Déploiement de Dossiers de travailDeploying Work Folders

S’applique à : Windows Server (canal semi-annuel), Windows Server 2016, Windows Server 2012 R2, Windows 10, Windows 8.1, Windows 7Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10, Windows 8.1, Windows 7

Cette rubrique présente les étapes requises pour déployer Dossiers de travail.This topic discusses the steps needed to deploy Work Folders. Elle part du principe que vous avez déjà lu Planification d’un déploiement de Dossiers de travail.It assumes that you've already read Planning a Work Folders deployment.

Pour déployer Dossiers de travail, un processus qui peut impliquer plusieurs serveurs et technologies, procédez comme suit.To deploy Work Folders, a process that can involve multiple servers and technologies, use the following steps.

Conseil

Le déploiement de Dossiers de travail le plus simple est un serveur de fichiers unique (souvent appelé serveur de synchronisation) sans prise en charge de la synchronisation via Internet. Ce déploiement peut s'avérer utile pour un laboratoire de test ou en tant que solution de synchronisation pour les ordinateurs clients appartenant à un domaine.The simplest Work Folders deployment is a single file server (often called a sync server) without support for syncing over the Internet, which can be a useful deployment for a test lab or as a sync solution for domain-joined client computers. Pour créer un déploiement simple, voici la procédure minimale à suivre :To create a simple deployment, these are minimum steps to follow:

  • Étape 1 : obtenir des certificats SSLStep 1: Obtain SSL certificates
  • Étape 2 : créer des enregistrements DNSStep 2: Create DNS records
  • Étape 3 : installer Dossiers de travail sur des serveurs de fichiersStep 3: Install Work Folders on file servers
  • Étape 4 : lier le certificat SSL aux serveurs de synchronisationStep 4: Binding the SSL certificate on the sync servers
  • Étape 5 : créer des groupes de sécurité pour Dossiers de travailStep 5: Create security groups for Work Folders
  • Étape 7 : créer des partages de synchronisation pour les données utilisateurStep 7: Create sync shares for user data

Étape 1 : obtenir des certificats SSLStep 1: Obtain SSL certificates

Dossiers de travail utilise le protocole HTTPS pour synchroniser en toute sécurité des fichiers entre les clients Dossiers de travail et le serveur Dossiers de travail.Work Folders uses HTTPS to securely synchronize files between the Work Folders clients and the Work Folders server. Les critères requis pour les certificats SSL utilisés par Dossiers de travail sont les suivants :The requirements for SSL certificates used by Work Folders are as follows:

  • Le certificat doit être délivré par une autorité de certification approuvée.The certificate must be issued by a trusted certification authority. Pour la plupart des implémentations de Dossiers de travail, une autorité de certification publiquement approuvée est conseillée dans la mesure où les certificats seront utilisés par des appareils basés sur Internet et n’appartenant pas à un domaine.For most Work Folders implementations, a publicly trusted CA is recommended, since certificates will be used by non-domain-joined, Internet-based devices.

  • Le certificat doit être valide.The certificate must be valid.

  • La clé privée du certificat doit pouvoir être exportée (car vous devrez installer le certificat sur plusieurs serveurs).The private key of the certificate must be exportable (as you will need to install the certificate on multiple servers).

  • Le nom du sujet du certificat doit contenir l’URL de Dossiers de travail publique utilisée pour la détection du service Dossiers de travail depuis Internet (elle doit se présenter au format workfolders. <nom_domaine> ).The subject name of the certificate must contain the public Work Folders URL used for discovering the Work Folders service from across the Internet – this must be in the format of workfolders.<domain_name>.

  • Les autres noms de sujet doivent être présents sur le certificat qui répertorie le nom de chaque serveur de synchronisation utilisé.Subject alternative names (SANs) must be present on the certificate listing the server name for each sync server in use.

    Le blog Gestion des certificats de Dossiers de travail blog fournit des informations supplémentaires sur l’utilisation de certificats avec Dossiers de travail.The Work Folders Certificate Management blog provides additional information on using certificates with Work Folders.

Étape 2 : créer des enregistrements DNSStep 2: Create DNS records

Pour permettre aux utilisateurs d’effectuer la synchronisation sur Internet, vous devez créer un enregistrement d’hôte (A) dans le DNS public pour autoriser les clients Internet à résoudre votre URL de Dossiers de travail.To allow users to sync across the Internet, you must create a Host (A) record in public DNS to allow Internet clients to resolve your Work Folders URL. Cet enregistrement DNS doit être résolu en interface externe du serveur proxy inverse.This DNS record should resolve to the external interface of the reverse proxy server.

Sur votre réseau interne, créez un enregistrement CNAME dans DNS nommé « dossiersTravail », qui résout les noms de domaines complets d’un serveur Dossiers de travail.On your internal network, create a CNAME record in DNS named workfolders which resolves to the FDQN of a Work Folders server. Lorsque les clients de dossiers de travail utilisent la détection automatique, l’URL utilisée pour détecter le serveur dossiers de travail est https://workfolders.domain.com.When Work Folders clients use auto discovery, the URL used to discover the Work Folders server is https://workfolders.domain.com. Si vous prévoyez d’utiliser la détection automatique, l’enregistrement CNAME dossiersTravail doit exister dans DNS.If you plan to use auto discovery, the workfolders CNAME record must exist in DNS.

Étape 3 : installer Dossiers de travail sur des serveurs de fichiersStep 3: Install Work Folders on file servers

Vous pouvez installer Dossiers de travail sur un serveur appartenant à un domaine en utilisant le Gestionnaire de serveur ou Windows PowerShell, en local ou à distance sur un réseau.You can install Work Folders on a domain-joined server by using Server Manager or by using Windows PowerShell, locally or remotely across a network. Cela s’avère utile si vous configurez plusieurs serveurs de synchronisation sur votre réseau.This is useful if you are configuring multiple sync servers across your network.

Pour déployer le rôle dans le Gestionnaire de serveur, procédez comme suit :To deploy the role in Server Manager, do the following:

  1. Démarrez l’Assistant Ajout de rôles et de fonctionnalités.Start the Add Roles and Features Wizard.

  2. Dans la page Sélectionner le type d’installation, choisissez Installation basée sur un rôle ou une fonctionnalité.On the Select installation type page, choose Role-based or feature-based deployment.

  3. Dans la page Sélectionner le serveur de destination, sélectionnez le serveur sur lequel vous voulez installer Dossiers de travail.On the Select destination server page, select the server on which you want to install Work Folders.

  4. Dans la page Sélectionner des rôles de serveurs, développez Services de fichiers et de stockage, Services de fichiers et iSCSI, puis sélectionnez Dossiers de travail.On the Select server roles page, expand File and Storage Services, expand File and iSCSI Services, and then select Work Folders.

  5. Lorsque le système vous demande si vous voulez installer IIS Hostable Web Core, cliquez sur OK pour installer la version minimale des services Internet (IIS) requise par Dossiers de travail.When asked if you want to install IIS Hostable Web Core, click Ok to install the minimal version of Internet Information Services (IIS) required by Work Folders.

  6. Cliquez sur Suivant jusqu’à ce que vous ayez terminé l’Assistant.Click Next until you have completed the wizard.

Pour déployer le rôle à l’aide de Windows PowerShell, utilisez l’applet de commande suivante :To deploy the role by using Windows PowerShell, use the following cmdlet:

Add-WindowsFeature FS-SyncShareService  

Étape 4 : lier le certificat SSL aux serveurs de synchronisationStep 4: Binding the SSL certificate on the sync servers

La fonctionnalité Dossiers de travail installe IIS Hostable Web Core, qui est un composant IIS conçu pour activer les services Web sans nécessiter une installation complète des services Internet (IIS).Work Folders installs the IIS Hostable Web Core, which is an IIS component designed to enable web services without requiring a full installation of IIS. Après l’installation d’IIS Hostable Web Core, vous devez lier le certificat SSL pour le serveur au site Web par défaut sur le serveur de fichiers.After installing the IIS Hostable Web Core, you should bind the SSL certificate for the server to the Default Web Site on the file server. Toutefois, IIS Hostable Web Core n’installe pas la Console de gestion IIS.However, the IIS Hostable Web Core does not install the IIS Management console.

Il existe deux possibilités pour lier le certificat à l’interface Web par défaut.There are two options for binding the certificate to the Default Web Interface. Vous devez dans les deux cas avoir installé la clé privée pour le certificat dans le magasin personnel de l’ordinateur.To use either option you must have installed the private key for the certificate into the computer's personal store.

  • Utilisez la Console de gestion IIS sur un serveur sur lequel elle est installée.Utilize the IIS management console on a server that has it installed. À partir de la Console, connectez-vous au serveur de fichiers à gérer, puis sélectionnez le site Web par défaut pour ce serveur.From within the console, connect to the file server you want to manage, and then select the Default Web Site for that server. Le site Web par défaut apparaît désactivé, mais vous pouvez quand même modifier les liaisons pour le site et sélectionner le certificat pour le lier à ce site Web.The Default Web Site will appear disabled, but you can still edit the bindings for the site and select the certificate to bind it to that web site.

  • Utilisez la commande netsh pour lier le certificat à l’interface https du site Web par défaut.Use the netsh command to bind the certificate to the Default Web Site https interface. La commande se présente comme suit :The command is as follows:

    netsh http add sslcert ipport=<IP address>:443 certhash=<Cert thumbprint> appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY
    

Étape 5 : créer des groupes de sécurité pour Dossiers de travailStep 5: Create security groups for Work Folders

Avant de créer des partages de synchronisation, un membre du groupe Admins du domaine ou Administrateurs de l’entreprise doit créer quelques groupes de sécurité dans les services de domaine Active Directory (AD DS) pour Dossiers de travail (il peut également déléguer une partie du contrôle comme décrit à l’étape 6).Before creating sync shares, a member of the Domain Admins or Enterprise Admins groups needs to create some security groups in Active Directory Domain Services (AD DS) for Work Folders (they might also want to delegate some control as described in Step 6). Voici les groupes dont vous avez besoin :Here are the groups you need:

  • Un groupe par partage de synchronisation pour indiquer les utilisateurs qui sont autorisés à effectuer la synchronisation avec le partage de synchronisationOne group per sync share to specify which users are allowed to sync with the sync share

  • Un groupe pour tous les administrateurs de Dossiers de travail afin qu’ils puissent modifier un attribut sur chaque objet utilisateur qui lie l’utilisateur au serveur de synchronisation approprié (si vous comptez utiliser plusieurs serveurs de synchronisation)One group for all Work Folders administrators so that they can edit an attribute on each user object that links the user to the correct sync server (if you're going to use multiple sync servers)

    Les groupes doivent suivre une convention d’affectation de noms standard et ne doivent être utilisés que pour Dossiers de travail afin d’éviter des conflits éventuels avec d’autres exigences de sécurité.Groups should follow a standard naming convention and should be used only for Work Folders to avoid potential conflicts with other security requirements.

    Pour créer les groupes de sécurité appropriés, utilisez la procédure suivante plusieurs fois, une fois pour chaque partage de synchronisation et une fois pour créer éventuellement un groupe pour les administrateurs des serveurs de fichiers.To create the appropriate security groups, use the following procedure multiple times – once for each sync share, and once to optionally create a group for file server administrators.

Pour créer des groupes de sécurité pour Dossiers de travailTo create security groups for Work Folders

  1. Ouvrez le Gestionnaire de serveur sur un ordinateur Windows Server 2012 R2 ou Windows Server 2016 sur lequel le Centre d'administration Active Directory est installé.Open Server Manager on a Windows Server 2012 R2 or Windows Server 2016 computer with Active Directory Administration Center installed.

  2. Dans le menu Outils , cliquez sur Centre d’administration Active Directory.On the Tools menu, click Active Directory Administration Center. Le Centre d’administration Active Directory s’affiche.Active Directory Administration Center appears.

  3. Cliquez avec le bouton droit sur le conteneur où vous voulez créer le groupe (par exemple, le conteneur Utilisateurs de l’unité d’organisation ou du domaine approprié), cliquez sur Nouveau, puis sur Groupe.Right-click the container where you want to create the new group (for example, the Users container of the appropriate domain or OU), click New, and then click Group.

  4. Dans la fenêtre Créer un groupe, dans la section Groupe, indiquez les paramètres suivants :In the Create Group window, in the Group section, specify the following settings:

    • Dans Nom du groupe, tapez le nom du groupe de sécurité, par exemple : Utilisateurs Partage de synchronisation RH, ou Administrateurs de Dossiers de travail.In Group name, type the name of the security group, for example: HR Sync Share Users, or Work Folders Administrators.

    • Dans Étendue du groupe, cliquez sur Sécurité, puis sur Globale.In Group scope, click Security, and then click Global.

  5. Dans la section Membres, cliquez sur Ajouter.In the Members section, click Add. La boîte de dialogue Sélectionnez Utilisateurs, Contacts, Ordinateurs ou Groupes s’affiche.The Select Users, Contacts, Computers, Service Accounts or Groups dialog box appears.

  6. Tapez les noms des utilisateurs ou des groupes auxquels vous accordez l’accès à un partage de synchronisation spécifique (si vous créez un groupe pour contrôler l’accès à un partage de synchronisation) ou tapez les noms des administrateurs de Dossiers de travail (si vous comptez configurer des comptes d’utilisateurs pour détecter automatiquement le serveur de synchronisation approprié), cliquez sur OK, puis une nouvelle fois sur OK.Type the names of the users or groups to which you grant access to a particular sync share (if you're creating a group to control access to a sync share), or type the names of the Work Folders administrators (if you're going to configure user accounts to automatically discover the appropriate sync server), click OK, and then click OK again.

Pour créer un groupe de sécurité à l’aide de Windows PowerShell, utilisez les applets de commande suivantes :To create a security group by using Windows PowerShell, use the following cmdlets:

$GroupName = "Work Folders Administrators"  
$DC = "DC1.contoso.com"  
$ADGroupPath = "CN=Users,DC=contoso,DC=com"  
$Members = "CN=Maya Bender,CN=Users,DC=contoso,DC=com","CN=Irwin Hume,CN=Users,DC=contoso,DC=com"  
  
New-ADGroup -GroupCategory:"Security" -GroupScope:"Global" -Name:$GroupName -Path:$ADGroupPath -SamAccountName:$GroupName -Server:$DC  
Set-ADGroup -Add:@{'Member'=$Members} -Identity:$GroupName -Server:$DC

Étape 6 : déléguer éventuellement le contrôle des attributs utilisateur aux administrateurs de Dossiers de travailStep 6: Optionally delegate user attribute control to Work Folders administrators

Si vous déployez plusieurs serveurs de synchronisation et voulez diriger automatiquement les utilisateurs vers le serveur de synchronisation approprié, vous devez mettre à jour un attribut sur chaque compte d’utilisateur dans les services de domaine Active Directory.If you are deploying multiple sync servers and want to automatically direct users to the correct sync server, you'll need to update an attribute on each user account in AD DS. Toutefois, cette opération exige normalement de demander à un membre du groupe Admins du domaine ou Administrateurs de l’entreprise de mettre à jour les attributs, ce qui peut devenir rapidement pénible si vous devez fréquemment ajouter des utilisateurs ou les déplacer entre les serveurs de synchronisation.However, this normally requires getting a member of the Domain Admins or Enterprise Admins groups to update the attributes, which can quickly become tiresome if you need to frequently add users or move them between sync servers.

Pour cette raison, un membre du groupe Admins du domaine ou Administrateurs de l’entreprise peut vouloir déléguer la capacité à modifier la propriété msDS-SyncServerURL des objets utilisateur au groupe Administrateurs de Dossiers de travail que vous avez créé à l’étape 5, comme décrit dans la procédure suivante.For this reason, a member of the Domain Admins or Enterprise Admins groups might want to delegate the ability to modify the msDS-SyncServerURL property of user objects to the Work Folders Administrators group you created in Step 5, as described in the following procedure.

Déléguer la possibilité de modifier la propriété msDS-SyncServerURL sur des objets utilisateur dans les services de domaine Active DirectoryDelegate the ability to edit the msDS-SyncServerURL property on user objects in AD DS

  1. Ouvrez le Gestionnaire de serveur sur un ordinateur Windows Server 2012 R2 ou Windows Server 2016 sur lequel le composant Utilisateurs et ordinateurs Active Directory est installé.Open Server Manager on a Windows Server 2012 R2 or Windows Server 2016 computer with Active Directory Users and Computers installed.

  2. Dans le menu Outils, cliquez sur Utilisateurs et ordinateurs Active Directory.On the Tools menu, click Active Directory Users and Computers. Le composant Utilisateurs et ordinateurs Active Directory s’affiche.Active Directory Users and Computers appears.

  3. Cliquez avec le bouton droit sur l’unité d’organisation sous laquelle figurent tous les objets utilisateur pour Dossiers de travail (si les utilisateurs sont stockés dans plusieurs unités d’organisation ou domaines, cliquez avec le bouton droit sur le conteneur commun à tous les utilisateurs), puis cliquez sur Délégation de contrôle… .Right-click the OU under which all user objects exist for Work Folders (if users are stored in multiple OUs or domains, right-click the container that is common to all of the users), and then click Delegate Control…. L’Assistant Délégation de contrôle s’affiche.The Delegation of Control Wizard appears.

  4. Dans la page Utilisateurs ou groupes, cliquez sur Ajouter...On the Users or Groups page, click Add… Puis, spécifiez le groupe que vous avez créé pour les administrateurs de Dossiers de travail (par exemple, Administrateurs de Dossiers de travail).and then specify the group you created for Work Folders administrators (for example, Work Folders Administrators).

  5. Dans la page Tâches à déléguer, cliquez sur Créer une tâche personnalisée à déléguer.On the Tasks to Delegate page, click Create a custom task to delegate.

  6. Dans la page Type d’objet Active Directory, cliquez sur Seulement des objets suivants dans le dossier, puis activez la case à cocher Objets utilisateur.On the Active Directory Object Type page, click Only the following objects in the folder, and then select the User objects checkbox.

  7. Dans la page Autorisations, désactivez la case à cocher Général, activez la case à cocher Spécifiques aux propriétés, puis les cases à cocher Read msDS-SyncServerUrl et Write msDS-SyncServerUrl.On the Permissions page, clear the General checkbox, select the Property-specific checkbox, and then select the Read msDS-SyncServerUrl, and Write msDS-SyncServerUrl checkboxes.

Pour déléguer la capacité à modifier la propriété msDS-SyncServerURL sur des objets utilisateur à l’aide de Windows PowerShell, utilisez l’exemple de script suivant qui emploie la commande DsAcls.To delegate the ability to edit the msDS-SyncServerURL property on user objects by using Windows PowerShell, use the following example script that makes use of the DsAcls command.

$GroupName = "Contoso\Work Folders Administrators"  
$ADGroupPath = "CN=Users,dc=contoso,dc=com"  
  
DsAcls $ADGroupPath /I:S /G ""$GroupName":RPWP;msDS-SyncServerUrl;user"  

Notes

L’exécution de l’opération de délégation peut prendre un peu de temps dans les domaines avec un grand nombre d’utilisateurs.The delegation operation might take a while to run in domains with a large number of users.

Étape 7 : créer des partages de synchronisation pour les données utilisateurStep 7: Create sync shares for user data

À ce stade, vous êtes prêt à désigner un dossier sur le serveur de synchronisation pour stocker les fichiers des utilisateurs.At this point, you're ready to designate a folder on the sync server to store your user's files. Ce dossier est appelé partage de synchronisation et vous pouvez procéder comme suit pour en créer un.This folder is called a sync share, and you can use the following procedure to create one.

  1. Si vous ne disposez pas déjà d’un volume NTFS avec de l’espace libre pour le partage de synchronisation et les fichiers utilisateur qu’il contiendra, créez un volume et formatez-le avec le système de fichiers NTFS.If you don't already have an NTFS volume with free space for the sync share and the user files it will contain, create a new volume and format it with the NTFS file system.

  2. Dans le Gestionnaire de serveur, cliquez sur Services de fichiers et de stockage, puis sur Dossiers de travail.In Server Manager, click File and Storage Services, and then click Work Folders.

  3. Une liste de tous les partages de synchronisation existants est visible en haut du volet d’informations.A list of any existing sync shares is visible at the top of the details pane. Pour créer un partage de synchronisation, dans le menu Tâches, choisissez Nouveau partage de synchronisation… .To create a new sync share, from the Tasks menu choose New Sync Share…. L’Assistant Nouveau partage de synchronisation s’affiche.The New Sync Share Wizard appears.

  4. Dans la page Sélectionner le serveur et le chemin d’accès, indiquez l’emplacement où stocker le partage de synchronisation.On the Select the server and path page, specify where to store the sync share. Si vous disposez déjà d’un partage de fichiers créé pour ces données utilisateur, vous pouvez choisir ce partage.If you already have a file share created for this user data, you can choose that share. Vous pouvez aussi créer un dossier.Alternatively you can create a new folder.

    Notes

    Par défaut, les partages de synchronisation ne sont pas directement accessibles via un partage de fichiers (sauf si vous choisissez un partage de fichiers existant).By default, sync shares aren't directly accessible via a file share (unless you pick an existing file share). Si vous voulez rendre un partage de synchronisation accessible via un partage de fichiers, utilisez la vignette Partages du Gestionnaire de serveur ou l’applet de commande New-SmbShare pour créer un partage de fichiers, de préférence avec l’énumération basée sur l’accès activée.If you want to make a sync share accessible via a file share, use the Shares tile of Server Manager or the New-SmbShare cmdlet to create a file share, preferably with access-based enumeration enabled.

  5. Dans la page Spécifier la structure des dossiers utilisateur, choisissez une convention d’affectation de noms pour les dossiers utilisateur dans le partage de synchronisation.On the Specify the structure for user folders page, choose a naming convention for user folders within the sync share. Deux options sont disponibles :There are two options available:

    • alias utilisateur crée des dossiers utilisateur sans nom de domaine.User alias creates user folders that don't include a domain name. Si vous utilisez un partage de fichiers qui est déjà utilisé avec la redirection de dossiers ou une autre solution de données utilisateur, sélectionnez cette convention d’affectation de noms.If you are using a file share that is already in use with Folder Redirection or another user data solution, select this naming convention. Vous pouvez éventuellement activer la case à cocher Synchroniser uniquement le sous-dossier suivant pour synchroniser uniquement un sous-dossier spécifique, par exemple le dossier Documents.You can optionally select the Sync only the following subfolder checkbox to sync only a specific subfolder, such as the Documents folder.

    • alias@domain utilisateur crée des dossiers utilisateur avec un nom de domaine.User alias@domain creates user folders that include a domain name. Si vous n’utilisez pas un partage de fichiers qui est déjà utilisé avec la redirection de dossiers ou une autre solution de données utilisateur, sélectionnez cette convention d’affectation de noms pour éliminer les conflits entre noms de dossier lorsque plusieurs utilisateurs du partage ont des alias identiques (ce qui peut se produire si les utilisateurs appartiennent à des domaines différents).If you aren't using a file share already in use with Folder Redirection or another user data solution, select this naming convention to eliminate folder naming conflicts when multiple users of the share have identical aliases (which can happen if the users belong to different domains).

  6. Dans la page Entrer le nom du partage de synchronisation, fournissez un nom et une description pour le partage de synchronisation.On the Enter the sync share name page, specify a name and a description for the sync share. Ces informations ne sont pas publiées sur le réseau, mais sont visibles dans le Gestionnaire de serveur et Windows PowerShell pour mieux différencier chacun des partages de synchronisation.This is not advertised on the network but is visible in Server Manager and Windows Powershell to help distinguish sync shares from each other.

  7. Dans la page Accorder aux groupes l’accès à la synchronisation, indiquez le groupe que vous avez créé et qui répertorie les utilisateurs autorisés à employer ce partage de synchronisation.On the Grant sync access to groups page, specify the group that you created that lists the users allowed to use this sync share.

    Important

    Pour améliorer les performances et renforcer la sécurité, accordez l’accès à des groupes et non à des utilisateurs individuels et soyez le plus spécifique possible, en évitant des groupes génériques comme Utilisateurs authentifiés et Utilisateurs du domaine.To improve performance and security, grant access to groups instead of individual users and be as specific as possible, avoiding generic groups such as Authenticated Users and Domain Users. En accordant l’accès à des groupes avec un grand nombre d’utilisateurs, vous augmentez le temps nécessaire à Dossiers de travail pour interroger les services de domaine Active Directory.Granting access to groups with large numbers of users increases the time it takes Work Folders to query AD DS. Si vous disposez d’un grand nombre d’utilisateurs, créez plusieurs partages de synchronisation pour répartir la charge.If you have a large number of users, create multiple sync shares to help disperse the load.

  8. Dans la page Spécifier la stratégie de périphériques, indiquez s’il convient de demander des restrictions de sécurité sur les PC et appareils clients.On the Specify device policies page, specify whether to request any security restrictions on client PCs and devices. Deux stratégies de périphériques peuvent être sélectionnées individuellement :There are two device policies that can be individually selected:

    • Chiffrer Dossiers de travail : demande le chiffrement de Dossiers de travail sur les PC et appareils clientsEncrypt Work Folders Requests that Work Folders be encrypted on client PCs and devices

    • Verrouiller automatiquement l’écran et exiger un mot de passe : demande le verrouillage automatique des écrans des PC et appareils clients après 15 minutes, un mot de passe de six caractères ou plus pour déverrouiller l’écran et l’activation du mode de verrouillage d’un appareil après 10 tentatives échouéesAutomatically lock screen, and require a password Requests that client PCs and devices automatically lock their screens after 15 minutes, require a six-character or longer password to unlock the screen, and activate a device lockout mode after 10 failed retries

      Important

      Pour appliquer les stratégies de mot de passe pour les PC Windows 7 et pour les personnes autres que les administrateurs sur les PC appartenant à un domaine, utilisez les stratégies de mot de passe de stratégie de groupe pour les domaines des ordinateurs et excluez ces domaines des stratégies de mot de passe de Dossiers de travail.To enforce password policies for Windows 7 PCs and for non-administrators on domain-joined PCs, use Group Policy password policies for the computer domains and exclude these domains from the Work Folders password policies. Vous pouvez exclure les domaines en utilisant l’applet de commande Set-Syncshare -PasswordAutoExcludeDomain après la création du partage de synchronisation.You can exclude domains by using the Set-Syncshare -PasswordAutoExcludeDomain cmdlet after creating the sync share. Pour plus d'informations sur la définition des stratégies de mot de passe de stratégie de groupe, voir Stratégie de mot de passe.For information about setting Group Policy password policies, see Password Policy.

  9. Passez en revue vos sélections et terminez l’exécution de l’Assistant pour créer le partage de synchronisation.Review your selections and complete the wizard to create the sync share.

Vous pouvez créer des partages de synchronisation avec Windows PowerShell en utilisant l’applet de commande New-SyncShare.You can create sync shares using Windows PowerShell by using the New-SyncShare cmdlet. Voici un exemple de cette méthode :Below is an example of this method:

New-SyncShare "HR Sync Share" K:\Share-1 –User "HR Sync Share Users"  

L’exemple ci-dessus crée un partage de synchronisation nommé Partage01 avec le chemin d’accès K:\Partage-1 et un accès accordé au groupe nommé Utilisateurs Partage de synchronisation RHThe example above creates a new sync share named Share01 with the path K:\Share-1, and access granted to the group named HR Sync Share Users

Conseil

Après avoir créé des partages de synchronisation, vous pouvez utiliser la fonctionnalité Gestionnaire de ressources du serveur de fichiers pour gérer les données dans les partages.After you create sync shares you can use File Server Resource Manager functionality to manage the data in the shares. Par exemple, vous pouvez utiliser la vignette Quota de la page Dossiers de travail dans le Gestionnaire de serveur pour définir des quotas sur les dossiers utilisateur.For example, you can use the Quota tile inside the Work Folders page in Server Manager to set quotas on the user folders. Vous pouvez également utiliser Gestion du filtrage de fichiers pour contrôler les types de fichiers qui seront synchronisés par Dossiers de travail, ou les scénarios décrits dans Contrôle d’accès dynamique pour afficher des tâches de classification des fichiers plus élaborées.You can also use File Screening Management to control the types of files that Work Folders will sync, or you can use the scenarios described in Dynamic Access Control for more sophisticated file classification tasks.

Étape 8 : Si vous le souhaitez spécifier une adresse de messagerie du support techniqueStep 8: Optionally specify a tech support email address

Après l’installation de Dossiers de travail sur un serveur de fichiers, vous voudrez probablement spécifier une adresse de messagerie de contact administratif pour le serveur.After installing Work Folders on a file server, you probably want to specify an administrative contact email address for the server. Pour ajouter une adresse de messagerie, procédez comme suit :To add an email address, use the following procedure:

Spécification d'une adresse de messagerie administrativeSpecifying an administrative contact email

  1. Dans le Gestionnaire de serveur, cliquez sur Services de fichiers et de stockage, puis sur Serveurs.In Server Manager, click File and Storage Services, and then click Servers.

  2. Cliquez avec le bouton droit sur le serveur de synchronisation, puis cliquez sur Paramètres de Dossiers de travail.Right-click the sync server, and then click Work Folders Settings. La fenêtre Paramètres de Dossiers de travail s’affiche.The Work Folders Settings window appears.

  3. Dans le volet de navigation, cliquez sur Messagerie électronique de support, puis tapez l’adresse ou les adresses de messagerie que les utilisateurs doivent employer lorsqu’ils demandent de l’aide sur le service Dossiers de travail par courrier électronique.In the navigation pane, click Support Email and then type the email address or addresses that users should use when emailing for help with Work Folders. Cliquez sur OK lorsque vous avez terminé.Click OK when you're finished.

    Les utilisateurs de Dossiers de travail peuvent cliquer sur un lien dans l’élément Panneau de configuration de Dossiers de travail qui envoie un message électronique contenant des informations de diagnostic sur le PC client aux adresses que vous spécifiez ici.Work Folders users can click a link in the Work Folders Control Panel item that sends an email containing diagnostic information about the client PC to the address(es) you specify here.

Étape 9 : configurer éventuellement la découverte automatique de serveursStep 9: Optionally set up server automatic discovery

Si vous hébergez plusieurs serveurs de synchronisation dans votre environnement, vous devez configurer la découverte automatique de serveurs en remplissant la propriété msDS-SyncServerURL sur les comptes d’utilisateurs dans les services de domaine Active Directory.If you are hosting multiple sync servers in your environment, you should configure server automatic discovery by populating the msDS-SyncServerURL property on user accounts in AD DS.

Notes

La propriété msDS-SyncServerURL dans Active Directory ne doit pas être définie pour les utilisateurs distants qui accèdent à Dossiers de travail par le biais d’une solution de proxy inverse comme le proxy d’application web ou le proxy d’application Azure AD.The msDS-SyncServerURL property in Active Directory should not be defined for remote users that are accessing Work Folders through a reverse proxy solution such as Web Application Proxy or Azure AD Application Proxy. Si la propriété msDS-SyncServerURL est définie, le client Dossiers de travail va tenter d’accéder à une URL interne non accessible via la solution de proxy inverse.If the msDS-SyncServerURL property is defined, the Work Folders client will try to access an internal URL that’s not accessible through the reverse proxy solution. Lorsque vous utilisez le proxy d’application web ou le proxy d’application Azure AD, vous devez créer des applications de proxy uniques pour chaque serveur Dossiers de travail.When using Web Application Proxy or Azure AD Application Proxy, you need to create unique proxy applications for each Work Folders server. Pour plus d’informations, consultez Deploying Work Folders with AD FS et Proxy d’Application Web : Vue d’ensemble ou déploiement de dossiers de travail avec le Proxy d’Application Azure AD.For more details, see Deploying Work Folders with AD FS and Web Application Proxy: Overview or Deploying Work Folders with Azure AD Application Proxy.

Avant cela, vous devez installer un contrôleur de domaine Windows Server 2012 R2 ou mettre à jour les schémas de la forêt et du domaine à l’aide des commandes Adprep /forestprep et Adprep /domainprep.Before you can do so, you must install a Windows Server 2012 R2 domain controller or update the forest and domain schemas by using the Adprep /forestprep and Adprep /domainprep commands. Pour plus d’informations sur l’exécution de ces commandes en toute sécurité, voir Exécution d’Adprep.exe.For information on how to safely run these commands, see Running Adprep.

Il est possible que vous souhaitiez également créer un groupe de sécurité pour les administrateurs des serveurs de fichiers et leur affecter des autorisations déléguées pour modifier cet attribut utilisateur spécifique, comme décrit dans les étapes 5 et 6.You probably also want to create a security group for file server administrators and give them delegated permissions to modify this particular user attribute, as described in Step 5 and Step 6. Sans ces étapes, vous devriez demander à un membre du groupe Admins du domaine ou Administrateurs de l’entreprise de configurer la découverte automatique pour chaque utilisateur.Without these steps you would need to get a member of the Domain Admins or Enterprise Admins group to configure automatic discovery for each user.

Pour spécifier le serveur de synchronisation pour les utilisateursTo specify the sync server for users

  1. Ouvrez le Gestionnaire de serveur sur un ordinateur sur lequel les outils d’administration Active Directory sont installés.Open Server Manager on a computer with Active Directory Administration Tools installed.

  2. Dans le menu Outils , cliquez sur Centre d’administration Active Directory.On the Tools menu, click Active Directory Administration Center. Le Centre d’administration Active Directory s’affiche.Active Directory Administration Center appears.

  3. Accédez au conteneur Utilisateurs dans le domaine approprié, cliquez avec le bouton droit sur l’utilisateur que vous voulez affecter à un partage de synchronisation, puis cliquez sur Propriétés.Navigate to the Users container in the appropriate domain, right-click the user you want to assign to a sync share, and then click Properties.

  4. Dans le volet de navigation, cliquez sur Extensions.In the Navigation pane, click Extensions.

  5. Cliquez sur l’onglet Éditeur d’attributs, sélectionnez msDS-SyncServerUrl et cliquez sur Modifier.Click the Attribute Editor tab, select msDS-SyncServerUrl and then click Edit. La boîte de dialogue Éditeur de chaînes à valeurs multiples s’affiche.The Multi-valued String Editor dialog box appears.

  6. Dans la zone Valeur à ajouter, tapez l’URL du serveur de synchronisation avec lequel cet utilisateur doit se synchroniser, cliquez sur Ajouter, sur OK, puis une nouvelle fois sur OK.In the Value to add box, type the URL of the sync server with which you want this user to sync, click Add, click OK, and then click OK again.

    Notes

    L’URL du serveur de synchronisation est simplement https:// ou http:// (selon si vous souhaitez une connexion sécurisée) suivi du nom de domaine complet du serveur de synchronisation.The sync server URL is simply https:// or http:// (depending on whether you want to require a secure connection) followed by the fully qualified domain name of the sync server. Par exemple, https://sync1.contoso.com .For example, https://sync1.contoso.com.

Pour remplir l’attribut pour plusieurs utilisateurs, utilisez Active Directory PowerShell.To populate the attribute for multiple users, use Active Directory PowerShell. Voici un exemple qui remplit l’attribut pour tous les membres du groupe Utilisateurs Partage de synchronisation RH, décrit à l’étape 5.Below is an example that populates the attribute for all members of the HR Sync Share Users group, discussed in Step 5.

$SyncServerURL = "https://sync1.contoso.com"  
$GroupName = "HR Sync Share Users"  
  
Get-ADGroupMember -Identity $GroupName |  
Set-ADUser –Add @{"msDS-SyncServerURL"=$SyncServerURL}  
  

Étape 10 : Si vous le souhaitez configurer le Proxy d’Application Web, le Proxy d’Application ou un autre proxy inverseStep 10: Optionally configure Web Application Proxy, Azure AD Application Proxy, or another reverse proxy

Pour permettre aux utilisateurs distants d'accéder à leurs fichiers, vous devez publier le serveur Dossiers de travail via un proxy inverse, ce qui rend Dossiers de travail disponible en externe sur Internet.To enable remote users to access their files, you need to publish the Work Folders server through a reverse proxy, making Work Folders available externally on the Internet. Vous pouvez utiliser le proxy d’application web, le proxy d’application Azure Active Directory ou une autre solution de proxy inverse.You can use Web Application Proxy, Azure Active Directory Application Proxy, or another reverse proxy solution.

Pour configurer l'accès à Dossiers de travail à l'aide d'AD FS et du proxy d’application web, voir Déploiement de Dossiers de travail avec AD FS et le proxy d'application web.To configure Work Folders access using AD FS and Web Application Proxy, see Deploying Work Folders with AD FS and Web Application Proxy (WAP). Pour obtenir des informations générales sur le proxy d’application web, voir Proxy d’application web dans Windows Server 2016.For background information about Web Application Proxy, see Web Application Proxy in Windows Server 2016. Pour plus d’informations sur la publication d’applications, telles que Dossiers de travail, sur Internet à l’aide du proxy d’application web, voir Publication d’applications à l’aide de la pré-authentification AD FS.For details on publishing applications such as Work Folders on the Internet using Web Application Proxy, see Publishing Applications using AD FS Preauthentication.

Pour configurer l’accès à Dossiers de travail à l’aide du proxy d’application Azure Active Directory, voir Activer l’accès à distance à Dossiers de travail à l’aide du proxy d’application Azure Active DirectoryTo configure Work Folders access using Azure Active Directory Application Proxy, see Enable remote access to Work Folders using Azure Active Directory Application Proxy

Étape 11 : utiliser éventuellement une stratégie de groupe pour configurer les PC appartenant à un domaineStep 11: Optionally use Group Policy to configure domain-joined PCs

Si vous disposez d’un grand nombre de PC appartenant à un domaine sur lesquels vous voulez déployer Dossiers de travail, vous pouvez utiliser une stratégie de groupe pour effectuer les tâches de configuration des PC clients suivantes :If you have a large number of domain-joined PCs to which you want to deploy Work Folders, you can use Group Policy to do the following client PC configuration tasks:

  • Indiquer le serveur de synchronisation avec lequel les utilisateurs doivent effectuer la synchronisationSpecify which sync server users should sync with

  • Forcer la configuration automatique de Dossiers de travail, en utilisant les paramètres par défaut (passez en revue la discussion sur la stratégie de groupe dans Conception d’une implémentation de Dossiers de travail avant d’effectuer cette opération)Force Work Folders to be set up automatically, using default settings (review the Group Policy discussion in Designing a Work Folders Implementation before doing this)

    Pour contrôler ces paramètres, créez un objet de stratégie de groupe pour Dossiers de travail, puis configurez les paramètres de stratégie de groupe suivants selon les besoins :To control these settings, create a new Group Policy object (GPO) for Work Folders and then configure the following Group Policy settings as appropriate:

  • Paramètre de stratégie « Spécifier les paramètres de Dossiers de travail » dans Configuration utilisateur\Stratégies\Modèles d’administration\Composants Windows\Dossiers de travail"Specify Work Folders settings" policy setting in User Configuration\Policies\Administrative Templates\Windows Components\WorkFolders

  • Paramètre de stratégie « Forcer la configuration automatique pour tous les utilisateurs » dans Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Dossiers de travail"Force automatic setup for all users" policy setting in Computer Configuration\Policies\Administrative Templates\Windows Components\WorkFolders

Notes

Ces paramètres de stratégie ne sont disponibles que lors de la modification de la stratégie de groupe à partir d'un ordinateur exécutant la gestion des stratégies de groupe sur Windows 8.1, Windows Server 2012 R2 ou versions ultérieures.These policy settings are available only when editing Group Policy from a computer running Group Policy Management on Windows 8.1, Windows Server 2012 R2 or later. Ce paramètre n’est pas disponible dans les versions de la gestion des stratégies de groupe de systèmes d’exploitation antérieurs.Versions of Group Policy Management from earlier operating systems do not have this setting available. Ces paramètres de stratégie s’appliquent aux PC Windows 7 sur lesquels l'application Dossiers de travail pour Windows 7 a été installée.These policy settings do apply to Windows 7 PCs on which the Work Folders for Windows 7 app has been installed.

Pour plus d’informations connexes, voir les ressources suivantes.For additional related information, see the following resources.

Type de contenuContent type RéférencesReferences
PrésentationUnderstanding - Dossiers de travail- Work Folders
PlanificationPlanning - Conception d’une implémentation de dossiers de travail- Designing a Work Folders Implementation
DéploiementDeployment - Déploiement de dossiers de travail avec AD FS et Proxy d’Application Web (WAP)- Deploying Work Folders with AD FS and Web Application Proxy (WAP)
- Utiliser des dossiers de déploiement de laboratoire de tests (billet de blog)- Work Folders Test Lab Deployment (blog post)
- Un nouvel attribut utilisateur pour l’Url du serveur dossiers de travail (billet de blog)- A new user attribute for Work Folders server Url (blog post)
Référence techniqueTechnical Reference - Ouverture de session interactive : Seuil de verrouillage du compte ordinateur- Interactive logon: Machine account lockout threshold
- Applets de commande de synchronisation partage- Sync Share Cmdlets