Partager via


Fédérer plusieurs instances de Microsoft Entra ID avec une seule instance d’AD FS

Une seule batterie de serveurs AD FS à haute disponibilité peut fédérer plusieurs forêts si elles ont une relation de confiance bidirectionnelle entre elles. Ces multiples forêts peuvent ou non correspondre au même identifiant Microsoft Entra. Cet article fournit des instructions sur la configuration de la Fédération entre un déploiement AD FS unique et plusieurs instances de Microsoft Entra ID.

Fédération multi-locataire avec une seule instance d’AD FS

Note

L’écriture différée sur les appareils et la jonction automatique d’appareils ne sont pas prises en charge dans ce scénario.

Note

Microsoft Entra Connect ne peut pas être utilisé pour configurer la fédération dans ce scénario, car Microsoft Entra Connect peut configurer la fédération pour les domaines dans un seul Microsoft Entra ID.

Étapes de fédération d’AD FS avec plusieurs ID Microsoft Entra

Prenons un domaine contoso.com dans Microsoft Entra : contoso.onmicrosoft.com est déjà fédéré à AD FS local installé dans l’environnement Active Directory local contoso.com. Fabrikam.com est un domaine dans Microsoft Entra ID fabrikam.onmicrosoft.com.

Étape 1 : Établir une relation d’approbation bidirectionnelle

Pour qu’AD FS dans contoso.com puisse authentifier les utilisateurs de fabrikam.com, une approbation bidirectionnelle est nécessaire entre contoso.com et fabrikam.com. Suivez les instructions de cet article pour créer l’approbation bidirectionnelle.

Étape 2 : Modifier les paramètres de fédération contoso.com

L’émetteur par défaut défini pour un seul domaine fédéré sur AD FS est "http://ADFSServiceFQDN/adfs/services/trust" (par exemple, http://fs.contoso.com/adfs/services/trust). Microsoft Entra ID nécessite un émetteur unique pour chaque domaine fédéré. Étant donné que AD FS va fédérer deux domaines, la valeur de l’émetteur doit être modifiée afin qu’elle soit unique.

Note

Les modules PowerShell Azure AD et MSOnline seront obsolètes à compter du 30 mars 2024. Pour en savoir plus, lisez les informations de dépréciation. Passé cette date, la prise en charge de ces modules est limitée à une assistance de migration vers le SDK et les correctifs de sécurité Microsoft Graph PowerShell. Les modules obsolètes continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour toutes questions liées à la migration, consultez la FAQ sur la migration. Remarque : les versions 1.0.x de MSOnline peuvent connaître une interruption après le 30 juin 2024.

Sur le serveur AD FS, ouvrez Azure AD PowerShell (assurez-vous que le module MSOnline est installé) et effectuez les étapes suivantes :

Connectez-vous à l’instance Microsoft Entra ID qui contient le domaine contoso.com.

Connect-MsolService

Mettez à jour les paramètres de fédération pour contoso.com :

Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain

L’émetteur du paramètre de fédération de domaines est modifié en http://contoso.com/adfs/services/trust et une règle de revendication d’émission est ajoutée pour que l’approbation de la partie de confiance Microsoft Entra ID émette la valeur issuerId correspondant au suffixe UPN.

Étape 3 : Fédérer fabrikam.com avec AD FS

Dans la session PowerShell Azure AD, procédez comme suit : Connectez-vous au Microsoft Entra ID qui contient le domaine fabrikam.com

Connect-MsolService

Convertissez le domaine managé fabrikam.com en un domaine fédéré :

Convert-MsolDomainToFederated -DomainName fabrikam.com -Verbose -SupportMultipleDomain

L’opération précédente fédère le domaine fabrikam.com avec le même AD FS. Vous pouvez vérifier les paramètres de domaine en utilisant Get-MsolDomainFederationSettings pour les deux domaines.

Étapes suivantes

Connectez Active Directory avec Microsoft Entra ID