Configuration d'AD FS pour envoyer les revendications d'expiration de mot de passe

Vous pouvez configurer les services AD FS pour envoyer des revendications d’expiration de mot de passe aux approbations de partie de confiance (applications) protégées par AD FS. Le mode d’utilisation de ces revendications dépend de l’application. Par exemple, avec Office 365 comme partie de confiance, des mises à jour ont été implémentées dans Exchange et Outlook pour informer les utilisateurs fédérés de l’expiration prochaine de leurs mots de passe.

Pour configurer AD FS pour envoyer des revendications d’expiration de mot de passe à une approbation de partie de confiance, vous devez ajouter les règles de revendication suivantes à cette approbation de partie de confiance :

@RuleName = "Issue Password Expiry Claims"
c1:[Type == "http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime"]
 => issue(store = "_PasswordExpiryStore", types = ("http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime", "http://schemas.microsoft.com/ws/2012/01/passwordexpirationdays", "http://schemas.microsoft.com/ws/2012/01/passwordchangeurl"), query = "{0};", param = c1.Value);

Notes

Les revendications d’expiration de mot de passe sont uniquement disponibles pour le nom d’utilisateur et le mot de passe et les types d’authentification Microsoft Passport for Work. si l’utilisateur s’authentifie à l’aide d’Windows authentification intégrée et que Passport n’est pas configuré, les revendications ne sont pas disponibles et les utilisateurs ne voient pas les notifications d’expiration de mot de passe.

Notes

Il existe une fenêtre de 14 jours pour que les revendications envoyées soient remplies uniquement si le mot de passe expire dans un délai de 14 jours.

Voir aussi

Opérations d’AD FS