Configurer une approbation de fédérationConfigure a federation trust

S’applique à : Exchange Server 2013Applies to: Exchange Server 2013

Une approbation de fédération établit une relation d'approbation entre une organisation Microsoft Exchange 2013 et le système d'authentification Azure Active Directory. En configurant une approbation de fédération, vous pouvez configurer le partage fédéré avec d'autres organisations Exchange fédérées, afin de permettre le partage d'informations de disponibilité de calendrier entre les destinataires. Le partage fédéré peut être configuré entre deux organisations Exchange 2013 fédérées ou entre une organisation Exchange 2013 fédérée et des organisations Exchange 2010 fédérées. Vous pouvez également configurer le partage avec une organisation Office 365.A federation trust establishes a trust relationship between a Microsoft Exchange 2013 organization and the Azure Active Directory authentication system. By configuring a federation trust, you can configure federated sharing with other federated Exchange organizations to share calendar free/busy information among recipients. Federated sharing can be configured between two federated Exchange 2013 organizations or between a federated Exchange 2013 organization and federated Exchange 2010 organizations. You can also set up sharing with an Office 365 organization.

Note

La création d'une approbation de fédération fait partie des étapes permettant de configurer le partage fédéré dans votre organisation Exchange. Pour consulter toutes les étapes, voir Configurer le partage fédéré.Creating a federation trust is one of several steps in setting up federated sharing in your Exchange organization. To review all the steps, see Configure federated sharing.

Pour les tâches de gestion supplémentaires relatives à la fédération, consultez Federation procedures.For additional management tasks related to federation, see Federation procedures.

Important

Cette fonctionnalité d’Exchange Server 2013 n’est pas totalement compatible avec Office 365 exécuté par 21Vianet en Chine et limitations de certaines fonctionnalités peuvent s’appliquer. Pour plus d’informations, voir en savoir plus sur Office 365 exécuté par 21Vianet.This feature of Exchange Server 2013 isn’t fully compatible with Office 365 operated by 21Vianet in China and some feature limitations may apply. For more information, see Learn about Office 365 operated by 21Vianet.

Ce qu'il faut savoir avant de commencer ?What do you need to know before you begin?

  • Durée d'exécution estimée : 30 minutes.Estimated time to complete: 30 minutes.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée d'autorisations de « Fédération et certificats » dans la rubrique Autorisations d'infrastructure Exchange et Shell.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Federation and certificates" permissions entry in the Exchange and Shell infrastructure permissions topic.

  • Le domaine utilisé pour établir une approbation de fédération doit pouvoir être résolu depuis Internet. Il faut donc que le domaine soit inscrit au bureau d’enregistrement de domaines et que la zone DNS (Domain Name System) pour le domaine soit hébergée sur un serveur DNS accessible depuis Internet. Si l’organisation reçoit du courrier Internet pour le domaine, ces critères sont déjà satisfaits.The domain used for establishing a federation trust should be resolvable from the Internet. This requires that the domain be registered with a domain registrar and the Domain Name System (DNS) zone for the domain to be hosted on a DNS server accessible from the Internet. If the organization receives Internet email for the domain, these requirements are already met.

  • Vous devrez ajouter un enregistrement TXT à votre DNS public. Passez en revue les exigences pour l’ajout d’un enregistrement TXT avec l’organisation qui héberge vos enregistrements DNS publics.You will need to add a TXT record to your public DNS. Review the requirements for adding a TXT record with the organization that hosts your public DNS records.

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

  • Les deux organisations Exchange dans une relation de partage fédéré doivent utiliser le même système d'authentification Azure AD pour leurs approbations de fédération. Cette exigence s'applique lors de la configuration du partage fédéré entre deux organisations Exchange sur site ou entre une organisation Exchange sur site et une organisation Exchange hébergée par Office 365.Both Exchange organizations in a federated sharing relationship must use the same Azure AD authentication system for their federation trusts. This requirement applies when configuring federated sharing between two on-premises Exchange organizations or between an on-premises Exchange organization and an Exchange organization hosted by Office 365.

  • Lors de la création d'une approbation de fédération avec le système d'authentification Azure AD pour votre organisation Exchange 2013, l'approbation de fédération utilisera l'instance professionnelle du système d'authentification Azure AD. Cependant, d'autres organisations Exchange fédérées utilisant des versions antérieures d'Exchange et des approbations de fédération existantes peuvent utiliser l'instance professionnelle ou grand public du système d'authentification Azure AD.When you create a federation trust with the Azure AD authentication system for your Exchange 2013 organization, the federation trust will use the business instance of the Azure AD authentication system. However, other federated Exchange organizations with previous versions of Exchange and existing federation trusts may be using either the business or consumer instance of the Azure AD authentication system.

    Les organisations Exchange suivantes utilisent l'instance professionnelle du système d'authentification Azure AD par défaut :The following Exchange organizations use the business instance of the Azure AD authentication system by default:

    • Les organisations Exchange 2013 via l'Assistant Activer l'approbation de fédération et les certificats auto-signés pour une approbation de fédération.Exchange 2013 organizations by using the Enable federation trust wizard and self-signed certificates for a federation trust.

    • Les organisations Exchange 2010 SP1 ou version ultérieure via l'Assistant Nouvelle approbation de fédération et les certificats auto-signés pour une approbation de fédération.Exchange 2010 SP1 or later organizations by using the New Federation Trust wizard and self-signed certificates for a federation trust.

    • Les organisations Exchange hébergées par Office 365, telles qu'Exchange Online.Exchange organizations hosted by Office 365, such as the Exchange Online.

    Les organisations Exchange suivantes utilisent l'instance grand public du système d'authentification Azure AD par défaut :The following Exchange organizations use the consumer instance of the Azure AD authentication system by default:

    • La version finalisée (RTM) des organisations Exchange 2010 via les certificats émis par des autorités de certification tierces.Release to manufacturing (RTM) version of Exchange 2010 organizations using certificates issued by third-party certification authorities.

    Nous recommandons que toutes les organisations Exchange utilisent l'instance professionnelle du système d'authentification Azure AD pour les approbations de fédération. Avant de configurer le partage fédéré entre les deux organisations Exchange, vous devez déterminer l'instance du système d'authentification Azure AD que chaque organisation Exchange utilise pour les approbations de fédération existantes. Pour déterminer l'instance du système d'authentification Azure AD utilisée par une organisation Exchange pour une approbation de fédération existante, exécutez la commande d'environnement Exchange Management Shell suivante.We recommend that all Exchange organizations use the business instance of the Azure AD authentication system for federation trusts. Before configuring federated sharing between the two Exchange organizations, you need to verify which Azure AD authentication system instance each Exchange organization is using for any existing federation trusts. To determine which Azure AD authentication system instance an Exchange organization is using for an existing federation trust, run the following Shell command.

    Get-FederationInformation -DomainName <hosted Exchange domain namespace>
    

    L’instance professionnelle renvoie la valeur <uri:federation:MicrosoftOnline> pour le paramètre TokenIssuerURIs .The business instance returns a value of <uri:federation:MicrosoftOnline> for the TokenIssuerURIs parameter.

    L’instance grand public renvoie la valeur <uri:WindowsLiveID> pour le paramètre TokenIssuerURIs .The consumer instance returns a value of <uri:WindowsLiveID> for the TokenIssuerURIs parameter.

    Pour configurer le partage fédéré au sein d'une organisation Exchange disposant d'une approbation de fédération qui utilise l'instance professionnelle du système d'authentification Azure AD, suivez les étapes indiquées dans cette rubrique. Ces étapes vous guident tout au long de la création des approbations de fédération permettant d'activer le partage fédéré entre deux organisations Exchange 2013 ou entre une organisation Exchange 2013 et une organisation Exchange 2010 qui utilise déjà l'instance professionnelle du système d'authentification Azure AD.To configure federated sharing with an Exchange organization that has an existing federation trust that's using the business instance of the Azure AD authentication system, follow the steps in this topic. These steps are all you need to perform to create federation trusts that can be used to enable federated sharing between two Exchange 2013 organizations or between an Exchange 2013 organization and an Exchange 2010 organization that's already using the business instance of the Azure AD authentication system.

    Pour configurer le partage fédéré entre votre organisation Exchange 2013 et une organisation Exchange qui comporte une approbation de fédération existante utilisant l'instance grand public du système d'authentification Azure AD, l'organisation Exchange utilisant l'instance grand public doit installer Exchange 2010 SP2 ou version ultérieure, ou effectuer la mise à niveau vers Exchange 2013. Si vous décidez d'installer Exchange 2010 SP2 ou version ultérieure, utilisez l'Assistant Nouvelle approbation de fédération pour supprimer et recréer les domaines fédérés et les approbations de fédération existants. Lors de la recréation des approbations de fédération, l'instance professionnelle du système d'authentification Azure AD sera utilisée.To configure federated sharing between your Exchange 2013 organization and an Exchange organization that has an existing federation trust that's using the consumer instance of the Azure AD authentication system , the Exchange organization using the consumer instance should install Exchange 2010 SP2 or later, or upgrade to Exchange 2013. If you decide to install Exchange 2010 SP2 or later, use the New Federation Trust wizard to remove and re-create the existing federated domains and federation trusts. When the federation trusts are re-created, the business instance of the Azure AD authentication system will be used.

Utiliser le Centre d'administration Exchange (EAC) pour créer et configurer une approbation de fédérationUse the EAC to create and configure a federation trust

  1. Sur un serveur Exchange 2013 de votre organisation locale, accédez à Organisation > Partage.On an Exchange 2013 server in your on-premises organization, navigate to Organization > Sharing.

  2. Cliquez sur Activer pour démarrer l'Assistant Activer l'approbation de fédération.Click Enable to start the Enable federation trust wizard.

  3. Une fois l'Assistant terminé, cliquez sur Fermer.After the wizard completes, click Close.

  4. Dans la section Approbation de fédération de l'onglet Partage, cliquez sur Modifier.In the Federation Trust section of the Sharing tab, click Modify.

  5. Dans Domaines activés pour le partage, en regard de Étape 1, cliquez sur Parcourir.In Sharing-Enabled Domains, next to Step 1, click Browse.

  6. Dans Sélectionner les domaines acceptés, sélectionnez dans la liste le domaine partagé principal, puis cliquez sur OK.In Select Accepted Domains, select the primary shared domain from the list, and then click OK.

    Note

    Le domaine que vous sélectionnez sera utilisé pour configurer l'identificateur d'organisation pour l'approbation fédérée. Pour plus d'informations sur l'identificateur d'organisation, voir Fédération.The domain you select will be used to configure the OrgID for the federation trust. For more information about the OrgID, see Federation.

  7. Notez la preuve de domaine fédéré qui est générée pour le domaine partagé principal. Vous utiliserez cette chaîne pour créer un enregistrement TXT sur votre serveur DNS public.Make a note of the federated domain proof that's generated for the primary shared domain. You'll use this string to create a TXT record on your public DNS server.

    Important

    La preuve de domaine fédéré est une chaîne de caractères alphanumériques. Pour éviter les erreurs d’entrée, nous vous recommandons de copier la chaîne à partir du CAE, collez-le dans un éditeur de texte tel que le bloc-notes. Vous pouvez puis le copier à partir de l’éditeur de texte dans le Presse-papiers, puis collez-le dans le champ de texte lors de la création de l’enregistrement TXT. Si l’enregistrement TXT est créé à l’aide d’incorrecte fédérés chaîne preuve de domaine, le système d’authentification Azure AD ne pourra vérifier la preuve de propriété du domaine, et vous ne pourrez pas ajouter à l’identificateur d’organisation fédérée.The federated domain proof is a string of alphanumeric characters. To avoid input errors, we recommend that you copy the string from the EAC, and paste it into a text editor such as Notepad. You can then copy it from the text editor to the Clipboard, and then paste it into the Text field when creating the TXT record. If the TXT record is created by using an incorrect federated domain proof string, the Azure AD authentication system won't be able to verify proof of domain ownership, and you won't be able to add it to the federated organization identifier.

  8. Dans l' étape 2, cliquez sur ![Ajouter une icône] d’Ajout (images/JJ218640.c1e75329-d6d7-4073-a27d-498590bbb558(EXCHG.150).gif "d’Icône Ajouter") pour ajouter des domaines supplémentaires à l’approbation fédérée pour les adresses de messagerie qui sera utilisé par les utilisateurs de votre organisation qui nécessitent des fonctionnalités de partage fédérées. Par exemple, si vous avez des utilisateurs qui utilisent un sous-domaine dans leur adresse de messagerie comme sales.contoso.com, vous souhaiteriez ajouter le domaine de sales.contoso.com à l’approbation de fédération.In Step 2, click Add Add Icon to add additional domains to the federated trust for email addresses that will be used by users in your organization that require federated sharing features. For example, if you have users that use a subdomain in their email address such as sales.contoso.com, you would add the sales.contoso.com domain to the federation trust.

    Note

    Une chaîne de preuve de domaine fédéré sera créée pour chaque domaine supplémentaire sélectionné. Vous devez créer des enregistrements TXT distincts sur votre DNS public pour chaque domaine supplémentaire.A federated domain proof string will be created for each additional domain selected. You must create separate TXT records on your public DNS for each additional domain.

  9. À l’aide des chaînes de preuve de domaine fédéré créées pour chaque domaine, créez des enregistrements TXT pour chacun de ces domaines sur votre serveur DNS public. En fonction de la planification des mises à jour de votre hôte DNS public, la réplication des modifications DNS peut prendre au moins 15 minutes.Using the federated domain proof strings created for each domain, create TXT records for each of these domains on your public DNS server. Depending on the update schedule of your public DNS host, replication of DNS changes may take 15 minutes or longer.

  10. Une fois les enregistrements TXT créés et répliqués, cliquez sur Mettre à jour.After the TXT records are created and replicated, click Update.

Utiliser l'environnement de ligne de commande Exchange Management Shell pour créer et configurer une approbation de fédérationUse the Shell to create and configure a federation trust

  1. Exécutez cette commande pour créer un identificateur de clé d’un objet unique pour le certificat d’approbation de fédération :Run this command to create a unique subject key identifier for the federation trust certificate:

        $ski = [System.Guid]::NewGuid().ToString("N")
    
  2. Pour créer un certificat auto-signé pour l’approbation de fédération, utilisez la syntaxe suivante :Use this syntax to create a self-signed certificate for the federation trust:

        New-ExchangeCertificate -FriendlyName "<Descriptive Name>" -DomainName <domain> -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
    

    Cet exemple montre comment créer un certificat auto-signé pour l’approbation de fédération avec le système d’authentification Azure AD. Le certificat utilise la valeur de nom convivial Exchange Federated Sharing, et la valeur de domaine est récupérée à partir de la variable d’environnement USERDNSDOMAIN .This example creates a self-signed certificate for the federation trust with the Azure AD authentication system. The certificate uses the friendly name value Exchange Federated Sharing, and the domain value is retrieved from the USERDNSDOMAIN environment variable.

        New-ExchangeCertificate -FriendlyName "Exchange Federated Sharing" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
    
  3. Pour créer l’approbation de fédération et déployer automatiquement le certificat auto-signé que vous avez créé à l’étape précédente pour les serveurs Exchange de votre organisation, utilisez la syntaxe suivante :To create the federation trust and automatically deploy the self-signed certificate that you created in the previous step to the Exchange servers in your organization, use this syntax:

        Get-ExchangeCertificate | ?{$_.FriendlyName -eq "<FriendlyName>"} | New-FederationTrust -Name "<Descriptive Name>"
    

    Cet exemple crée l’approbation de fédération nommée l’authentification Azure AD et déploie le certificat auto-signé nommé Exchange Federated Sharing.This example creates the federation trust named Azure AD Authentication and deploys the self-signed certificate named Exchange Federated Sharing.

        Get-ExchangeCertificate | ?{$_.FriendlyName -eq "Exchange Federated Sharing"} | New-FederationTrust -Name "Azure AD Authentication"
    
  4. Utilisez la syntaxe suivante pour renvoyer la preuve de propriété du domaine enregistrement TXT requise pour n’importe quel domaine que vous allez configurer pour l’approbation de fédération.Use this syntax to return the proof of domain ownership TXT record that's required for any domain that you'll configure for the federation trust.

    Get-FederatedDomainProof -DomainName <domain>
    

    Cet exemple renvoie la preuve de propriété du domaine enregistrement TXT qui est requis pour le domaine partagé principal contoso.com.This example returns the proof of domain ownership TXT record that's required for the primary shared domain contoso.com.

    Get-FederatedDomainProof -DomainName contoso.com
    

    Remarques :Notes:

    • Chaque domaine ou sous-domaine qui est configuré pour l’approbation de fédération nécessitant une preuve de propriété du domaine enregistrement TXT, vous devrez peut-être exécuter cette commande plusieurs fois en utilisant différentes valeurs de nom_domaine .Each domain or subdomain that's configured for the federation trust requires a proof of domain ownership TXT record, so you might need to run this command multiple times using different DomainName values.

    • Nous vous conseillons de copier la chaîne de preuve de domaine en cliquant dans le Shell, sélectionnant marque, la valeur de la preuve et en appuyant sur entrée, vous pouvez l’utiliser lorsque vous créez l’enregistrement TXT. Si vous créez l’enregistrement TXT avec une chaîne de preuve de domaine fédéré incorrecte, le système d’authentification Azure AD ne peut pas vérifier votre possession du domaine, et vous ne pourrez pas ajouter à l’identificateur d’organisation fédérée.We recommend that you copy the domain proof string by right-clicking in the Shell, selecting Mark, selecting the Proof value, and then pressing Enter so you can use it when you create the TXT record. If you create the TXT record with an incorrect federated domain proof string, the Azure AD authentication system can't verify your ownership of the domain, and you won't be able to add it to the federated organization identifier.

  5. Les informations de l’étape précédente, créez les enregistrements TXT sur votre serveur DNS public dans tous les domaines qui seront inclus dans l’approbation de fédération. En fonction de la planification de la mise à jour de votre hôte DNS public, réplication des modifications DNS peut prendre 15 minutes ou plus. Continuez après avoir vérifié que les nouveaux enregistrements TXT sont disponibles.Using the information from the previous step, create TXT records on your public DNS server in every domain that will be included in the federation trust. Depending on the update schedule of your public DNS host, replication of DNS changes may take 15 minutes or longer. Continue after you've verified that the new TXT records are available.

  6. Exécutez cette commande pour extraire les métadonnées et le certificat d’Azure AD :Run this command to retrieve the metadata and certificate from Azure AD:

    Set-FederationTrust -RefreshMetadata -Identity "Azure AD authentication"
    
  7. Utilisez la syntaxe suivante pour configurer le domaine partagé principal pour l’approbation de fédération que vous avez créé à l’étape 3. Le domaine que vous spécifiez permet de configurer l’identificateur d’organisation (OrgID) pour l’approbation de fédération. Pour plus d’informations sur l’identificateur d’organisation, voir identificateur d’organisation fédérée.Use this syntax to configure the primary shared domain for the federation trust that you created in Step 3. The domain that you specify will be used to configure the organization identifier (OrgID) for the federation trust. For more information about the OrgID, see Federated organization identifier.

        Set-FederatedOrganizationIdentifier -DelegationFederationTrust "<Federation Trust Name>" -AccountNamespace <Accepted Domain> -Enabled $true
    

    Cet exemple configure le domaine accepté contoso.com en tant que principal partagé domaine pour l’approbation de fédération nommé l’authentification Azure AD.This example configures the accepted domain contoso.com as the primary shared domain for the federation trust named Azure AD Authentication.

        Set-FederatedOrganizationIdentifier -DelegationFederationTrust "Azure AD authentication" -AccountNamespace contoso.com -Enabled $true
    
  8. Pour ajouter d’autres domaines pour l’approbation de fédération, utilisez la syntaxe suivante :To add other domains to the federation trust, use this syntax:

    Add-FederatedDomain -DomainName <AdditionalDomain>
    

    Cet exemple ajoute le sous-domaine sales.contoso.com à l’approbation fédérée, étant donné que les utilisateurs avec des adresses de messagerie dans le domaine sales.contoso.com nécessitent des fonctionnalités de partage fédérées.This examples adds the subdomain sales.contoso.com to the federated trust, because users with email addresses in the sales.contoso.com domain require federated sharing features.

    Add-FederatedDomain -DomainName sales.contoso.com
    

    N’oubliez pas, n’importe quel domaine ou sous-domaine que vous ajoutez à l’approbation de fédération nécessite une preuve de propriété du domaine enregistrement TXT,Remember, any domain or subdomain that you add to the federation trust requires a proof of domain ownership TXT record,

Pour détaillées sur la syntaxe et les informations sur les paramètres, voir New-ExchangeCertificate, New-FederationTrust, Get-FederatedDomainProof, Set-FederationTrust, Set-FederatedOrganizationIdentifieret Ajouter-FederatedDomain.For detailed syntax and parameter information, see New-ExchangeCertificate, New-FederationTrust, Get-FederatedDomainProof, Set-FederationTrust, Set-FederatedOrganizationIdentifier, and Add-FederatedDomain.

Comment savoir si cela a fonctionné ?How do you know this worked?

L'exécution réussie des Assistants Activer l'approbation de fédération et Domaines activés pour le partage constitue la première indication que l'approbation de fédération a été configurée comme prévu.The successful completion of the Enable federation trust and Sharing-Enabled Domains wizards will be your first indication that the federation trust was configured as expected.

Pour vérifier que vous avez correctement créé et configuré l'approbation de fédération, procédez comme suit :To further verify that you have successfully created and configured the federation trust, do the following:

  1. Exécutez la commande de l'environnement de ligne de commande suivante pour vérifier les informations d'approbation de la fédération.Run the following Shell command to verify the federation trust information.

    Get-FederationTrust | Format-List
    
  2. Remplacez * <PrimarySharedDomain> * avec votre principal partagé domaine et exécutez la commande Shell suivante pour vérifier que les informations fédération peut être récupérée à partir de votre organisation.Replace <PrimarySharedDomain> with your primary shared domain, and run the following Shell command to verify that federation information can be retrieved from your organization.

    Get-FederationInformation -DomainName <PrimarySharedDomain>
    

Pour des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques Get-FederationTrust et Get-FederationInformation.For detailed syntax and parameter information, see Get-FederationTrust and Get-FederationInformation.

Conseil

Des problèmes ? Demander une assistance dans les forums Exchange. Consultez les forums Exchange Server, Exchange Onlineou Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server, Exchange Online, or Exchange Online Protection.