Gérer une approbation de fédération
S’applique à : Exchange Server 2013
Une approbation de fédération établit une relation d’approbation entre une organisation Microsoft Exchange 2013 et le système d’authentification Microsoft Entra et prend en charge le partage fédéré avec d’autres organisations Exchange fédérées. Normalement, vous ne devriez pas avoir à gérer ni à modifier l'approbation de fédération qui a été créée. Toutefois, dans certaines circonstances, il sera peut-être nécessaire d'ajouter ou de supprimer des domaines fédérés ou de redéfinir le domaine utilisé afin de configurer l'identificateur de l'organisation (OrgID) pour l'approbation de fédération.
Remarque
La modification d’une approbation de fédération existante, en particulier le domaine partagé principal utilisé pour définir l’OrgID, peut perturber le partage fédéré entre des organisations Exchange fédérées ou pour des déploiements hybrides avec des organisations Microsoft 365 ou Office 365.
Pour obtenir des tâches de gestion supplémentaires liées à la fédération, consultez Procédures de fédération.
Importante
Cette fonctionnalité d'Exchange Server 2013 n'est pas entièrement compatible avec les systèmes Office 365 exécutés par 21Vianet en Chine et certaines limitations de fonctionnalités peuvent s'appliquer. Pour plus d'informations, voir En savoir plus sur Office 365 exécuté par 21Vianet.
Ce qu'il faut savoir avant de commencer
Durée d'exécution estimée : 30 minutes.
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour connaître les autorisations dont vous avez besoin, consultez l’entrée Autorisations de fédération et de certificats dans la rubrique Autorisations d’infrastructure Exchange et Shell .
Vous devrez ajouter un enregistrement TXT à votre DNS public pour chaque nouveau domaine fédéré ajouté à l'approbation de fédération. Passez en revue les exigences pour l'ajout d'un enregistrement TXT avec l'organisation qui héberge vos enregistrements DNS publics.
Dans cette rubrique, nous avons configuré une approbation de fédération en utilisant les paramètres suivants :
Contoso.com est le domaine partagé principal pour l'approbation de fédération. (Ce domaine ne sera pas modifié.)
Les domaines fédérés service.contoso.com et sales.contoso.com sont inclus dans l'approbation de fédération existante.
Marketing.contoso.com est un domaine accepté dans l'organisation Exchange.
Cette rubrique traite également d'autres tâches de gestion relatives à la fédération, telles que l'affichage et la gestion de certificats utilisés pour l'approbation de fédération et l'affichage d'informations sur les paramètres d'approbation de fédération dans le Shell.
Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.
Utiliser le Centre d’administration Exchange pour gérer une approbation de fédération
Sur un serveur Exchange 2013 de votre organisation locale, accédez aupartaged’organisation>.
Dans la section Approbation de fédération, cliquez sur Modifier.
Dans Domaines activés pour le partage, ignorez l' étape 1, car le domaine partagé principal ne change pas.
À l’étape 2, sélectionnez le domaine service.contoso.com , puis cliquez sur Supprimer pour supprimer le domaine de l’approbation fédérée.
À l’étape 2, cliquez sur Ajouter.
Dans Sélectionner les domaines acceptés, sélectionnez marketing.contoso.com dans la liste des domaines acceptés, puis cliquez sur OK pour ajouter le domaine à l'approbation fédérée.
Importante
Une chaîne de vérification de domaine fédéré sera créée pour le domaine marketing.contoso.com. Vous devez créer un enregistrement TXT distinct sur votre DNS public pour ce domaine.
Utilisez la chaîne de vérification de domaine créée pour le domaine marketing.contoso.com pour créer un enregistrement TXT sur votre serveur DNS public. En fonction de la planification des mises à jour de votre hôte DNS public, la réplication des modifications DNS peut prendre au moins 15 minutes.
Une fois l’enregistrement TXT créé et répliqué, cliquez sur Mettre à jour.
Utiliser l’environnement Shell pour gérer une approbation de fédération
Cet exemple permet de supprimer le domaine service.contoso.com de l’approbation de fédération.
Remove-FederatedDomain -DomainName service.contoso.com
Cet exemple permet d'ajouter le domaine marketing.contoso.com à l'approbation de fédération.
Add-FederatedDomain -DomainName marketing.contoso.com
Pour des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques Remove-FederatedDomain et Add-FederatedDomain.
Exécutez les commandes d'environnement suivantes pour gérer d'autres aspects relatifs à une approbation de fédération :
Afficher l'OrgID fédéré et les domaines fédérés
Cet exemple affiche l'OrgID fédéré de l'organisation Exchange et les informations connexes, comme les domaines fédérés et l'état.
Get-FederatedOrganizationIdentifier
Afficher les certificats de l'approbation de fédération
Cet exemple montre comment afficher les certificats précédents, actuels et suivants utilisés par l’approbation de fédération « Authentification Microsoft Entra ».
Get-FederationTrust "Azure AD authentication" | Select Org*certificate
Vérifier l'état des certificats de fédération
Cet exemple affiche l'état des certificats de fédération sur tous les serveurs de boîtes aux lettres et d'accès au client dans l'organisation.
Test-FederationTrustCertificate
Configurer l'approbation de fédération pour utiliser un certificat comme certificat suivant
Cet exemple configure l’approbation de fédération « Authentification Microsoft Entra » pour utiliser le certificat avec l’empreinte numérique fournie comme certificat suivant. Une fois le certificat déployé sur tous les serveurs Exchange de l’organisation, vous pouvez utiliser le commutateur PublishCertificate pour configurer l’approbation de fédération afin d’utiliser ce certificat comme certificat actuel.
Set-FederationTrust "Azure AD authentication" -Thumbprint AC00F35CBA8359953F4126E0984B5CCAFA2F4F17
Configurer l'approbation de fédération pour utiliser le certificat suivant comme certificat actuel
Cet exemple configure l’authentification Microsoft Entra d’approbation de fédération pour utiliser le certificat suivant comme certificat actuel et le publie dans le système d’authentification Microsoft Entra.
Set-FederationTrust "Azure AD authentication" -PublishFederationCertificate
Avertissement
Avant de configurer l'approbation de fédération afin qu'elle utilise le certificat suivant comme certificat de fédération actuel, assurez-vous que le certificat est déployé sur tous les serveurs Exchange de votre organisation. Utilisez la cmdlet Test-FederationTrustCertificate pour vérifier l'état de déploiement du certificat.
Actualiser les métadonnées de fédération et le certificat à partir du système d’authentification Microsoft Entra
Cet exemple actualise les métadonnées de fédération et le certificat du système d’authentification Microsoft Entra pour l’authentification De l’approbation de fédération Microsoft Entra.
Set-FederationTrust "Azure AD authentication" -RefreshMetadata
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques suivantes :
Remarque
Il existe des considérations supplémentaires si le locataire est hébergé dans l’environnement Office 365 U.S. Government GCC High ou DoD. Dans ces environnements, vous devez exécuter l’applet de commande Set-FederationTrust dans l’environnement Exchange local avec une valeur différente pour le paramètre MetadataUrl . Pour plus d’informations, consultez Set-FederationTrust .
Comment savoir si cela a fonctionné ?
Si vous avez réussi à exécuter toutes les étapes de l’Assistant Domaines activés pour le partage, l’approbation de fédération devrait être correctement configurée.
Pour le vérifier, procédez comme suit :
Exécutez la commande de l'environnement de ligne de commande suivante pour vérifier les informations d'approbation de la fédération.
Get-FederationTrust | format-list
Exécutez la commande de l'environnement de ligne de commande suivante pour vérifier si les informations de la fédération peuvent être récupérées à partir de votre organisation. Par exemple, vérifiez que les domaines sales.contoso.com et marketing.contoso.com sont retournés dans le paramètre DomainNames .
Get-FederationInformation -DomainName <your primary sharing domain>
Conseil
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez les forums sur Exchange Server.