Partager via


Configurer une approbation de fédération

S’applique à : Exchange Server 2013

Une approbation de fédération établit une relation d’approbation entre une organisation Microsoft Exchange 2013 et le système d’authentification Microsoft Entra. En configurant une approbation de fédération, vous pouvez configurer le partage fédéré avec d'autres organisations Exchange fédérées, afin de permettre le partage d'informations de disponibilité de calendrier entre les destinataires. Le partage fédéré peut être configuré entre deux organisations Exchange 2013 fédérées ou entre une organisation Exchange 2013 fédérée et des organisations Exchange 2010 fédérées. Vous pouvez également configurer le partage avec une organisation Microsoft 365 ou Office 365.

Remarque

La création d'une approbation de fédération fait partie des étapes permettant de configurer le partage fédéré dans votre organisation Exchange. Pour consulter toutes les étapes, voir Configurer le partage fédéré.

Pour obtenir des tâches de gestion supplémentaires liées à la fédération, consultez Procédures de fédération.

Importante

Cette fonctionnalité d'Exchange Server 2013 n'est pas entièrement compatible avec les systèmes Office 365 exécutés par 21Vianet en Chine et certaines limitations de fonctionnalités peuvent s'appliquer. Pour plus d’informations, voir Office 365 géré par 21Vianet.

Ce qu'il faut savoir avant de commencer

  • Durée d'exécution estimée : 30 minutes.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée d'autorisations de « Fédération et certificats » dans la rubrique Autorisations d'infrastructure Exchange et Shell.

  • Le domaine utilisé pour établir une approbation de fédération doit pouvoir être résolu depuis Internet. Il faut donc que le domaine soit inscrit au bureau d'enregistrement de domaines et que la zone DNS (Domain Name System) pour le domaine soit hébergée sur un serveur DNS accessible depuis Internet. Si l'organisation reçoit du courrier Internet pour le domaine, ces critères sont déjà satisfaits.

  • Vous devrez ajouter un enregistrement TXT à votre DNS public. Passez en revue les exigences pour l'ajout d'un enregistrement TXT avec l'organisation qui héberge vos enregistrements DNS publics.

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.

  • Les deux organisations Exchange dans une relation de partage fédérée doivent utiliser le même système d’authentification Microsoft Entra pour leurs approbations de fédération. Cette exigence s’applique lors de la configuration du partage fédéré entre deux organisations Exchange locales ou entre une organisation Exchange locale et une organisation Exchange hébergée par Microsoft 365 ou Office 365.

  • Lorsque vous créez une approbation de fédération avec le système d’authentification Microsoft Entra pour votre organisation Exchange 2013, l’approbation de fédération utilise l’instance métier du système d’authentification Microsoft Entra. Toutefois, d’autres organisations Exchange fédérées avec des versions antérieures d’Exchange et des approbations de fédération existantes peuvent utiliser l’instance professionnelle ou consommateur du système d’authentification Microsoft Entra.

    Les organisations Exchange suivantes utilisent l’instance métier du système d’authentification Microsoft Entra par défaut :

    • Les organisations Exchange 2013 via l'Assistant Activer l'approbation de fédération et les certificats auto-signés pour une approbation de fédération.
    • Les organisations Exchange 2010 SP1 ou version ultérieure via l'Assistant Nouvelle approbation de fédération et les certificats auto-signés pour une approbation de fédération.
    • Organisations Exchange hébergées par Microsoft 365 et Office 365.

    Les organisations Exchange suivantes utilisent l’instance consommateur du système d’authentification Microsoft Entra par défaut :

    • La version finalisée (RTM) des organisations Exchange 2010 via les certificats émis par des autorités de certification tierces.

    Nous recommandons que toutes les organisations Exchange utilisent l’instance métier du système d’authentification Microsoft Entra pour les approbations de fédération. Avant de configurer le partage fédéré entre les deux organisations Exchange, vous devez vérifier quelle instance de système d’authentification Microsoft Entra chaque organisation Exchange utilise pour toutes les approbations de fédération existantes. Pour déterminer l’instance de système d’authentification Microsoft Entra qu’une organisation Exchange utilise pour une approbation de fédération existante, exécutez la commande Shell suivante.

    Get-FederationInformation -DomainName <hosted Exchange domain namespace>
    

    L’instance métier retourne une valeur de <uri:federation:MicrosoftOnline> pour le paramètre TokenIssuerURIs .

    L’instance du consommateur retourne la valeur pour <uri:WindowsLiveID> le paramètre TokenIssuerURIs .

    Pour configurer le partage fédéré avec une organisation Exchange disposant d’une approbation de fédération existante qui utilise l’instance métier du système d’authentification Microsoft Entra, suivez les étapes décrites dans cette rubrique. Ces étapes sont tout ce que vous devez effectuer pour créer des approbations de fédération qui peuvent être utilisées pour activer le partage fédéré entre deux organisations Exchange 2013 ou entre une organisation Exchange 2013 et une organisation Exchange 2010 qui utilise déjà l’instance métier du système d’authentification Microsoft Entra.

    Pour configurer le partage fédéré entre votre organisation Exchange 2013 et une organisation Exchange qui dispose d’une approbation de fédération existante qui utilise l’instance consommateur du système d’authentification Microsoft Entra , l’organisation Exchange utilisant l’instance de consommateur doit installer Exchange 2010 SP2 ou version ultérieure, ou effectuer une mise à niveau vers Exchange 2013. Si vous décidez d'installer Exchange 2010 SP2 ou version ultérieure, utilisez l'Assistant Nouvelle approbation de fédération pour supprimer et recréer les domaines fédérés et les approbations de fédération existants. Lorsque les approbations de fédération sont recrées, l’instance métier du système d’authentification Microsoft Entra est utilisée.

Utiliser le Centre d’administration Exchange (EAC) pour créer et configurer une approbation de fédération

  1. Sur un serveur Exchange 2013 de votre organisation locale, accédez à Partage d’organisation>.

  2. Cliquez sur Activer pour démarrer l'Assistant Activer l'approbation de fédération.

  3. Une fois l'Assistant terminé, cliquez sur Fermer.

  4. Dans la section Approbation de fédération de l'onglet Partage, cliquez sur Modifier.

  5. Dans Domaines activés pour le partage, en regard de Étape 1, cliquez sur Parcourir.

  6. Dans Sélectionner les domaines acceptés, sélectionnez dans la liste le domaine partagé principal, puis cliquez sur OK.

    Remarque

    Le domaine que vous sélectionnez sera utilisé pour configurer l'identificateur d'organisation pour l'approbation fédérée. Pour plus d'informations sur l'identificateur d'organisation, voir Fédération.

  7. Notez la preuve de domaine fédéré qui est générée pour le domaine partagé principal. Vous utiliserez cette chaîne pour créer un enregistrement TXT sur votre serveur DNS public.

    Importante

    La preuve de domaine fédéré est une chaîne de caractères alphanumériques. Pour éviter les erreurs d’entrée, nous vous recommandons de copier la chaîne à partir du CAE et de la coller dans un éditeur de texte tel que le Bloc-notes. Vous pouvez alors la copier de l'éditeur de texte vers le Presse-papiers, puis la coller dans le champ Texte lors de la création de l'enregistrement TXT. Si l’enregistrement TXT est créé à l’aide d’une chaîne de preuve de domaine fédéré incorrecte, le système d’authentification Microsoft Entra ne pourra pas vérifier la preuve de la propriété du domaine et vous ne pourrez pas l’ajouter à l’identificateur de l’organisation fédérée.

  8. À l’étape 2, cliquez sur Ajouterune icône Ajouter. pour ajouter des domaines supplémentaires à l’approbation fédérée pour les adresses de messagerie qui seront utilisées par les utilisateurs de votre organisation qui nécessitent des fonctionnalités de partage fédéré. Par exemple, si vous avez des utilisateurs qui utilisent un sous-domaine dans leur adresse e-mail, comme sales.contoso.com, vous devez ajouter le domaine sales.contoso.com à l’approbation de fédération.

    Remarque

    Une chaîne de preuve de domaine fédéré sera créée pour chaque domaine supplémentaire sélectionné. Vous devez créer des enregistrements TXT distincts sur votre DNS public pour chaque domaine supplémentaire.

  9. À l'aide des chaînes de preuve de domaine fédéré créées pour chaque domaine, créez des enregistrements TXT pour chacun de ces domaines sur votre serveur DNS public. En fonction de la planification des mises à jour de votre hôte DNS public, la réplication des modifications DNS peut prendre au moins 15 minutes.

  10. Une fois les enregistrements TXT créés et répliqués, cliquez sur Mettre à jour.

Utiliser l’environnement de ligne de commande Exchange Management Shell pour créer et configurer une approbation de fédération

  1. Exécutez cette commande pour créer un identificateur de clé d’objet unique pour le certificat d’approbation de fédération :

    $ski = [System.Guid]::NewGuid().ToString("N")
    
  2. Utilisez cette syntaxe pour créer un certificat auto-signé pour l’approbation de fédération :

    New-ExchangeCertificate -FriendlyName "<Descriptive Name>" -DomainName <domain> -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
    

    Cet exemple crée un certificat auto-signé pour l’approbation de fédération avec le système d’authentification Microsoft Entra. Le certificat utilise la valeur de nom convivial Partage fédéré Exchange, et la valeur de domaine est récupérée à partir de la variable d’environnement USERDNSDOMAIN .

    New-ExchangeCertificate -FriendlyName "Exchange Federated Sharing" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
    
  3. Pour créer l’approbation de fédération et déployer automatiquement le certificat auto-signé que vous avez créé à l’étape précédente sur les serveurs Exchange de votre organisation, utilisez la syntaxe suivante :

    Get-ExchangeCertificate | ?{$_.FriendlyName -eq "<FriendlyName>"} | New-FederationTrust -Name "<Descriptive Name>"
    

    Cet exemple crée l’approbation de fédération nommée authentification Microsoft Entra et déploie le certificat auto-signé nommé Partage fédéré Exchange.

    Get-ExchangeCertificate | ?{$_.FriendlyName -eq "Exchange Federated Sharing"} | New-FederationTrust -Name "Azure AD Authentication"
    
  4. Utilisez cette syntaxe pour renvoyer l’enregistrement TXT de preuve de propriété de domaine requis pour tout domaine que vous allez configurer pour l’approbation de fédération.

    Get-FederatedDomainProof -DomainName <domain>
    

    Cet exemple retourne l’enregistrement TXT de preuve de propriété de domaine requis pour le domaine partagé principal contoso.com.

    Get-FederatedDomainProof -DomainName contoso.com
    

    Remarques :

    • Chaque domaine ou sous-domaine configuré pour l’approbation de fédération nécessite une preuve d’enregistrement TXT de propriété de domaine. Vous devrez peut-être exécuter cette commande plusieurs fois à l’aide de différentes valeurs DomainName .

    • Nous vous recommandons de copier la chaîne de preuve de domaine en cliquant avec le bouton droit dans l’interpréteur de commandes, en sélectionnant Marquer, en sélectionnant la valeur Preuve , puis en appuyant sur Entrée pour pouvoir l’utiliser lorsque vous créez l’enregistrement TXT. Si vous créez l’enregistrement TXT avec une chaîne de preuve de domaine fédéré incorrecte, le système d’authentification Microsoft Entra ne peut pas vérifier votre propriété du domaine et vous ne pourrez pas l’ajouter à l’identificateur de l’organisation fédérée.

  5. À l’aide des informations de l’étape précédente, créez des enregistrements TXT sur votre serveur DNS public dans chaque domaine qui sera inclus dans l’approbation de fédération. En fonction de la planification des mises à jour de votre hôte DNS public, la réplication des modifications DNS peut prendre au moins 15 minutes. Continuez une fois que vous avez vérifié que les nouveaux enregistrements TXT sont disponibles.

    Importante

    L’enregistrement TXT doit être créé pour chaque domaine fédéré/partagé. S’il s’agit d’un environnement hybride, tous les domaines acceptés validés dans Exchange Online doivent avoir des enregistrements TXT créés.

  6. Exécutez cette commande pour récupérer les métadonnées et le certificat à partir de l’ID Microsoft Entra :

    Set-FederationTrust -RefreshMetadata -Identity "Azure AD authentication"
    
  7. Utilisez cette syntaxe pour configurer le domaine partagé principal pour l’approbation de fédération que vous avez créée à l’étape 3. Le domaine que vous spécifiez sera utilisé pour configurer l’identificateur d’organisation (OrgID) pour l’approbation de fédération. Pour plus d’informations sur l’Id d’organisation, consultez Identificateur d’organisation fédérée.

    Set-FederatedOrganizationIdentifier -DelegationFederationTrust "<Federation Trust Name>" -AccountNamespace <Accepted Domain> -Enabled $true
    

    Cet exemple configure le domaine accepté contoso.com comme domaine partagé principal pour l’approbation de fédération nommée authentification Microsoft Entra.

    Set-FederatedOrganizationIdentifier -DelegationFederationTrust "Azure AD authentication" -AccountNamespace contoso.com -Enabled $true
    
  8. Pour ajouter d’autres domaines à l’approbation de fédération, utilisez la syntaxe suivante :

    Add-FederatedDomain -DomainName <AdditionalDomain>
    

    Cet exemple ajoute le sous-domaine sales.contoso.com à l’approbation fédérée, car les utilisateurs avec des adresses e-mail dans le domaine sales.contoso.com nécessitent des fonctionnalités de partage fédéré.

    Add-FederatedDomain -DomainName sales.contoso.com
    

    N’oubliez pas que tout domaine ou sous-domaine que vous ajoutez à l’approbation de fédération nécessite une preuve d’enregistrement TXT de propriété de domaine,

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez New-ExchangeCertificate, New-FederationTrust, Get-FederatedDomainProof, Set-FederationTrust, Set-FederatedOrganizationIdentifier et Add-FederatedDomain.

Comment savoir si cela a fonctionné ?

L’exécution réussie des Assistants Activer l’approbation de fédération et Domaines activés pour le partage constitue la première indication que l’approbation de fédération a été configurée comme prévu.

Pour vérifier que vous avez correctement créé et configuré l'approbation de fédération, procédez comme suit :

  1. Exécutez la commande de l'environnement de ligne de commande suivante pour vérifier les informations d'approbation de la fédération.

    Get-FederationTrust | Format-List
    
  2. Remplacez PrimarySharedDomain> par< votre domaine partagé principal et exécutez la commande Shell suivante pour vérifier que les informations de fédération peuvent être récupérées à partir de votre organisation.

    Get-FederationInformation -DomainName <PrimarySharedDomain>
    

Pour des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques Get-FederationTrust et Get-FederationInformation.

Conseil

Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez les forums sur Exchange Server.