Partager via

Configurer AD FS pour Microsoft 365 pour Sign-On

  • Article
  • S’applique à:
    Microsoft 365

Cette vidéo montre comment configurer Active Directory Federation Service (AD FS) pour qu’il fonctionne avec Microsoft 365. Il ne couvre pas le scénario de serveur proxy AD FS. Cette vidéo décrit AD FS pour Windows Server 2012 R2. Toutefois, la procédure s’applique également à AD FS 2.0, à l’exception des étapes 1, 3 et 7. Dans chacune de ces étapes, consultez la section « Notes pour AD FS 2.0 » pour plus d’informations sur l’utilisation de cette procédure dans Windows Server 2008.

Notes utiles pour les étapes de la vidéo

Étape 1 : Installer les services de fédération Active Directory

Ajoutez AD FS à l’aide de l’Assistant Ajout de rôles et de fonctionnalités.

Remarques relatives à AD FS 2.0

Si vous utilisez Windows Server 2008, vous devez télécharger et installer AD FS 2.0 pour pouvoir utiliser Microsoft 365. Vous pouvez obtenir AD FS 2.0 à partir du site web du Centre de téléchargement Microsoft suivant :

Active Directory Federation Services 2.0 RTW

Après l’installation, utilisez Windows Update pour télécharger et installer toutes les mises à jour applicables.

Étape 2 : Demander un certificat à une autorité de certification tierce pour le nom du serveur de fédération

Microsoft 365 nécessite un certificat approuvé sur votre serveur AD FS. Par conséquent, vous devez obtenir un certificat auprès d’une autorité de certification tierce.

Lorsque vous personnalisez la demande de certificat, veillez à ajouter le nom du serveur de fédération dans le champ Nom commun .

Dans cette vidéo, nous expliquons uniquement comment générer une demande de signature de certificat (CSR). Vous devez envoyer le fichier CSR à une autorité de certification tierce. L’autorité de certification vous retourne un certificat signé. Ensuite, procédez comme suit pour importer le certificat dans le magasin de certificats de votre ordinateur :

  1. Exécutez Certlm.msc pour ouvrir le magasin de certificats de l’ordinateur local.
  2. Dans le volet de navigation, développez Personnel, Certificat, cliquez avec le bouton droit sur le dossier Certificat, puis cliquez sur Importer.

À propos du nom du serveur de fédération

Le nom du service de fédération est le nom de domaine accessible sur Internet de votre serveur AD FS. L’utilisateur Microsoft 365 est redirigé vers ce domaine pour l’authentification. Par conséquent, veillez à ajouter un enregistrement A public pour le nom de domaine.

Étape 3 : Configurer AD FS

Vous ne pouvez pas taper manuellement un nom comme nom du serveur de fédération. Le nom est déterminé par le nom de l’objet (nom commun) d’un certificat dans le magasin de certificats de l’ordinateur local.

Remarques relatives à AD FS 2.0

Dans AD FS 2.0, le nom du serveur de fédération est déterminé par le certificat lié au « site web par défaut » dans les services IIS (Internet Information Services). Vous devez lier le nouveau certificat au site web par défaut avant de configurer AD FS.

Vous pouvez utiliser n’importe quel compte comme compte de service. Si le mot de passe du compte de service a expiré, AD FS cesse de fonctionner. Par conséquent, assurez-vous que le mot de passe du compte est défini pour ne jamais expirer.

Étape 4 : Télécharger les outils Microsoft 365

Le module Windows Azure Active Directory pour Windows PowerShell et l’appliance Azure Active Directory Sync sont disponibles dans le portail Microsoft 365. Pour obtenir les outils, cliquez sur Utilisateurs actifs, puis sur Authentification unique : Configurer.

Étape 5 : Ajouter votre domaine à Microsoft 365

La vidéo n’explique pas comment ajouter et vérifier votre domaine à Microsoft 365. Pour plus d’informations sur cette procédure, consultez Vérifier votre domaine dans Microsoft 365.

Étape 6 : Connecter AD FS à Microsoft 365

Pour connecter AD FS à Microsoft 365, exécutez les commandes suivantes dans le module d’annuaire Windows Azure pour Windows PowerShell.

Note Dans la Set-MsolADFSContext commande , spécifiez le nom de domaine complet du serveur AD FS dans votre domaine interne au lieu du nom du serveur de fédération.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>

Remarque

Les modules PowerShell Azure AD et MSOnline seront obsolètes à compter du 30 mars 2024. Pour en savoir plus, consultez la mise à jour sur l’obsolescence. Après cette date, la prise en charge de ces modules sera limitée à l’assistance à la migration vers le kit de développement logiciel Microsoft Graph PowerShell et aux correctifs de sécurité. Les modules obsolètes continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour toutes questions liées à la migration, consultez la FAQ sur la migration. Remarque : les versions 1.0.x de MSOnline pourront subir des perturbations après le 30 juin 2024.

Si les commandes s’exécutent correctement, vous devez voir les éléments suivants :

  • Une approbation de partie de confiance « Plateforme d’identification Microsoft 365 » est ajoutée à votre serveur AD FS.
  • Les utilisateurs qui utilisent le nom de domaine personnalisé comme suffixe d’adresse e-mail pour se connecter au portail Microsoft 365 sont redirigés vers votre serveur AD FS.

Étape 7 : Synchroniser les comptes d’utilisateur Active Directory locaux avec Microsoft 365

Si votre nom de domaine interne diffère du nom de domaine externe utilisé comme suffixe d’adresse e-mail, vous devez ajouter le nom de domaine externe en tant que suffixe UPN alternatif dans le domaine Active Directory local. Par exemple, le nom de domaine interne est « company.local », mais le nom de domaine externe est « company.com ». Dans ce cas, vous devez ajouter « company.com » comme suffixe UPN de remplacement.

Synchronisez les comptes d’utilisateur avec Microsoft 365 à l’aide de l’outil de synchronisation d’annuaires.

Remarques relatives à AD FS 2.0

Si vous utilisez AD FS 2.0, vous devez modifier l’UPN du compte d’utilisateur de « company.local » en « company.com » avant de synchroniser le compte avec Microsoft 365. Sinon, l’utilisateur n’est pas validé sur le serveur AD FS.

Étape 8 : Configurer l’ordinateur client pour l'Sign-On unique

Après avoir ajouté le nom du serveur de fédération à la zone Intranet locale dans Internet Explorer, l’authentification NTLM est utilisée lorsque les utilisateurs tentent de s’authentifier sur le serveur AD FS. Par conséquent, ils ne sont pas invités à entrer leurs informations d’identification.

Les administrateurs peuvent implémenter des paramètres de stratégie de groupe pour configurer une solution de Sign-On unique sur les ordinateurs clients joints au domaine.