Gérer et personnaliser Active Directory Federation Services à l’aide d’Azure AD ConnectManage and customize Active Directory Federation Services by using Azure AD Connect

Cet article décrit comment gérer et personnaliser Active Directory Federation Services (ADFS) à l’aide d’Azure Active Directory (Azure AD) Connect.This article describes how to manage and customize Active Directory Federation Services (AD FS) by using Azure Active Directory (Azure AD) Connect. Il indique également d’autres tâches courantes liées à AD FS que vous devrez peut-être effectuer pour terminer la configuration d’une batterie de serveurs AD FS.It also includes other common AD FS tasks that you might need to do for a complete configuration of an AD FS farm.

RubriqueTopic Sujet traitéWhat it covers
Gérer AD FSManage AD FS
Réparation de l’approbationRepair the trust Réparation de l’approbation de fédération avec Office 365.How to repair the federation trust with Office 365.
Fédérer avec Azure AD à l’aide d’un ID de connexion de substitutionFederate with Azure AD using alternate login ID Configurer la fédération à l’aide d’un ID de connexion de substitutionConfigure federation using alternate login ID
Ajout d’un serveur AD FSAdd an AD FS server Extension d’une batterie de serveurs AD FS à l’aide d’un serveur AD FS supplémentaire.How to expand an AD FS farm with an additional AD FS server.
Ajouter un serveur de proxy d’application web AD FSAdd an AD FS Web Application Proxy server Extension d’une batterie de serveurs AD FS à l’aide d’un serveur de proxy d’application web.How to expand an AD FS farm with an additional Web Application Proxy (WAP) server.
Ajout d’un domaine fédéréAdd a federated domain Ajout d’un domaine fédéré.How to add a federated domain.
Mettre à jour le certificat SSLUpdate the SSL certificate Mise à jour du certificat SSL pour une batterie de serveurs AD FS.How to update the SSL certificate for an AD FS farm.
Personnaliser AD FSCustomize AD FS
Ajout d’une illustration ou d’un logo de société personnaliséAdd a custom company logo or illustration Personnalisation de la page de connexion AD FS à l’aide d’une illustration ou d’un logo de société.How to customize an AD FS sign-in page with a company logo and illustration.
Ajout d’une description de connexionAdd a sign-in description Ajout d’une description de la page de connexion.How to add a sign-in page description.
Modification des règles de revendication AD FSModify AD FS claim rules Modification des revendications AD FS pour différents scénarios de fédération.How to modify AD FS claims for various federation scenarios.

Gérer AD FSManage AD FS

Vous pouvez effectuer différentes tâches associées à AD FS dans Azure AD Connect avec une intervention minime de l’utilisateur à l’aide de l’Assistant Azure AD Connect.You can perform various AD FS-related tasks in Azure AD Connect with minimal user intervention by using the Azure AD Connect wizard. Une fois que vous avez terminé l’installation d’Azure AD Connect à l’aide de l’Assistant, vous pouvez à nouveau exécuter l’Assistant pour effectuer des tâches supplémentaires.After you've finished installing Azure AD Connect by running the wizard, you can run the wizard again to perform additional tasks.

Réparation de l’approbationRepair the trust

Vous pouvez utiliser Azure AD Connect pour vérifier l’état actuel des services AD FS et Azure AD et prendre des mesures appropriées pour réparer l’approbation.You can use Azure AD Connect to check the current health of the AD FS and Azure AD trust and take appropriate actions to repair the trust. Pour réparer l’approbation des services Azure AD et AD FS, procédez comme suit :Follow these steps to repair your Azure AD and AD FS trust.

  1. Sélectionnez Réparer la confiance AAD et ADFS dans la liste des tâches disponibles.Select Repair AAD and ADFS Trust from the list of additional tasks. Réparer la confiance AAD et ADFSRepair AAD and ADFS Trust

  2. Dans la page Connexion à Azure AD, saisissez vos informations d’identification d’administrateur global d’Azure AD, puis cliquez sur Suivant.On the Connect to Azure AD page, provide your global administrator credentials for Azure AD, and click Next. Se connecter à Azure ADConnect to Azure AD

  3. Dans la page Informations d’identification d’accès à distance , indiquez les informations d’identification de l’administrateur de domaine.On the Remote access credentials page, enter the credentials for the domain administrator.

    Informations d’identification d’accès à distance

    Lorsque vous cliquez sur Suivant, Azure AD Connect vérifie l’intégrité du certificat et affiche les éventuels problèmes.After you click Next, Azure AD Connect checks for certificate health and shows any issues.

    État des certificats

    La page Prêt à configurer affiche la liste des actions qui seront effectuées afin de réparer l’approbation.The Ready to configure page shows the list of actions that will be performed to repair the trust.

    Prêt à configurer

  4. Cliquez sur Installer pour réparer l’approbation.Click Install to repair the trust.

Notes

Azure AD Connect peut seulement réparer ou modifier les certificats auto-signés.Azure AD Connect can only repair or act on certificates that are self-signed. Azure AD Connect ne permet pas de réparer les certificats tiers.Azure AD Connect can't repair third-party certificates.

Fédération avec Azure AD via AlternateIDFederate with Azure AD using AlternateID

Il est recommandé que le nom d’utilisateur principal (UPN) local et le nom d’utilisateur principal cloud soient identiques.It is recommended that the on-premises User Principal Name(UPN) and the cloud User Principal Name are kept the same. Si l’UPN local utilise un domaine non routable (par ex.If the on-premises UPN uses a non-routable domain (ex. Contoso.local) ou ne peut pas être modifié en raison des dépendances d’application locales, nous vous recommandons de configurer un ID de connexion de substitution.Contoso.local) or cannot be changed due to local application dependencies, we recommend setting up alternate login ID. Un ID de connexion de substitution permet de configurer une expérience de connexion où les utilisateurs peuvent se connecter avec un attribut autre que leur UPN, comme leur adresse e-mail.Alternate login ID allows you to configure a sign-in experience where users can sign in with an attribute other than their UPN, such as mail. Le choix de nom d’utilisateur principal dans Azure AD Connect est par défaut l’attribut userPrincipalName dans Active Directory.The choice for User Principal Name in Azure AD Connect defaults to the userPrincipalName attribute in Active Directory. Si vous choisissez n’importe quel autre attribut pour le nom d’utilisateur principal et fédérez avec AD FS, Azure AD Connect configurera AD FS pour l’ID de connexion de substitution.If you choose any other attribute for User Principal Name and are federating using AD FS, then Azure AD Connect will configure AD FS for alternate login ID. Vous trouverez ci-dessous un exemple de choix d’un autre attribut pour le nom d’utilisateur principal :An example of choosing a different attribute for User Principal Name is shown below:

Sélection d’un attribut d’ID de substitution

La configuration d’un ID de connexion de substitution pour AD FS comprend deux étapes principales :Configuring alternate login ID for AD FS consists of two main steps:

  1. Configuration du jeu de revendications d'émission : les règles de revendication d'émission dans la partie de confiance Azure AD sont modifiées pour utiliser l'attribut UserPrincipalName sélectionné en tant qu'ID de substitution de l'utilisateur.Configure the right set of issuance claims: The issuance claim rules in the Azure AD relying party trust are modified to use the selected UserPrincipalName attribute as the alternate ID of the user.

  2. Activation d'un ID de connexion de substitution dans la configuration d'AD FS : la configuration d'AD FS est mise à jour afin qu'AD FS puisse rechercher des utilisateurs dans les forêts appropriées à l'aide de l'ID de substitution.Enable alternate login ID in the AD FS configuration: The AD FS configuration is updated so that AD FS can look up users in the appropriate forests using the alternate ID. Cette configuration est prise en charge pour AD FS sur Windows Server 2012 R2 (avec KB2919355) ou version ultérieure.This configuration is supported for AD FS on Windows Server 2012 R2 (with KB2919355) or later. Si les serveurs AD FS sont sous 2012 R2, Azure AD Connect vérifie la présence de la base de connaissances requise.If the AD FS servers are 2012 R2, Azure AD Connect checks for the presence of the required KB. Si la base de connaissances n’est pas détectée, un avertissement s’affiche après la configuration, comme indiqué ci-dessous :If the KB is not detected, a warning will be displayed after configuration completes, as shown below:

    Avertissement d’absence de base de connaissances sur 2012 R2

    Pour corriger la configuration en cas de bases de connaissances manquantes, installez la mise à jour KB2919355 requise, puis réparez l’approbation à l’aide de Réparer l’approbation AAD et AD FS.To rectify the configuration in case of missing KB, install the required KB2919355 and then repair the trust using Repair AAD and AD FS Trust.

Notes

Pour plus d’informations sur ID de substitution et les étapes de configuration manuelle, lisez Configuration d’un ID de connexion de substitutionFor more information on alternateID and steps to manually configure, read Configuring Alternate Login ID

Ajout d’un serveur AD FSAdd an AD FS server

Notes

Pour ajouter un serveur AD FS, Azure AD Connect requiert le certificat PFX.To add an AD FS server, Azure AD Connect requires the PFX certificate. Par conséquent, vous ne pouvez effectuer cette opération que si vous avez configuré la batterie de serveurs AD FS à l’aide d’Azure AD Connect.Therefore, you can perform this operation only if you configured the AD FS farm by using Azure AD Connect.

  1. Sélectionnez Déploiement d’un serveur de fédération supplémentaire, puis cliquez sur Suivant.Select Deploy an additional Federation Server, and click Next.

    Serveur de fédération supplémentaire

  2. Dans la page Connexion à Azure AD, saisissez vos informations d’identification d’administrateur global d’Azure AD, puis cliquez sur Suivant.On the Connect to Azure AD page, enter your global administrator credentials for Azure AD, and click Next.

    Se connecter à Azure AD

  3. Indiquez les informations d’identification de l’administrateur de domaine.Provide the domain administrator credentials.

    Informations d’identification de l’administrateur de domaine

  4. Azure AD Connect vous demande le mot de passe du fichier PFX que vous avez fourni lors de la configuration de votre nouvelle batterie de serveurs AD FS avec Azure AD Connect.Azure AD Connect asks for the password of the PFX file that you provided while configuring your new AD FS farm with Azure AD Connect. Cliquez sur Saisie du mot de passe pour fournir le mot de passe du fichier PFX.Click Enter Password to provide the password for the PFX file.

    Mot de passe du certificat

    Spécifiez le certificat SSL

  5. Dans la page Serveurs AD FS , entrez le nom ou l’adresse IP du serveur à ajouter à la batterie de serveurs AD FS.On the AD FS Servers page, enter the server name or IP address to be added to the AD FS farm.

    Serveurs AD FS

  6. Cliquez sur Suivant et parcourez la page Configurer finale.Click Next, and go through the final Configure page. Une fois qu’Azure AD Connect a fini d’ajouter les serveurs à la batterie de serveurs AD FS, vous avez la possibilité de vérifier la connectivité.After Azure AD Connect has finished adding the servers to the AD FS farm, you will be given the option to verify the connectivity.

    Prêt à configurer

    Installation terminée

Ajout d’un serveur WAP AD FSAdd an AD FS WAP server

Notes

Pour ajouter un serveur de proxy d’application web AD FS, Azure AD Connect requiert le certificat PFX.To add a WAP server, Azure AD Connect requires the PFX certificate. Par conséquent, vous ne pouvez effectuer cette opération que si vous avez configuré la batterie de serveurs AD FS à l’aide d’Azure AD Connect.Therefore, you can only perform this operation if you configured the AD FS farm by using Azure AD Connect.

  1. Sélectionnez Déployer le proxy d’application web dans la liste des tâches disponibles.Select Deploy Web Application Proxy from the list of available tasks.

    Déployer le proxy d’application web

  2. Indiquez les informations d’identification de l’administrateur global Azure.Provide the Azure global administrator credentials.

    Se connecter à Azure AD

  3. Dans la page Spécifiez le certificat SSL , indiquez le mot de passe du fichier PFX que vous avez fourni lors de la configuration de la batterie de serveurs AD FS avec Azure AD Connect.On the Specify SSL certificate page, provide the password for the PFX file that you provided when you configured the AD FS farm with Azure AD Connect. Mot de passe du certificatCertificate password

    Spécifiez le certificat SSL

  4. Ajoutez le serveur à ajouter en tant que serveur de proxy d’application web.Add the server to be added as a WAP server. Étant donné que le serveur de proxy d’application web peut être joint ou non au domaine, l’Assistant vous demande les informations d’identification administratives du serveur en cours d’ajout.Because the WAP server might not be joined to the domain, the wizard asks for administrative credentials to the server being added.

    Informations d’identification du serveur d’administration

  5. Dans la page Informations d’identification de confiance du proxy , indiquez les informations d’identification de l’administrateur pour configurer l’approbation du proxy et accéder au serveur principal dans la batterie de serveurs AD FS.On the Proxy trust credentials page, provide administrative credentials to configure the proxy trust and access the primary server in the AD FS farm.

    Informations d’identification de confiance du proxy

  6. Dans la page Prêt à configurer , l’Assistant affiche la liste des actions qui seront effectuées.On the Ready to configure page, the wizard shows the list of actions that will be performed.

    Prêt à configurer

  7. Cliquez sur Installer pour terminer la configuration.Click Install to finish the configuration. Une fois la configuration terminée, l’Assistant vous permet de vérifier la connectivité aux serveurs.After the configuration is complete, the wizard gives you the option to verify the connectivity to the servers. Cliquez sur Vérifier pour vérifier la connectivité.Click Verify to check connectivity.

    Installation terminée

Ajout d’un domaine fédéréAdd a federated domain

Il est facile d’ajouter un domaine à fédérer avec Azure AD à l’aide d’Azure AD Connect.It's easy to add a domain to be federated with Azure AD by using Azure AD Connect. Azure AD Connect ajoute le domaine de la fédération et modifie les règles de revendication pour identifier correctement l’émetteur lorsque plusieurs domaines sont fédérés avec Azure AD.Azure AD Connect adds the domain for federation and modifies the claim rules to correctly reflect the issuer when you have multiple domains federated with Azure AD.

  1. Pour ajouter un domaine fédéré, sélectionnez la tâche Ajout d’un domaine Azure AD supplémentaire.To add a federated domain, select the task Add an additional Azure AD domain.

    Domaine Azure AD supplémentaire

  2. Dans la page suivante de l’Assistant, indiquez les informations d’identification de l’administrateur global d’Azure AD.On the next page of the wizard, provide the global administrator credentials for Azure AD.

    Se connecter à Azure AD

  3. Dans la page Informations d’identification d’accès à distance , indiquez les informations d’identification de l’administrateur de domaine.On the Remote access credentials page, provide the domain administrator credentials.

    Informations d’identification d’accès à distance

  4. Dans la page suivante, l’Assistant affiche une liste de domaines Azure AD dans lesquels vous pouvez fédérer votre annuaire local.On the next page, the wizard provides a list of Azure AD domains that you can federate your on-premises directory with. Sélectionnez le domaine dans la liste.Choose the domain from the list.

    Domaine Azure AD

    Après avoir choisi le domaine, l’Assistant présente des informations utiles concernant les autres actions qu’il va effectuer et l’impact de la configuration.After you choose the domain, the wizard provides you with appropriate information about further actions that the wizard will take and the impact of the configuration. Dans certains cas, si vous sélectionnez un domaine qui n’est pas encore vérifié dans Azure AD, l’Assistant affiche des informations pour vous aider à vérifier le domaine.In some cases, if you select a domain that isn't yet verified in Azure AD, the wizard provides you with information to help you verify the domain. Pour plus d’informations, consultez Ajouter un nom de domaine personnalisé à Azure Active Directory .See Add your custom domain name to Azure Active Directory for more details.

  5. Cliquez sur Suivant.Click Next. La page Prêt à configurer affiche la liste des actions qui seront effectuées par Azure AD Connect.The Ready to configure page shows the list of actions that Azure AD Connect will perform. Cliquez sur Installer pour terminer la configuration.Click Install to finish the configuration.

    Prêt à configurer

Notes

Les utilisateurs du domaine fédéré ajouté doivent être synchronisés pour pouvoir se connecter à Azure AD.Users from the added federated domain must be synchronized before they will be able to login to Azure AD.

Personnalisation d’AD FSAD FS customization

Les sections suivantes fournissent des informations concernant certaines tâches courantes que vous devrez peut-être effectuer pour personnaliser votre page de connexion AD FS.The following sections provide details about some of the common tasks that you might have to perform when you customize your AD FS sign-in page.

Pour changer le logo de la société affiché sur la page Connexion, utilisez l’applet de commande et la syntaxe Windows PowerShell suivantes.To change the logo of the company that's displayed on the Sign-in page, use the following Windows PowerShell cmdlet and syntax.

Notes

Les dimensions recommandées pour le logo sont 260 x 35 @ 96 PPP, avec une taille de fichier maximale de 10 Ko.The recommended dimensions for the logo are 260 x 35 @ 96 dpi with a file size no greater than 10 KB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Notes

Le paramètre TargetName est obligatoire.The TargetName parameter is required. Le thème par défaut publié avec AD FS est nommé Par défaut.The default theme that's released with AD FS is named Default.

Ajout d’une description de connexionAdd a sign-in description

Pour ajouter une description de la page de connexion, utilisez l’applet de commande et la syntaxe Windows PowerShell suivantes.To add a sign-in page description to the Sign-in page, use the following Windows PowerShell cmdlet and syntax.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Click <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

Modification des règles de revendication AD FSModify AD FS claim rules

AD FS prend en charge un langage complet, qui permet de créer des règles de revendication personnalisées.AD FS supports a rich claim language that you can use to create custom claim rules. Pour plus d’informations, consultez Rôle du langage de règle de revendication.For more information, see The Role of the Claim Rule Language.

Les sections suivantes décrivent comment écrire des règles personnalisées pour certains scénarios se rapportant à la fédération des services Azure AD et AD FS.The following sections describe how you can write custom rules for some scenarios that relate to Azure AD and AD FS federation.

ID non modifiable à condition que la valeur soit présente dans l’attributImmutable ID conditional on a value being present in the attribute

Azure AD Connect vous permet de spécifier un attribut à utiliser comme ancre source, lorsque les objets sont synchronisés avec Azure AD.Azure AD Connect lets you specify an attribute to be used as a source anchor when objects are synced to Azure AD. Si la valeur de l’attribut personnalisé n’est pas vide, vous souhaiterez peut-être émettre une revendication d’ID non modifiable.If the value in the custom attribute is not empty, you might want to issue an immutable ID claim.

Par exemple, vous pouvez sélectionner ms-ds-consistencyguid comme attribut de l’ancre source et émettre ms-ds-consistencyguid comme ImmutableID, si l’attribut a une valeur.For example, you might select ms-ds-consistencyguid as the attribute for the source anchor and issue ImmutableID as ms-ds-consistencyguid in case the attribute has a value against it. Si l’attribut n’a pas de valeur, émettez l’ID non modifiable objectGuid .If there's no value against the attribute, issue objectGuid as the immutable ID. Vous pouvez construire le jeu de règles de revendication personnalisées, comme indiqué dans la section suivante.You can construct the set of custom claim rules as described in the following section.

Règle 1 : attributs de la requêteRule 1: Query attributes

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

Dans cette règle, vous interrogez les valeurs de ms-ds-consistencyguid et objectGuid de l’utilisateur à partir d’Active Directory.In this rule, you're querying the values of ms-ds-consistencyguid and objectGuid for the user from Active Directory. Remplacez le nom du magasin par un nom de magasin approprié dans votre déploiement AD FS.Change the store name to an appropriate store name in your AD FS deployment. Remplacez également le type de revendication par un type approprié à votre fédération, comme défini pour objectGuid et ms-ds-consistencyguid.Also change the claims type to a proper claims type for your federation, as defined for objectGuid and ms-ds-consistencyguid.

Par ailleurs, utiliser add à la place de issue évite d’ajouter un problème à la sortie de l’entité et permet d’utiliser les valeurs en tant que valeurs intermédiaires.Also, by using add and not issue, you avoid adding an outgoing issue for the entity, and can use the values as intermediate values. Vous allez émettre la revendication dans une règle ultérieure, après avoir établi la valeur à utiliser comme ID non modifiable.You will issue the claim in a later rule after you establish which value to use as the immutable ID.

Règle 2 : s'assurer que l'ID ms-ds-consistencyguid existe pour l'utilisateurRule 2: Check if ms-ds-consistencyguid exists for the user

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Cette règle définit un indicateur temporaire idflag dont la valeur est useguid si aucun ID ms-ds-concistencyguid n’est renseigné pour l’utilisateur.This rule defines a temporary flag called idflag that is set to useguid if there's no ms-ds-consistencyguid populated for the user. Il y a une logique à cela : AD FS n’autorise pas les revendications vides.The logic behind this is the fact that AD FS doesn't allow empty claims. De ce fait, lorsque vous ajoutez des revendications http://contoso.com/ws/2016/02/identity/claims/objectguid et http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid dans la règle 1, vous vous retrouvez avec une revendication msdsconsistencyguid uniquement si la valeur est renseignée pour l’utilisateur.So when you add claims http://contoso.com/ws/2016/02/identity/claims/objectguid and http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid in Rule 1, you end up with an msdsconsistencyguid claim only if the value is populated for the user. Si elle n’est pas indiquée, AD FS voit que sa valeur sera vide et le supprime immédiatement.If it isn't populated, AD FS sees that it will have an empty value and drops it immediately. Tous les objets auront un objectGuid. Donc, cette revendication sera toujours là après l’exécution de la règle 1.All objects will have objectGuid, so that claim will always be there after Rule 1 is executed.

Règle 3 : émettre ms-ds-consistencyguid comme ID non modifiable s'il est présentRule 3: Issue ms-ds-consistencyguid as immutable ID if it's present

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = c.Value);

Il s’agit d’un contrôle Exist implicite.This is an implicit Exist check. Si la valeur de la revendication existe, alors émettez-la en tant qu’ID non modifiable.If the value for the claim exists, then issue that as the immutable ID. L’exemple précédent utilise le nameidentifier de revendication.The previous example uses the nameidentifier claim. Vous devez le remplacer par un type de revendication approprié pour l’ID non modifiable dans votre environnement.You'll have to change this to the appropriate claim type for the immutable ID in your environment.

Règle 4 : émettre objectGuid comme ID non modifiable si ms-ds-consistencyGuid n'est pas présentRule 4: Issue objectGuid as immutable ID if ms-ds-consistencyGuid is not present

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = c2.Value);

Dans cette règle, vous vérifiez simplement l’indicateur temporaire idflag.In this rule, you're simply checking the temporary flag idflag. Vous décidez s’il faut émettre la revendication en fonction de sa valeur.You decide whether to issue the claim based on its value.

Notes

L’ordre de ces règles est important.The sequence of these rules is important.

Authentification unique avec un UPN de sous-domaineSSO with a subdomain UPN

Vous pouvez ajouter plusieurs domaines à fédérer à l’aide d’Azure AD Connect, comme indiqué dans Ajout d’un domaine fédéré.You can add more than one domain to be federated by using Azure AD Connect, as described in Add a new federated domain. Azure AD Connect version 1.1.553.0 et ultérieures crée automatiquement la règle de revendication issuerID appropriée.Azure AD Connect version 1.1.553.0 and latest creates the correct claim rule for issuerID automatically. Si vous ne pouvez pas utiliser Azure AD Connect version 1.1.553.0 ou ultérieures, il est recommandé d’utiliser l’outil Règles de revendication Azure AD RPT afin de générer et de définir les règles de revendication appropriées pour l’approbation de partie de confiance Azure AD.If you cannot use Azure AD Connect version 1.1.553.0 or latest, it is recommended that Azure AD RPT Claim Rules tool is used to generate and set correct claim rules for the Azure AD relying party trust.

Étapes suivantesNext steps

En savoir plus sur les options de connexion de l’utilisateur.Learn more about user sign-in options.