Déployer Dossiers de travail avec AD FS et le Proxy d’application Web : Étape 2, Travail de post-configuration d’AD FS

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Cette rubrique décrit la deuxième étape du déploiement des Dossiers de travail avec les services de fédération Active Directory (AD FS) et le Proxy d’application Web. Les rubriques suivantes décrivent les autres étapes de ce processus :

• Déployer Dossiers de travail avec AD FS et le Proxy d’application web : Vue d’ensemble

• Déployer Dossiers de travail avec AD FS et le Proxy d’application Web : Étape 1, Configurer AD FS

• Déployer Dossiers de travail avec AD FS et le Proxy d’application Web : Étape 3, Configurer Dossiers de travail

• Déployer Dossiers de travail avec AD FS et le Proxy d’application Web : Étape 4, Configurer le Proxy d’application Web

• Déployer Dossiers de travail avec AD FS et le Proxy d’application Web : Étape 5, Configurer des clients

Notes

Les instructions décrites dans cette section concernent un environnement Windows Server 2019 ou Windows Server 2016. Si vous utilisez Windows Server 2012 R2, suivez les instructions Windows Server 2012 R2.

À l’étape 1, vous avez installé et configuré AD FS. À présent, vous devez effectuer les étapes de post-configuration suivantes pour AD FS.

Configurez les entrées DNS

Vous devez créer deux entrées DNS pour AD FS. Il s’agit des deux mêmes entrées qui ont été utilisées dans les étapes de pré-installation lorsque vous avez créé le certificat SAN (autre nom d’objet).

Les entrées DNS se présentent sous la forme suivante :

• nom de service AD FS.domaine

• inscriptionentreprise.domaine

• Nom du serveur AD FS.domain (l’entrée DNS doit déjà exister, par exemple, 2016-ADFS.contoso.com)

Dans l’exemple de test, les valeurs sont les suivantes :

• blueadfs.contoso.com

• enterpriseregistration.contoso.com

Créez les enregistrements A et CNAME pour AD FS

Pour créer des enregistrements A et CNAME pour AD FS, procédez comme suit :

1. Sur votre contrôleur de domaine, ouvrez le Gestionnaire DNS.

2. Développez le dossier Zones de recherche directe, faites un clic droit sur votre domaine, puis sélectionnez Nouvel hôte (A).

3. La fenêtre Nouvel hôte s’ouvre. Dans le champ Nom, entrez l’alias du nom du service AD FS. Dans l’exemple de test, il s’agit de blueadfs.

   L’alias doit être le même que l’objet du certificat utilisé pour AD FS. Par exemple, si l’objet a été adfs.contoso.com, l’alias entré ici est adfs.

   Important

   Lorsque vous configurez AD FS à l’aide de l’interface utilisateur de Windows Server au lieu de Windows PowerShell, vous devez créer un enregistrement A au lieu d’un enregistrement CNAME pour AD FS. La raison en est que le nom de principal de service (SPN) créé via l’interface utilisateur contient uniquement l’alias utilisé pour configurer le service AD FS en tant qu’hôte.

4. Dans Adresse IP, entrez l’adresse IP du serveur AD FS. Dans l’exemple de test, il s’agit de 192.168.0.160. Cliquez sur Ajouter un hôte.

5. Dans le dossier Zones de recherche directe, faites un nouveau clic droit sur votre domaine, puis sélectionnez Nouvel alias (CNAME).

6. Dans la fenêtre Nouvel enregistrement de ressource, ajoutez le nom d’alias enterpriseregistration et entrez le FQDN du serveur AD FS. Cet alias est utilisé pour la jonction d’appareils et doit être appelé enterpriseregistration.

7. Cliquez sur OK.

Pour effectuer les étapes équivalentes via Windows PowerShell, utilisez la commande suivante. La commande doit être exécutée sur le contrôleur de domaine.

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name blueadfs -A -IPv4Address 192.168.0.160
Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name enterpriseregistration -CName  -HostNameAlias 2016-ADFS.contoso.com

Configurez l'approbation de la partie se fiant à AD FS pour Dossiers de travail

Vous pouvez établir et configurer l’approbation de la partie de confiance pour Dossiers de travail, même si Dossiers de travail n’a pas encore été configuré. L’approbation de la partie de confiance doit être configurée pour permettre à Dossiers de travail d’utiliser AD FS. Étant donné que vous êtes en train de configurer AD FS, c’est le moment d’effectuer cette étape.

Pour configurer l’approbation de la partie de confiance :

1. Ouvrez Gestionnaire de serveur, dans le menu Outils, sélectionnez Gestion AD FS.

2. Dans le volet de droite, dans Actions, cliquez sur Ajouter une approbation de la partie de confiance.

3. Sur la page Bienvenue, sélectionnez Prise en charge des revendications et cliquez sur Démarrer.

4. Dans la page Sélectionner une source de données, sélectionnez Entrer manuellement les données concernant la partie de confiance, puis sur Suivant.

5. Dans le champ Nom d’affichage, entrez WorkFolders, puis cliquez sur Suivant.

6. Sur la page Configurer le certificat, cliquez sur Suivant. Les certificats de chiffrement de jeton sont facultatifs et ne sont pas nécessaires pour la configuration de test.

7. Sur la page Configurer l’URL, cliquez sur Suivant.

8. Sur la page Configurer les identifiants, ajoutez l’identifiant suivant : https://windows-server-work-folders/V1. Cet identificateur est une valeur codée en dur utilisée par Dossiers de travail et est envoyé par le service Dossiers de travail lorsqu’il communique avec AD FS. Cliquez sur Suivant.

9. Sur la page Choisir une stratégie de contrôle d’accès, sélectionnez Autoriser tout le monde, puis cliquez sur Suivant.

10. Dans la page Prêt à ajouter l'approbation, cliquez sur Suivant.

11. Une fois la configuration terminée, la dernière page de l’Assistant indique que la configuration a réussi. Cochez la case pour modifier les règles de revendications, puis cliquez sur Fermer.

12. Dans le composant logiciel enfichable AD FS, sélectionnez l’approbation de la partie de confiance WorkFolders, puis cliquez sur Modifier la stratégie d’émission de revendication sous Actions.

13. La fenêtre Modifier la stratégie d’émission de revendication pour WorkFolders s’ouvre. Cliquez sur Ajouter une règle.

14. Dans la liste déroulante Modèle de règle de revendication, sélectionnez Envoyer des attributs LDAP en tant que revendications, puis cliquez sur Suivant.

15. Sur la page Configurer la règle de revendication, dans le champ Nom de la règle de revendication, entrez WorkFolders.

16. Dans la liste déroulante Magasin d’attributs, sélectionnez Active Directory.

17. Dans la table de mappage, entrez ces valeurs :

    • Nom d’utilisateur principal : UPN

    • Nom d’affichage : Nom

    • Nom de famille : Nom de famille

    • Prénom : prénom

18. Cliquez sur Terminer. La règle WorkFolders apparaît sous l’onglet Règles de transformation d’émission, puis cliquez sur OK.

Définissez les options d’approbation de la partie de confiance

Une fois l’approbation de la partie de confiance configurée pour AD FS, vous devez terminer la configuration en exécutant cinq commandes dans Windows PowerShell. Ces commandes définissent les options nécessaires pour que Dossiers de travail communique correctement avec AD FS et ne peuvent pas être définies via l’interface utilisateur. Ces options sont :

• Activez l’utilisation de jetons web JSON (JWTs)

• Désactivez les revendications chiffrées

• Activer la mise à jour automatique

• Définissez l’émission des jetons d’actualisation Oauth sur Tous les appareils.

• Accordez aux clients l’accès à l’approbation de la partie de confiance

Pour définir ces options, utilisez les commandes suivantes :

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -EnableJWT $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -Encryptclaims $false
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -AutoupdateEnabled $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -IssueOAuthRefreshTokensTo AllDevices
Grant-AdfsApplicationPermission -ServerRoleIdentifier "https://windows-server-work-folders/V1" -AllowAllRegisteredClients -ScopeNames openid,profile

Activez Workplace Join

L’activation de Workplace Join est facultative, mais peut être utile lorsque vous souhaitez que les utilisateurs puissent utiliser leurs appareils personnels pour accéder aux ressources de l’espace de travail.

Pour activer l’inscription des appareils pour Workplace Join, vous devez exécuter les commandes Windows PowerShell suivantes, qui configureront l’inscription des appareils et définiront la stratégie d’authentification globale :

Initialize-ADDeviceRegistration -ServiceAccountName <your AD FS service account>
    Example: Initialize-ADDeviceRegistration -ServiceAccountName contoso\adfsservice$
Set-ADFSGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true

Exportez le certificat AD FS

Ensuite, exportez le certificat AD FS auto-signé afin qu’il puisse être installé sur les machines suivantes dans l’environnement de test :

• Serveur utilisé pour Dossiers de travail

• Serveur utilisé pour le Proxy d'application Web

• Client Windows joint à un domaine

• Client Windows non joint à un domaine

Pour exporter le certificat, procédez comme suit :

1. Cliquez sur Démarrer, puis sur Exécuter.

2. Tapez MMC.

3. Dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

4. Dans la liste Composants logiciels enfichables disponibles, sélectionnez Certificats, puis cliquez sur Ajouter. L’Assistant Composant logiciel enfichable Certificats démarre.

5. Sélectionnez Un compte d’ordinateur, puis cliquez sur Suivant.

6. Sélectionnez Ordinateur local : (ordinateur sur lequel s’exécute cette console), puis cliquez sur Terminer.

7. Cliquez sur OK.

8. Développez le dossier Racine de la console\Certificats(Ordinateur local)\Personnel\Certificats.

9. Faites un clic droit sur le certificat AD FS, cliquez sur Toutes les tâches, puis sur Exporter....

10. L’Assistant Exportation de certificat s’ouvre. Sélectionnez Oui, exporter la clé privée.

11. Dans la page Format du fichier d’exportation, conservez les options par défaut et cliquez sur Suivant.

12. Créez un mot de passe pour le certificat. Il s’agit du mot de passe que vous utiliserez ultérieurement lorsque vous importerez le certificat vers d’autres appareils. Cliquez sur Suivant.

13. Saisissez un emplacement et un nom pour le certificat, puis cliquez sur Terminer.

L’installation du certificat est abordée plus loin dans la procédure de déploiement.

Gérez le paramétrage de la clé privée

Vous devez accorder au compte de service AD FS l’autorisation d’accéder à la clé privée du nouveau certificat. Vous devrez à nouveau accorder cette autorisation lorsque vous remplacerez le certificat de communication après son expiration. Pour accorder l’autorisation, suivez ces étapes :

1. Cliquez sur Démarrer, puis sur Exécuter.

2. Tapez MMC.

3. Dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

4. Dans la liste Composants logiciels enfichables disponibles, sélectionnez Certificats, puis cliquez sur Ajouter. L’Assistant Composant logiciel enfichable Certificats démarre.

5. Sélectionnez Un compte d’ordinateur, puis cliquez sur Suivant.

6. Sélectionnez Ordinateur local : (ordinateur sur lequel s’exécute cette console), puis cliquez sur Terminer.

7. Cliquez sur OK.

8. Développez le dossier Racine de la console\Certificats(Ordinateur local)\Personnel\Certificats.

9. Faites un clic droit sur le certificat AD FS, cliquez sur Toutes les tâches, puis sur Gérer les clés privées.

10. Dans la fenêtre Autorisations, cliquez sur Ajouter.

11. Dans la fenêtre Types d’objets, sélectionnez Comptes de service, puis cliquez sur OK.

12. Tapez le nom du compte qui exécute AD FS. Dans l’exemple de test, il s’agit d’ADFSService. Cliquez sur OK.

13. Dans la fenêtre Autorisations, donnez au compte au moins des autorisations de lecture, puis cliquez sur OK.

Si vous n’avez pas la possibilité de gérer les clés privées, vous devrez peut-être exécuter la commande suivante : certutil -repairstore my *

Vérifiez qu’AD FS est opérationnel

Pour vérifier qu’AD FS est opérationnel, ouvrez une fenêtre de navigateur et accédez à https://blueadfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml, en modifiant l’URL pour qu’elle corresponde à votre environnement.

La fenêtre du navigateur affichera les métadonnées du serveur de fédération sans aucune mise en forme. Si vous pouvez voir les données sans erreur ou avertissement SSL, votre serveur de fédération est opérationnel.

Étape suivante :Déployer Dossiers de travail avec AD FS et le Proxy d’application Web : Étape 3, Configurer Dossiers de travail

Voir aussi

Vue d’ensemble des Dossiers de travail