Accueil
Rechercher dans toutes les rubriques d’aide.

Installer Windows PowerShell pour l’authentification unique

 

Date de dernière modification du sujet : 2013-02-05

Une fois que vous avez déployé Active Directory Federation Services (AD FS) 2.0 en tant qu’administrateur, l’étape suivante de la configuration de l’authentification unique consiste à télécharger, installer et configurer l’Module Microsoft Online Services pour Windows PowerShell. Pour ce faire, vous devez disposer du logiciel requis pour l’Microsoft Online Services Module. Après avoir téléchargé et installé le module, vous devez exécuter une série d'applets de commande dans l’interface en ligne de commande Windows PowerShell pour ajouter ou convertir des domaines pour l’authentification unique.

Pour plus d’informations sur le déploiement de AD FS 2.0, consultez la rubrique Planifier et déployer AD FS 2.0 pour l'utilisation avec l'authentification unique.

Effectuez les étapes suivantes :
  1. Respecter les exigences relatives au module Microsoft Online Services
  2. Télécharger le module Microsoft Online Services
  3. Configurer une relation d’approbation en ajoutant ou en convertissant un domaine pour l’authentification unique
  4. Étape suivante
1. Respecter les exigences relatives au module Microsoft Online Services

Les éléments suivants sont indispensables pour exécuter l’Microsoft Online Services Module :

  • Système d’exploitation : utilisez Windows 7 ou Windows Server 2008 R2.
  • Microsoft .NET Framework : vous devez activer la fonctionnalité Microsoft .NET Framework 3.51 dans Windows 7 ou Windows Server 2008 R2.
  • Windows PowerShell 2.0 et AD FS 2.0 : pour exécuter les cmdlets pour configurer l’authentification unique, vous devez activer la fonctionnalité Windows PowerShell 2.0 et disposer de droits d’administrateur sur le serveur AD FS 2.0. Nous vous conseillons d’utiliser l’accès à distance au serveur AD FS 2.0 lorsque vous exécutez les cmdlets. Pour ce faire, vous devez utiliser le service d’accès à distance de Windows PowerShell. Pour plus d’informations, voir About_Remote_Requirements.
  • ToutesOffice 365 les mises à jour de logiciels : depuis la page des téléchargements Office 365, installez les mises à jour requises. Pour accéder à la page des téléchargementsOffice 365, connectez-vous au portail Office 365 puis, sous Ressources, cliquez sur Téléchargements. Ces mises à jour sont nécessaires, car les fonctionnalités d’Office 365 ne fonctionnent pas correctement sans les versions appropriées des systèmes d’exploitation, navigateurs et logiciels. Pour plus d’informations, voir Configurer mon bureau pour Office 365.

Retour au début

2. Télécharger le module Microsoft Online Services

Vous pouvez télécharger Module Microsoft Online Services pour Windows PowerShell dans le cadre d’Office 365. Ce module installe un ensemble d’applets de commande dans Windows PowerShell, que vous devez exécuter pour configurer l’authentification unique pour Office 365. Avant de configurer l’authentification unique dans l’ensemble de votre environnement de production, vous pouvez également exécuter un projet pilote d’authentification unique. Pour plus d'informations, voir Exécuter un projet pilote pour tester l'authentification unique avant de la configurer (facultatif).

noteRemarque :
  • Pour plus d’informations sur les cmdlets exécutables dans Windows PowerShell, à l’invite de commande Windows PowerShell, tapez Get-help suivi du nom de l’applet de commande.
  • Pour plus d’informations sur les cmdlets d’authentification unique, voir Utiliser Windows PowerShell pour gérer Office 365.
Exécuter un projet pilote pour tester l’authentification unique avant de la configurer (facultatif)

Avant d’ajouter ou de convertir un domaine en tant que domaine d’authentification unique, vous pouvez exécuter un projet pilote. L’exécution d’un déploiement par étapes de l’authentification unique n’est pas possible actuellement ; tous les utilisateurs sont fédérés en même temps. Toutefois, vous pouvez exécuter un projet pilote d’authentification unique avec un ensemble d’utilisateurs de production provenant de votre forêt Active Directory de production.

Les utilisateurs de ce projet pilote doivent tester minutieusement divers scénarios d’authentification unique afin de vérifier que l’authentification unique (et le déploiement d’AD FS 2.0) est correctement configurée et prête pour un déploiement à l’échelle de l’organisation. À des fins de test, demandez aux utilisateurs d’accéder à Office 365 à partir de navigateurs et d’applications clientes (telles que Microsoft Office 2010) dans les environnements suivants :

  • À partir d’un ordinateur joint au domaine
  • À partir d’un ordinateur non joint au domaine au sein du réseau de l’entreprise
  • À partir d’un ordinateur itinérant joint au domaine et hors du réseau de l’entreprise
  • À partir des différents systèmes d’exploitation que vous utilisez dans votre société
  • À partir d’un ordinateur personnel
  • À partir d’une borne Internet (navigateur uniquement)
  • À partir d’un smartphone (par exemple, smartphone utilisant Microsoft Exchange ActiveSync)

Pour en savoir plus, voir Comment tester l’authentification unique dans une forêt d’utilisateurs de production.

Retour au début

3. Configurer une relation d’approbation en ajoutant ou en convertissant un domaine pour l’authentification unique

Chaque domaine que vous souhaitez fédérer doit avoir été ajouté en tant que domaine d’authentification unique ou converti en ce type de domaine. L’ajout ou la conversion d’un domaine configure une relation d’approbation entre AD FS 2.0 et Office 365.

importantImportant :
  • Si vous utilisez un sous-domaine (par exemple, corp.contoso.com) en plus d’un domaine de niveau supérieur (par exemple, contoso.com), vous devez ajouter ce domaine de premier niveau dans Office 365 avant d’ajouter des sous-domaines. Lorsque le domaine de premier niveau est configuré pour l’authentification unique, tous les sous-domaines sont automatiquement configurés également.
  • La configuration d’une relation d’approbation est une opération qui n’est effectuée qu’une seule fois ; vous n’avez pas besoin de réexécuter l’Microsoft Online Services Module si vous ajoutez d’autres serveurs AD FS 2.0 dans votre batterie de serveurs.
  • Si vous ajoutez et vérifiez un domaine avec l’Microsoft_Online_Services_Identity_Federation_Management_tool_2nd, vous devez spécifier plusieurs paramètres supplémentaires dans Union_Std_2nd. Ces paramètres sont nécessaires pour visualiser les enregistrements DNS à configurer afin de permettre à votre domaine d’utiliser les services Office 365 . Pour plus d’informations, voir Ajouter votre domaine à Office 365.
  • Si vous devez prendre en charge plusieurs domaines de niveau supérieur, vous devez utiliser le commutateur SupportMultipleDomain avec toutes les applets de commande, par exemple celles utilisées avec les procédures « Ajouter un domaine » et « Convertir un domaine ».
    Par exemple, pour ajouter contoso.com et fabrikam.com en tant que domaines d'authentifications uniques, suivez la procédure « Ajouter un domaine » pour contoso.com, en utilisant le commutateur SupportMultipleDomain dans toutes les étapes associées à l'applet de commande. Ainsi, à l'étape 5, vous devez utiliser New-MsolFederatedDomain -DomainName contoso.com -SupportMultipleDomain. Lorsque toutes les étapes de la procédure ont été effectuées pour contoso.com, reprenez la même procédure pour votre domaine fabrikam.com. À l'étape 5, utilisez alors New-MsolFederatedDomain -DomainName fabrikam.com -SupportMultipleDomain.
    Pour plus d’informations, consultez Prise en charge de plusieurs domaines de niveau supérieur.

Ajouter un domaine

  1. Ouvrez l’Microsoft Online Services Module.

  2. Exécutez $cred=Get-Credential. Lorsque cette cmdlet vous invite à indiquer vos informations d’identification de compte d’administration Office 365, faites-le.

  3. Exécutez Connect-MsolService -Credential $cred. Cette cmdlet vous connecte à Office 365. La création d’un contexte qui vous connecte à Office 365 est requise avant l’exécution d’une des cmdlets supplémentaires installées par l’outil.

  4. Exécutez Set-MsolAdfscontext -Computer <Serveur principal AD FS 2.0>, où <Serveur principal AD FS 2.0> est le nom de domaine complet du serveur principal AD FS 2.0. Cette cmdlet crée un contexte de connexion à AD FS 2.0.

    noteRemarque :
    Si vous avez installé l’Microsoft Online Services Module sur le serveur AD FS 2.0 principal, vous n’avez pas à exécuter cette cmdlet.

  5. Exécutez New-MsolFederatedDomain -DomainName <domaine>, où <domaine> correspond au domaine à ajouter et à activer pour l’authentification unique. Cette applet de commande ajoute un domaine de niveau supérieur ou un sous-domaine qui sera configuré pour l'authentification fédérée. .

    noteRemarque :
    Après avoir utilisé l'applet de commande New-MsolFederatedDomain pour ajouter un domaine de niveau supérieur, vous ne pouvez pas utiliser l'applet de commande New-MsolDomain pour ajouter des domaines standard (non fédérés).

  6. Sur la base des résultats de l’applet de commande New-MsolFederatedDomain, contactez votre bureau d’enregistrement de domaines pour qu’il crée l’enregistrement DNS requis. Cette opération permet de vérifier que vous êtes propriétaire du domaine. Notez que la propagation de cette opération peut prendre jusqu’à 15 minutes selon votre bureau d’enregistrement. La propagation des modifications sur le système peut prendre jusqu’à 72 heures. Pour plus d’informations, voir Vérifier un domaine auprès d'un bureau d'enregistrement de noms de domaineregistrar.

  7. Exécutez à nouveau la commande New-MsolFederatedDomain en indiquant le même nom de domaine pour achever le processus.

Convertir un domaine

Lorsque vous convertissez un domaine existant en domaine d’authentification unique, chaque utilisateur ayant une licence devient simultanément un utilisateur fédéré, autorisé à utiliser ses informations d’identification d’entreprise Active Directory existantes (nom d’utilisateur et mot de passe) pour accéder aux services Office 365. Le déploiement par étapes de l’authentification unique n’est pas possible pour l’instant. Toutefois, vous pouvez expérimenter l’authentification unique sur un ensemble d’utilisateurs de votre forêt Active Directory de production. Pour plus d’informations, voir Exécuter un projet pilote pour tester l'authentification unique avant de la configurer (facultatif).

noteRemarque :
Il est préférable d’effectuer la conversion lorsque la plupart des utilisateurs sont absents, par exemple le week-end, afin de réduire l’impact de cette opération.

Pour convertir un domaine existant en domaine à authentification unique, procédez comme suit.

  1. Ouvrez l’Microsoft Online Services Module.

  2. Exécutez $cred=Get-Credential. Lorsque cette cmdlet vous invite à indiquer vos informations d’identification de compte d’administration Office 365, faites-le.

  3. Exécutez Connect-MsolService -Credential $cred. Cette cmdlet vous connecte à Office 365. La création d’un contexte qui vous connecte à Office 365 est requise avant l’exécution d’une des cmdlets supplémentaires installées par l’outil.

  4. Exécutez Set-MsolAdfscontext -Computer <Serveur principal AD FS 2.0>, où <Serveur principal AD FS 2.0> est le nom de domaine complet du serveur principal AD FS 2.0. Cette cmdlet crée un contexte de connexion à AD FS 2.0.

    noteRemarque :
    Si vous avez installé l’Microsoft Online Services Module sur le serveur AD FS 2.0 principal, vous n’avez pas à exécuter cette cmdlet.

  5. Exécutez la commande Convert-MsolDomainToFederated -DomainName <domaine>, où <domaine> correspond au domaine à convertir. Cette cmdlet permet de convertir le domaine à authentification standard en domaine à authentification unique.

noteRemarque :
Pour vérifier que la conversion a bien fonctionné, comparez les paramètres du serveur AD FS 2.0 et ceux d’Office 365 en exécutant Get-MsolFederationProperty -DomainName <domaine>, où <domaine> correspond au domaine dont vous voulez consulter les paramètres. S’ils ne correspondent pas, vous pouvez exécuter Update-MsolFederatedDomain -DomainName <domaine> pour les synchroniser.
4. Étape suivante

Maintenant que le module est installé et que vous avez configuré les domaines pour utiliser l’authentification unique, vous devez configurer la synchronisation Active Directory. Pour plus d’informations, consultez la rubrique Synchronisation Active Directory : feuille de route. Une fois la synchronisation Active Directory terminée, consultez Vérifier et gérer l’authentification unique.

Retour au début

Voir aussi

Concepts

Feuille de route d'authentification unique
Préparer l’authentification unique
Planifier et déployer AD FS 2.0 pour l'utilisation avec l'authentification unique

 
Arrow Cet article vous a-t-il été utile ? Dites-nous ce que vous en pensez
Microsoft
©2013 Microsoft Corporation
Informations légales
|
Confidentialité