Déployer des dossiers de travail avec AD FS et Proxy d’Application Web : Étape 2, le travail de post-configuration AD FSDeploy Work Folders with AD FS and Web Application Proxy: Step 2, AD FS Post-Configuration Work

S’applique à : Windows Server (canal semi-annuel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Cette rubrique décrit la deuxième étape de déploiement de Dossiers de travail avec les services de fédération Active Directory (AD FS) et le proxy d’application Web.This topic describes the second step in deploying Work Folders with Active Directory Federation Services (AD FS) and Web Application Proxy. Vous pouvez trouver les autres étapes de ce processus dans ces rubriques :You can find the other steps in this process in these topics:

Notes

Les instructions présentées dans cette section concernent un environnement Windows Server 2019 ou Windows Server 2016.The instructions covered in this section are for a Windows Server 2019 or Windows Server 2016 environment. Si vous utilisez Windows Server 2012 R2, suivez les instructions pour Windows Server 2012 R2.If you're using Windows Server 2012 R2, follow the Windows Server 2012 R2 instructions.

À l’étape 1, vous avez installé et configuré les services AD FS.In step 1, you installed and configured AD FS. Vous devez maintenant effectuer les étapes de post-configuration suivantes pour AD FS.Now, you need to perform the following post-configuration steps for AD FS.

Configurer les entrées DNSConfigure DNS entries

Vous devez créer deux entrées DNS pour AD FS.You must create two DNS entries for AD FS. Il s’agit des mêmes entrées que celles qui étaient utilisées dans les étapes de pré-installation lorsque vous avez créé le certificat SAN.These are the same two entries that were used in the pre-installation steps when you created the subject alternative name (SAN) certificate.

Les entrées DNS se présentent sous la forme suivante :The DNS entries are in the form:

  • Service AD FS nom.domaineAD FS service name.domain

  • enterpriseregistration.domainenterpriseregistration.domain

  • nom du serveur AD FS.domaine (l’entrée DNS doit déjà exister.AD FS server name.domain (DNS entry should already exist. par exemple, 2016-ADFS.contoso.com)e.g., 2016-ADFS.contoso.com)

Dans l’exemple de test, les valeurs sont :In the test example, the values are:

  • blueadfs.contoso.comblueadfs.contoso.com

  • enterpriseregistration.contoso.comenterpriseregistration.contoso.com

Créer les enregistrements A et CNAME pour AD FSCreate the A and CNAME records for AD FS

Pour créer des enregistrements A et CNAME pour AD FS, procédez comme suit :To create A and CNAME records for AD FS, follow these steps:

  1. Sur votre contrôleur de domaine, ouvrez le Gestionnaire DNS.On your domain controller, open DNS Manager.

  2. Développez le dossier Zones de recherche directe, cliquez avec le bouton droit sur votre domaine, puis sélectionnez Nouvel hôte (A) .Expand the Forward Lookup Zones folder, right-click on your domain, and select New Host (A).

  3. La fenêtre Nouvel hôte s’ouvre.The New Host window opens. Dans le champ du Nom, entrez l’alias du nom du service AD FS.In the Name field, enter the alias for the AD FS service name. Dans l’exemple de test, ce nom est blueadfs.In the test example, this is blueadfs.

    L’alias doit être identique à l’objet dans le certificat qui a été utilisé pour AD FS.The alias must be the same as the subject in the certificate that was used for AD FS. Par exemple, si l’objet était adfs.contoso.com, l’alias entré ici serait adfs.For example, if the subject was adfs.contoso.com, then the alias entered here would be adfs.

    Important

    Lorsque vous configurez des services AD FS à l’aide de l’interface utilisateur de Windows Server au lieu de Windows PowerShell, vous devez créer un enregistrement A au lieu d’un enregistrement CNAME pour AD FS.When you set up AD FS by using the Windows Server user interface (UI) instead of Windows PowerShell, you must create an A record instead of a CNAME record for AD FS. Cela s’explique par le fait que le nom principal de service (SPN) qui est créé via l’interface utilisateur contient uniquement l’alias qui est utilisé pour configurer le service AD FS en tant qu’hôte.The reason is that the service principal name (SPN) that is created via the UI contains only the alias that is used to set up the AD FS service as the host.

  4. Dans Adresse IP, entrez l’adresse IP du serveur AD FS.In IP address, enter the IP address for the AD FS server. Dans l’exemple de test, cette adresse est 192.168.0.160.In the test example, this is 192.168.0.160. Cliquez sur Ajouter un hôte.Click Add Host.

  5. Dans le dossier Zones de recherche directe, cliquez à nouveau avec le bouton droit sur votre domaine, puis sélectionnez Nouvel Alias (CNAME) .In the Forward Lookup Zones folder, right-click on your domain again, and select New Alias (CNAME).

  6. Dans la fenêtre Nouvel enregistrement de ressource, ajoutez le nom d’alias enterpriseregistration et entrez le nom de domaine complet (FQDN) du serveur AD FS.In the New Resource Record window, add the alias name enterpriseregistration and enter the FQDN for the AD FS server. Cet alias est utilisé pour la jonction d’appareils et doit être appelé enterpriseregistration.This alias is used for Device Join and must be called enterpriseregistration.

  7. Cliquez sur OK.Click OK.

Pour effectuer les mêmes étapes via Windows PowerShell, utilisez la commande suivante.To accomplish the equivalent steps via Windows PowerShell, use the following command. La commande doit être exécutée sur le contrôleur de domaine.The command must be executed on the domain controller.

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name blueadfs -A -IPv4Address 192.168.0.160   
Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name enterpriseregistration -CName  -HostNameAlias 2016-ADFS.contoso.com

Configurer l’approbation de partie de confiance AD FS pour Dossiers de travailSet up the AD FS relying party trust for Work Folders

Vous pouvez installer et configurer l’approbation de partie de confiance pour Dossiers de travail, même si Dossiers de travail n’a pas encore été configuré.You can set up and configure the relying party trust for Work Folders, even though Work Folders hasn't been set up yet. L’approbation de partie de confiance doit être configurée pour permettre à Dossiers de travail d’utiliser les services AD FS.The relying party trust must be set up to enable Work Folders to use AD FS. Dans la mesure où vous êtes en train de configurer AD FS, il s’agit du moment idéal pour effectuer cette étape.Because you're in the process of setting up AD FS, now is a good time to do this step.

Pour configurer l’approbation de partie de confiance :To set up the relying party trust:

  1. Ouvrez le Gestionnaire de serveur, puis dans le menu Outils, sélectionnez Gestion AD FS.Open Server Manager, on the Tools menu, select AD FS Management.

  2. Dans le volet droit, sous Actions, cliquez sur Ajouter une approbation de partie de confiance.In the right-hand pane, under Actions, click Add Relying Party Trust.

  3. Dans la page Bienvenue, sélectionnez Prise en charge des revendications et cliquez sur Démarrer.On the Welcome page, select Claims aware and click Start.

  4. Dans la page Sélectionner une source de données, sélectionnez Entrer manuellement les données concernant la partie de confiance, puis cliquez sur Suivant.On the Select Data Source page, select Enter data about the relying party manually, and then click Next.

  5. Dans le champ Nom complet, tapez WorkFolders, puis cliquez sur Suivant.In the Display name field, enter WorkFolders, and then click Next.

  6. Dans la page Configurer le certificat, cliquez sur Suivant.On the Configure Certificate page, click Next. Les certificats de chiffrement de jetons sont facultatifs et ne sont pas nécessaires pour la configuration de test.The token encryption certificates are optional, and are not needed for the test configuration.

  7. Dans la page Configurer l’URL, cliquez sur Suivant.On the Configure URL page, click Next.

  8. Sur le configurer les identificateurs page, ajoutez l’identificateur suivant : https://windows-server-work-folders/V1.On the Configure Identifiers page, add the following identifier: https://windows-server-work-folders/V1. Cet identificateur est une valeur codée en dur utilisée par Dossiers de travail, et il est envoyé par le service Dossiers de travail lorsqu’il communique avec AD FS.This identifier is a hard-coded value used by Work Folders, and is sent by the Work Folders service when it is communicating with AD FS. Cliquez sur Suivant.Click Next.

  9. Dans la page Sélectionner une stratégie de contrôle d’accès, sélectionnez Autoriser tout le monde, puis cliquez sur Suivant.On the Choose Access Control Policy page, select Permit Everyone, and then click Next.

  10. Dans la page Prêt à ajouter l'approbation , cliquez sur Suivant.On the Ready to Add Trust page, click Next.

  11. Une fois la configuration terminée, la dernière page de l’assistant indique que la configuration a réussi.After the configuration is finished, the last page of the wizard indicates that the configuration was successful. Cochez la case permettant de modifier les règles de revendication, puis cliquez sur Fermer.Select the checkbox for editing the claims rules, and click Close.

  12. Dans le composant logiciel enfichable AD FS, sélectionnez l’approbation de partie de confiance WorkFolders, puis cliquez sur Éditer la stratégie d’émission de revendication dans Actions.In the AD FS snap-in, select the WorkFolders relying party trust and click Edit Claim Issuance Policy under Actions.

  13. La fenêtre Éditer la stratégie d’émission de revendication pour WorkFolders s’ouvre.The Edit Claim Issuance Policy for WorkFolders window opens. Cliquez sur Ajouter une règle.Click Add rule.

  14. Dans la liste déroulante Modèle de règle de revendication, sélectionnez Envoyer les attributs LDAP en tant que revendications, puis cliquez sur Suivant.In the Claim rule template drop-down list, select Send LDAP Attributes as Claims, and click Next.

  15. Dans la page Configurer la règle de revendication, dans le champ Nom de la règle de revendication, tapez WorkFolders.On the Configure Claim Rule page, in the Claim rule name field, enter WorkFolders.

  16. Dans la liste déroulante Magasin d’attributs, sélectionnez Active Directory.In the Attribute store drop-down list, select Active Directory.

  17. Dans la table de mappage, entrez ces valeurs :In the mapping table, enter these values:

    • Principal-nom d’utilisateur : UPNUser-Principal-Name: UPN

    • Nom complet : NomDisplay Name: Name

    • Nom de famille : NomSurname: Surname

    • Given Name : PrénomGiven-Name: Given Name

  18. Cliquez sur Terminer.Click Finish. La règle WorkFolders sera répertoriée sous l’onglet Règles de transformation d’émission. Cliquez ensuite sur OK.You'll see the WorkFolders rule listed on the Issuance Transform Rules tab and click OK.

Définir les options d’approbation de partie de confianceSet relying part trust options

Après que l’approbation de partie de confiance a été configurée pour AD FS, vous devez terminer la configuration en exécutant cinq commandes dans Windows PowerShell.After the relying party trust has been set up for AD FS, you must finish the configuration by running five commands in Windows PowerShell. Ces commandes définissent les options nécessaires pour que Dossiers de travail puisse communiquer correctement avec AD FS, et elles ne peuvent pas être définies via l’interface utilisateur.These commands set options that are needed for Work Folders to communicate successfully with AD FS, and can't be set through the UI. Ces options sont les suivantes :These options are:

  • Activer l’utilisation des clés d’authentification Web JSON (JWT)Enable the use of JSON web tokens (JWTs)

  • Désactiver les revendications chiffréesDisable encrypted claims

  • Activer la mise à jour automatiqueEnable auto-update

  • Définir l’émission de jetons d’actualisation Oauth sur tous les appareils.Set the issuing of Oauth refresh tokens to All Devices.

  • Accorder l’accès à l’approbation de partie de confiance aux clientsGrant clients access to the relying party trust

Pour définir ces options, utilisez les commandes suivantes :To set these options, use the following commands:

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -EnableJWT $true   
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -Encryptclaims $false   
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -AutoupdateEnabled $true   
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -IssueOAuthRefreshTokensTo AllDevices
Grant-AdfsApplicationPermission -ServerRoleIdentifier "https://windows-server-work-folders/V1" -AllowAllRegisteredClients -ScopeNames openid,profile  

Activer Workplace JoinEnable Workplace Join

L’activation de Workplace Join est facultative, mais peut être utile lorsque vous souhaitez que les utilisateurs soient en mesure d’utiliser leurs appareils personnels pour accéder aux ressources de l’espace de travail.Enabling Workplace Join is optional, but can be useful when you want users to be able to use their personal devices to access workplace resources.

Pour activer l’inscription de l’appareil à Workplace Join, vous devez exécuter les commandes Windows PowerShell suivantes, qui permettront de configurer l’inscription de l’appareil et de définir la stratégie d’authentification globale :To enable device registration for Workplace Join, you must run the following Windows PowerShell commands, which will configure device registration and set the global authentication policy:

Initialize-ADDeviceRegistration -ServiceAccountName <your AD FS service account>
    Example: Initialize-ADDeviceRegistration -ServiceAccountName contoso\adfsservice$
Set-ADFSGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true   

Exporter le certificat AD FSExport the AD FS certificate

Ensuite, exportez le certificat AD FS auto-signé pour qu’il puisse être installé sur les ordinateurs suivants dans l’environnement de test :Next, export the self-signed AD FS certificate so that it can be installed on the following machines in the test environment:

  • Le serveur qui est utilisé pour Dossiers de travailThe server that is used for Work Folders

  • Le serveur qui est utilisé pour le proxy d’application WebThe server that is used for Web Application Proxy

  • Le client Windows joint au domaineThe domain-joined Windows client

  • Le client Windows qui n’est pas joint au domaineThe non-domain-joined Windows client

Pour exporter le certificat, procédez comme suit :To export the certificate, follow these steps:

  1. Cliquez sur Démarrer, puis sur Exécuter.Click Start, and then click Run.

  2. Tapez MMC.Type MMC.

  3. Dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable.On the File menu, click Add/Remove Snap-in.

  4. Dans la zone Composants logiciels enfichables disponibles, cliquez sur Certificats, puis sur Ajouter.In the Available snap-ins list, select Certificates, and then click Add. L’assistant Composant logiciel enfichable Certificats démarre.The Certificates Snap-in Wizard starts.

  5. Sélectionnez Un compte d’ordinateur, puis cliquez sur Suivant.Select Computer account, and then click Next.

  6. Sélectionnez Ordinateur local (l’ordinateur sur lequel cette console s’exécute) , puis cliquez sur Terminer.Select Local computer: (the computer this console is running on), and then click Finish.

  7. Cliquez sur OK.Click OK.

  8. Développez le dossier Racine de la console\Certificats(Ordinateur local)\Personnel\Certificats.Expand the folder Console Root\Certificates(Local Computer)\Personal\Certificates.

  9. Cliquez avec le bouton droit sur le certificat AD FS, cliquez sur Toutes les tâches, puis sélectionnez Exporter... .Right-click the AD FS certificate, click All Tasks, and then click Export....

  10. L'Assistant Exportation de certificat s'ouvre.The Certificate Export Wizard opens. Sélectionnez Oui, exporter la clé privée.Select Yes, export the private key.

  11. Dans la page Format de fichier d’exportation, conservez les sélections par défaut, puis cliquez sur Suivant.On the Export File Format page, leave the default options selected, and click Next.

  12. Créez un mot de passe pour le certificat.Create a password for the certificate. Il s’agit du mot de passe que vous utiliserez ultérieurement lorsque vous importerez le certificat vers d’autres appareils.This is the password that you'll use later when you import the certificate to other devices. Cliquez sur Suivant.Click Next.

  13. Indiquez un emplacement et un nom pour le certificat, puis cliquez sur Terminer.Enter a location and name for the certificate, and then click Finish.

L’installation du certificat est traitée plus loin dans la procédure de déploiement.Installation of the certificate is covered later in the deployment procedure.

Gérer le paramètre de clé privéManage the private key setting

Vous devez accorder au compte de service AD FS l’autorisation d’accéder à la clé privée du nouveau certificat.You must give the AD FS service account permission to access the private key of the new certificate. Vous devrez de nouveau accorder cette autorisation lorsque vous remplacerez le certificat de communication après son expiration.You will need to grant this permission again when you replace the communication certificate after it expires. Pour accorder l’autorisation, procédez comme suit :To grant permission, follow these steps:

  1. Cliquez sur Démarrer, puis sur Exécuter.Click Start, and then click Run.

  2. Tapez MMC.Type MMC.

  3. Dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable.On the File menu, click Add/Remove Snap-in.

  4. Dans la zone Composants logiciels enfichables disponibles, cliquez sur Certificats, puis sur Ajouter.In the Available snap-ins list, select Certificates, and then click Add. L’assistant Composant logiciel enfichable Certificats démarre.The Certificates Snap-in Wizard starts.

  5. Sélectionnez Un compte d’ordinateur, puis cliquez sur Suivant.Select Computer account, and then click Next.

  6. Sélectionnez Ordinateur local (l’ordinateur sur lequel cette console s’exécute) , puis cliquez sur Terminer.Select Local computer: (the computer this console is running on), and then click Finish.

  7. Cliquez sur OK.Click OK.

  8. Développez le dossier Racine de la console\Certificats(Ordinateur local)\Personnel\Certificats.Expand the folder Console Root\Certificates(Local Computer)\Personal\Certificates.

  9. Cliquez avec le bouton droit sur le certificat AD FS, cliquez sur Toutes les tâches, puis cliquez sur Gérer les clés privées.Right-click the AD FS certificate, click All Tasks, and then click Manage Private Keys.

  10. Dans la fenêtre Autorisations, cliquez sur Ajouter.In the Permissions window, click Add.

  11. Dans la fenêtre Types d’objets, sélectionnez Comptes de service , puis cliquez sur OK.In the Object Types window, select Service Accounts, and then click OK.

  12. Tapez le nom du compte qui exécute les services AD FS.Type the name of the account that is running AD FS. Dans l’exemple de test, ce nom est ADFSService.In the test example, this is ADFSService. Cliquez sur OK.Click OK.

  13. Dans la fenêtre Autorisations, accordez au moins les autorisations de lecture au compte, puis cliquez sur OK.In the Permissions window, give the account at least read permissions, and click OK.

Si vous n’avez pas l’option pour gérer les clés privées, vous devrez peut-être exécuter la commande suivante : certutil -repairstore my *If you don't have the option to manage private keys, you might need to run the following command: certutil -repairstore my *

Vérifiez que les services AD FS sont opérationnelsVerify that AD FS is operational

Pour vérifier que les services AD FS est opérationnel, ouvrez une fenêtre de navigateur et accédez à https://blueadfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml, modification de l’URL pour correspondre à votre environnement.To verify that AD FS is operational, open a browser window and go to https://blueadfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml, changing the URL to match your environment.

La fenêtre du navigateur affiche les métadonnées du serveur de fédération sans mise en forme.The browser window will display the federation server metadata without any formatting. Si les données s’affichent sans avertissements ou erreurs SSL, votre serveur de fédération est opérationnel.If you can see the data without any SSL errors or warnings, your federation server is operational.

Étape suivante : Déployer des dossiers de travail avec AD FS et Proxy d’Application Web : Étape 3, configurer des dossiers de travailNext step: Deploy Work Folders with AD FS and Web Application Proxy: Step 3, Set Up Work Folders

Voir aussiSee Also

Vue d’ensemble des dossiers de travailWork Folders Overview