Déployer des dossiers de travail avec des AD FS et un proxy d’application Web : étape 2, AD FS le travail après configuration

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Cette rubrique décrit la deuxième étape du déploiement de dossiers de travail avec services de fédération Active Directory (AD FS) (AD FS) et le proxy d’application Web. Les autres étapes de ce processus sont disponibles dans les rubriques suivantes :

Notes

les instructions décrites dans cette section concernent un environnement Windows Server 2019 ou Windows Server 2016. si vous utilisez Windows Server 2012 r2, suivez les instructions Windows Server 2012 r2.

À l’étape 1, vous avez installé et configuré AD FS. À présent, vous devez effectuer les étapes de configuration suivantes pour AD FS.

Configurer des entrées DNS

Vous devez créer deux entrées DNS pour AD FS. Ces deux entrées sont identiques à celles utilisées lors de la procédure de préinstallation lorsque vous avez créé le certificat SAN (autre nom de l’objet).

Les entrées DNS se présentent sous la forme suivante :

  • Nom du service AD FS. domaine

  • enterpriseregistration. domaine

  • AD FS nom du serveur. domaine (l’entrée DNS doit déjà exister. par ex., 2016-ADFS.contoso.com)

Dans l’exemple de test, les valeurs sont :

  • blueadfs.contoso.com

  • enterpriseregistration.contoso.com

Créez les enregistrements A et CNAMe pour AD FS

Pour créer des enregistrements CNAMe pour AD FS, procédez comme suit :

  1. Sur votre contrôleur de domaine, ouvrez le Gestionnaire DNS.

  2. Développez le dossier zones de recherche directe, cliquez avec le bouton droit sur votre domaine, puis sélectionnez nouvel hôte (A).

  3. La fenêtre nouvel hôte s’ouvre. Dans le champ nom , entrez l’alias pour le nom du service AD FS. Dans l’exemple de test, il s’agit de blueadfs.

    L’alias doit être le même que le sujet du certificat utilisé pour AD FS. Par exemple, si le sujet était adfs.contoso.com, l’alias entré ici sera ADFS.

    Important

    quand vous configurez AD FS à l’aide de l’interface utilisateur (iu) du serveur Windows au lieu de Windows PowerShell, vous devez créer un enregistrement A au lieu d’un enregistrement cname pour AD FS. Cela est dû au fait que le nom de principal du service (SPN) créé par le biais de l’interface utilisateur contient uniquement l’alias utilisé pour configurer le service AD FS en tant qu’hôte.

  4. Dans adresse IP, entrez l’adresse IP du serveur AD FS. Dans l’exemple de test, il s’agit de 192.168.0.160. Cliquez sur Ajouter un hôte.

  5. Dans le dossier zones de recherche directe, cliquez à nouveau avec le bouton droit sur votre domaine, puis sélectionnez Nouvel alias (CNAME).

  6. Dans la fenêtre nouvel enregistrement de ressource , ajoutez le nom d’alias enterpriseregistration et entrez le nom de domaine complet du serveur AD FS. Cet alias est utilisé pour la jonction de l’appareil et doit être appelé enterpriseregistration.

  7. Cliquez sur OK.

pour effectuer les étapes équivalentes via Windows PowerShell, utilisez la commande suivante. La commande doit être exécutée sur le contrôleur de domaine.

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name blueadfs -A -IPv4Address 192.168.0.160
Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name enterpriseregistration -CName  -HostNameAlias 2016-ADFS.contoso.com

Configurer l’approbation de la partie de confiance AD FS pour les dossiers de travail

Vous pouvez installer et configurer l’approbation de la partie de confiance pour les dossiers de travail, même si les dossiers de travail n’ont pas encore été configurés. L’approbation de la partie de confiance doit être configurée pour permettre aux dossiers de travail d’utiliser AD FS. Étant donné que vous êtes en train de configurer AD FS, il est maintenant judicieux de faire cette étape.

Pour configurer l’approbation de la partie de confiance :

  1. Ouvrez Gestionnaire de serveur, dans le menu Outils , sélectionnez gestion des AD FS.

  2. Dans le volet de droite, sous actions, cliquez sur Ajouter une approbation de partie de confiance.

  3. Sur la page Bienvenue , sélectionnez prise en charge des revendications , puis cliquez sur Démarrer.

  4. Dans la page Sélectionner une source de données , sélectionnez entrer manuellement les données relatives à la partie de confiance, puis cliquez sur suivant.

  5. Dans le champ nom complet , entrez WorkFolders, puis cliquez sur suivant.

  6. Dans la page configurer le certificat , cliquez sur suivant. Les certificats de chiffrement de jeton sont facultatifs et ne sont pas nécessaires pour la configuration de test.

  7. Dans la page configurer l’URL , cliquez sur suivant.

  8. Dans la page configurer les identificateurs , ajoutez l’identificateur suivant : . Cet identificateur est une valeur codée en dur utilisée par dossiers de travail et est envoyé par le service dossiers de travail lorsqu’il communique avec AD FS. Cliquez sur Suivant.

  9. Dans la page choisir une stratégie de Access Control, sélectionnez autoriser tout le monde, puis cliquez sur suivant.

  10. Dans la page Prêt à ajouter l'approbation, cliquez sur Suivant.

  11. Une fois la configuration terminée, la dernière page de l’Assistant indique que la configuration a réussi. Cochez la case permettant de modifier les règles de revendication, puis cliquez sur Fermer.

  12. Dans le composant logiciel enfichable AD FS, sélectionnez l’approbation de partie de confiance WorkFolders , puis cliquez sur modifier la stratégie d’émission de revendication sous actions.

  13. La fenêtre modifier la stratégie d’émission de revendication pour WorkFolders s’ouvre. Cliquez sur Ajouter une règle.

  14. Dans la liste déroulante modèle de règle de revendication , sélectionnez Envoyer les attributs LDAP en tant que revendications, puis cliquez sur suivant.

  15. Dans la page configurer la règle de revendication , dans le champ nom de la règle de revendication , entrez WorkFolders.

  16. Dans la liste déroulante magasin d’attributs , sélectionnez Active Directory.

  17. Dans la table de mappage, entrez les valeurs suivantes :

    • User-Principal-Name : UPN

    • Nom complet : nom

    • Nom : nom

    • Nom donné : nom donné

  18. Cliquez sur Terminer. La règle WorkFolders est affichée sous l’onglet Règles de transformation d’émission, puis cliquez sur OK.

Définir les options d’approbation de la partie de confiance

Une fois que l’approbation de la partie de confiance a été configurée pour AD FS, vous devez terminer la configuration en exécutant cinq commandes dans Windows PowerShell. Ces commandes définissent des options qui sont nécessaires pour que les dossiers de travail puissent communiquer avec AD FS et ne peuvent pas être définis via l’interface utilisateur. Ces options sont :

  • Activer l’utilisation de jetons Web JSON (jetons JWT)

  • Désactiver les revendications chiffrées

  • Activer la mise à jour automatique

  • Définissez l’émission de jetons d’actualisation OAuth sur tous les appareils.

  • Accorder aux clients l’accès à l’approbation de la partie de confiance

Pour définir ces options, utilisez les commandes suivantes :

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -EnableJWT $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -Encryptclaims $false
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -AutoupdateEnabled $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -IssueOAuthRefreshTokensTo AllDevices
Grant-AdfsApplicationPermission -ServerRoleIdentifier "https://windows-server-work-folders/V1" -AllowAllRegisteredClients -ScopeNames openid,profile

Activer Workplace Join

L’activation de Workplace Join est facultative, mais elle peut être utile lorsque vous souhaitez que les utilisateurs puissent utiliser leurs appareils personnels pour accéder aux ressources de l’espace de travail.

pour activer l’inscription de l’appareil pour Workplace Join, vous devez exécuter les commandes de Windows PowerShell suivantes, qui configurent l’inscription des appareils et définissent la stratégie d’authentification globale :

Initialize-ADDeviceRegistration -ServiceAccountName <your AD FS service account>
    Example: Initialize-ADDeviceRegistration -ServiceAccountName contoso\adfsservice$
Set-ADFSGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true

Exporter le certificat de AD FS

Ensuite, exportez le certificat de AD FS auto-signé afin qu’il puisse être installé sur les ordinateurs suivants dans l’environnement de test :

  • Serveur utilisé pour les dossiers de travail

  • Serveur utilisé pour le proxy d’application Web

  • client Windows joint à un domaine

  • le client de Windows non joint à un domaine

Pour exporter le certificat, procédez comme suit :

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Tapez MMC.

  3. Dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

  4. Dans la liste composants logiciels enfichables disponibles , sélectionnez certificats, puis cliquez sur Ajouter. L’Assistant composant logiciel enfichable Certificats démarre.

  5. Sélectionnez Un compte d’ordinateur, puis cliquez sur Suivant.

  6. Sélectionnez ordinateur local : (l’ordinateur sur lequel cette console s’exécute), puis cliquez sur Terminer.

  7. Cliquez sur OK.

  8. Développez le dossier console Root\Certificates (ordinateur local) \Personal\Certificates.

  9. Cliquez avec le bouton droit sur le certificat AD FS, cliquez sur toutes les tâches, puis sur Exporter....

  10. L’Assistant Exportation de certificat s’ouvre. Sélectionnez Oui, exporter la clé privée.

  11. Dans la page format de fichier d’exportation , laissez les options par défaut sélectionnées, puis cliquez sur suivant.

  12. Créez un mot de passe pour le certificat. Il s’agit du mot de passe que vous utiliserez ultérieurement lorsque vous importerez le certificat sur d’autres appareils. Cliquez sur Suivant.

  13. Entrez un emplacement et un nom pour le certificat, puis cliquez sur Terminer.

L’installation du certificat est traitée plus loin dans la procédure de déploiement.

Gérer le paramètre de clé privée

Vous devez accorder au compte de service AD FS l’autorisation d’accéder à la clé privée du nouveau certificat. Vous devrez accorder à nouveau cette autorisation lorsque vous remplacerez le certificat de communication après son expiration. Pour accorder l’autorisation, procédez comme suit :

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Tapez MMC.

  3. Dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

  4. Dans la liste composants logiciels enfichables disponibles , sélectionnez certificats, puis cliquez sur Ajouter. L’Assistant composant logiciel enfichable Certificats démarre.

  5. Sélectionnez Un compte d’ordinateur, puis cliquez sur Suivant.

  6. Sélectionnez ordinateur local : (l’ordinateur sur lequel cette console s’exécute), puis cliquez sur Terminer.

  7. Cliquez sur OK.

  8. Développez le dossier console Root\Certificates (ordinateur local) \Personal\Certificates.

  9. Cliquez avec le bouton droit sur le certificat AD FS, cliquez sur toutes les tâches, puis sur gérer les clés privées.

  10. Dans la fenêtre autorisations , cliquez sur Ajouter.

  11. Dans la fenêtre types d’objets , sélectionnez comptes de service, puis cliquez sur OK.

  12. Tapez le nom du compte qui exécute AD FS. Dans l’exemple de test, il s’agit de ADFSService. Cliquez sur OK.

  13. Dans la fenêtre autorisations , accordez au compte au moins des autorisations de lecture, puis cliquez sur OK.

Si vous n’avez pas la possibilité de gérer les clés privées, vous devrez peut-être exécuter la commande suivante : certutil -repairstore my *

Vérifier que AD FS est opérationnel

Pour vérifier que AD FS est opérationnel, ouvrez une fenêtre de navigateur et accédez à https://blueadfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml , en modifiant l’URL en fonction de votre environnement.

La fenêtre du navigateur affiche les métadonnées du serveur de Fédération sans aucune mise en forme. Si vous pouvez voir les données sans erreurs ou avertissements SSL, votre serveur de Fédération est opérationnel.

Étape suivante : déployer dossiers de travail avec AD FS et le proxy d’application Web : étape 3, configurer des dossiers de travail

Voir aussi

Vue d’ensemble des Dossiers de travail