répertoire virtuel owa
  6. Sélectionnez le répertoire virtuel Microsoft-Server-ActiveSync.

  7. Dans la section Gestion, double-cliquez sur Éditeur de configuration.

  8. Sur la page Éditeur de configuration, cliquez sur la liste déroulante Section, puis accédez à systemwebServer > serverRuntime.

  9. Définissez la valeur uploadReadAheadSize sur 49152, puis, dans le volet Actions, cliquez sur Appliquer.

Remarque : pour effectuer ces procédures dans la ligne de commande, ouvrez une invite de commandes élevée sur le serveur Exchange et exécutez les commandes suivantes :

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/owa/" -section:system.webserver/serverRuntime /uploadReadAheadSize:49152
%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/Microsoft-Server-ActiveSync/" -section:system.webserver/serverRuntime /uploadReadAheadSize:49152
 
Afficher: