Configurer ADFS pour Office 365 pour l’authentification unique

Notes

Office 365 ProPlus est renommé Applications Microsoft 365 pour les entreprises. Pour plus d’informations sur ce changement, lisez ce billet de blog.

Cette vidéo montre comment configurer le service ADFS (Active Directory Federation Service) pour qu’il fonctionne avec Office 365. Il ne traite pas du scénario de serveur proxy ADFS. Cette vidéo traite des services ADFS pour Windows Server 2012 R2. Toutefois, la procédure s’applique également à ADFS 2,0, à l’exception des étapes 1, 3 et 7. Dans chacune de ces étapes, reportez-vous à la section « Remarques pour ADFS 2,0 » pour plus d’informations sur l’utilisation de cette procédure dans Windows Server 2008.

Remarques utiles pour les étapes de la vidéo

Étape 1 : installer les services ADFS (Active Directory Federation Services)

Ajoutez des services ADFS à l’aide de l’Assistant Ajouter des rôles et des fonctionnalités.

Remarques pour ADFS 2,0

Si vous utilisez Windows Server 2008, vous devez télécharger et installer ADFS 2,0 pour pouvoir utiliser Office 365. Vous pouvez obtenir ADFS 2,0 à partir du site Web Centre de téléchargement Microsoft à l’adresse suivante :

Services ADFS (Active Directory Federation Services) 2,0 RTW

Après l’installation, utilisez Windows Update pour télécharger et installer toutes les mises à jour applicables.

Étape 2 : demander un certificat à une autorité de certification tierce pour le nom du serveur de Fédération

Office 365 nécessite un certificat approuvé sur votre serveur ADFS. Par conséquent, vous devez obtenir un certificat auprès d’une autorité de certification tierce.

Lorsque vous personnalisez la demande de certificat, veillez à ajouter le nom du serveur de Fédération dans le champ nom commun .

Dans cette vidéo, nous expliquons uniquement comment générer une demande de signature de certificat (CSR). Vous devez envoyer le fichier CSR à une autorité de certification tierce. L’autorité de certification vous renverra un certificat signé. Ensuite, procédez comme suit pour importer le certificat dans votre magasin de certificats de l’ordinateur :

  1. Exécutez Certlm. msc pour ouvrir le magasin de certificats de l’ordinateur local.
  2. Dans le volet de navigation, développez personnel, certificat, cliquez avec le bouton droit sur le dossier certificat, puis cliquez sur Importer.

À propos du nom du serveur de Fédération

Le nom du service de Fédération est le nom de domaine accessible sur Internet de votre serveur ADFS. L’utilisateur d’Office 365 sera redirigé vers ce domaine pour l’authentification. Par conséquent, assurez-vous d’ajouter un enregistrement A public pour le nom de domaine.

Étape 3 : configurer ADFS

Vous ne pouvez pas taper manuellement un nom comme nom de serveur de Fédération. Le nom est déterminé par le nom de l’objet (nom commun) d’un certificat dans le magasin de certificats de l’ordinateur local.

Remarques pour ADFS 2,0

Dans ADFS 2,0, le nom du serveur de Fédération est déterminé par le certificat qui est lié à « site Web par défaut » dans Internet Information Services (IIS). Vous devez lier le nouveau certificat au site Web par défaut avant de configurer ADFS.

Vous pouvez utiliser n’importe quel compte en tant que compte de service. Si le mot de passe du compte de service a expiré, ADFS cessera de fonctionner. Par conséquent, assurez-vous que le mot de passe du compte est configuré pour ne jamais expirer.

Étape 4 : Télécharger les outils Office 365

Le module Windows Azure Active Directory pour Windows PowerShell et l’appliance de synchronisation Azure Active Directory sont disponibles dans le portail Office 365. Pour obtenir les outils, cliquez sur utilisateurs actifs, puis sur authentification unique : configurer.

Étape 5 : ajouter votre domaine à Office 365

La vidéo n’explique pas comment ajouter et vérifier votre domaine auprès d’Office 365. Pour plus d’informations sur cette procédure, reportez-vous à vérifier votre domaine dans Office 365.

Étape 6 : connecter des services ADFS à Office 365

Pour connecter ADFS à Office 365, exécutez les commandes suivantes dans le module Windows Azure Directory pour Windows PowerShell.

Note Dans la commande Set-MsolADFSContext, spécifiez le nom de domaine complet (FQDN) du serveur ADFS dans votre domaine interne au lieu du nom du serveur de Fédération.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the ADFS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Office 365>

Si les commandes s’exécutent correctement, vous devez voir les éléments suivants :

  • Une approbation de partie de confiance « Microsoft Office 365 identifier la plateforme » est ajoutée à votre serveur ADFS.
  • Les utilisateurs qui utilisent le nom de domaine personnalisé comme suffixe d’adresse de messagerie pour se connecter au portail Office 365 sont redirigés vers votre serveur ADFS.

Étape 7 : synchroniser des comptes d’utilisateurs locaux Active Directory avec Office 365

Si votre nom de domaine interne diffère du nom de domaine externe utilisé comme suffixe d’adresse de messagerie, vous devez ajouter le nom de domaine externe comme autre suffixe UPN dans le domaine Active Directory local. Par exemple, le nom de domaine interne est « Company. local », mais le nom de domaine externe est « company.com ». Dans ce cas, vous devez ajouter « company.com » comme autre suffixe UPN.

Synchronisez les comptes d’utilisateur avec Office 365 à l’aide de l’outil de synchronisation d’annuaires.

Remarques pour ADFS 2,0

Si vous utilisez ADFS 2,0, vous devez modifier l’UPN du compte d’utilisateur de « Company. local » en « company.com » avant de synchroniser le compte vers Office 365. Dans le cas contraire, l’utilisateur n’est pas validé sur le serveur ADFS. 

Étape 8 : configurer l’ordinateur client pour l’authentification unique

Une fois que vous avez ajouté le nom du serveur de Fédération à la zone Intranet local dans Internet Explorer, l’authentification NTLM est utilisée lorsque les utilisateurs essaient de s’authentifier sur le serveur ADFS. Par conséquent, ils ne sont pas invités à entrer leurs informations d’identification.

Les administrateurs peuvent implémenter des paramètres de stratégie de groupe pour configurer une solution d’authentification unique sur les ordinateurs clients qui sont joints au domaine.