Vérifier et gérer l’authentification unique

Après avoir vérifié l’authentification unique, testez les scénarios de connexion suivants pour vérifier que l’authentification unique et le déploiement de AD FS 2.0 sont correctement configurés. Demandez à l’un de vos groupes d’utilisateurs d’essayer d’accéder à leurs services Office 365 avec les navigateurs et les applications clientes telles que Microsoft Office 2010, dans les environnements suivants :

• À partir d’un ordinateur joint au domaine
  
• À partir d’un ordinateur non joint au domaine au sein du réseau de l’entreprise
  
• À partir d’un ordinateur itinérant joint au domaine et hors du réseau de l’entreprise
  
• À partir des différents systèmes d’exploitation que vous utilisez dans votre société
  
• À partir d’un ordinateur personnel
  
• À partir d’une borne Internet (test de l’accès à Office 365 via un navigateur uniquement)
  
• À partir d’un smartphone (par exemple, smartphone utilisant Microsoft Exchange ActiveSync)
  

Pour tester la connectivité de l'authentification unique, vous pouvez utiliser l' Microsoft Remote Connectivity Analyzer. Ouvrez l'onglet Office 365, cliquez sur Service d'authentification unique Microsoft, puis sur Suivant. Suivez les instructions qui s'affichent à l'écran pour exécuter le test. L'analyseur vérifie votre capacité à vous connecter à Office 365 à l'aide de vos informations d'identification d'entreprise. Il vérifie également la configuration de base de AD FS 2.0.

Retour au début

• Ajouter des URL renvoyant à des sites de confiance dans Internet Explorer
  
• Limiter la connexion des utilisateurs à Office 365
  
• Afficher les paramètres actuels
  
• Mettre à jour les propriétés d'approbation
  
• Récupérer un serveur AD FS 2.0
  

Après l’ajout ou la conversion de vos domaines dans le cadre de la configuration de l’authentification unique, vous pouvez ajouter le nom de domaine complet de votre serveur AD FS 2.0 à la liste des sites de confiance d’Internet Explorer. Cela permet de garantir que les utilisateurs ne soient pas invités à saisir leur mot de passe pour le serveur AD FS 2.0. Cette modification doit être effectuée au niveau du client. Vous pouvez également effectuer cette modification pour vos utilisateurs en définissant un paramètre de stratégie de groupe qui ajoutera automatiquement cette URL à la liste des sites de confiance des ordinateurs joints au domaine. Pour plus d’informations, voir Paramètres de stratégie Internet Explorer.

AD FS 2.0 autorise les administrateurs à définir des règles personnalisées qui accordent ou refusent l’accès aux utilisateurs. Dans le cas de l’authentification unique, les règles personnalisées doivent s’appliquer à l’approbation de la partie de confiance d’Office 365 que vous avez créée lorsque vous avez exécuté les applets de commande dans Windows PowerShell pour configurer l’authentification unique.

Pour plus d’informations sur la limitation de la connexion aux services pour les utilisateurs, consultez Créer une règle pour autoriser ou refuser des utilisateurs en fonction d’une demande entrante. Pour plus d’informations sur l’exécution des cmdlets pour configurer l’authentification unique, voir Installer Windows PowerShell pour l’authentification unique.

À tout moment, si vous souhaitez afficher le serveur AD FS 2.0 et les paramètres actuels de Office 365, vous pouvez ouvrir l'Module Microsoft Online Services pour Windows PowerShell et exécuter Connect-MSOLService, puis Get-MSOLFederationProperty -DomainName <domaine>. Cette opération vous permet de vérifier la cohérence des paramètres du serveur AD FS 2.0 avec ceux de Office 365. Si les paramètres ne correspondent pas, vous pouvez exécuter l'applet de commande Update-MsolFederatedDomain -DomainName <domaine>. Pour plus d'informations, consultez la section suivante, « Mettre à jour les propriétés d'approbation ».

Remarque :
Si vous devez prendre en charge plusieurs domaines de niveau supérieur, par exemple contoso.com et fabrikam.com, vous devez utiliser le commutateur SupportMultipleDomain avec toutes les applets de commande. Pour plus d'informations, consultez Prise en charge de plusieurs domaines de niveau supérieur.

Retour au début

Vous devez mettre à jour les propriétés d’approbation de l’authentification unique dans Office 365 si :

• L’URL est modifiée : si vous modifiez l’URL du serveur AD FS 2.0, vous devez mettre à jour les propriétés d’approbation.
  
• Le certificat de signature de jetons principal a été modifié : la modification du certificat de signature de jetons principal déclenche l’événement ID 334 ou ID 335 dans l’observateur d’événements du serveur AD FS 2.0. Nous vous recommandons de vérifier régulièrement l’observateur d’événements, au moins une fois par semaine.
  Pour afficher les événements du serveur AD FS 2.0, procédez comme suit.
  
  1. Cliquez sur Démarrer puis sur Panneau de configuration. Dans la vue Catégorie, cliquez sur Système et sécurité, puis cliquez sur Outils d’administration, puis cliquez sur Observateur d’événements.
     
  2. Pour afficher les événements relatifs à AD FS 2.0, dans le volet gauche de l’observateur d’événements, cliquez successivement sur Journaux des applications et des services, AD FS 2.0 et Administrateur.
     
• Le certificat de signature de jetons expire chaque année : par défaut, AD FS 2.0 génère un nouveau certificat de signature de jetons (certificat auto-signé) 20 jours avant l’expiration annuelle du certificat. Le renouvellement d’un certificat, c’est-à-dire la génération d’un nouveau certificat lorsque le certificat existant est sur le point d’expirer, puis son utilisation en tant que certificat principal, s’appliquent uniquement aux certificats auto-signés générés par AD FS 2.0.
  

  Remarque :

  Vous pouvez configurer la date de génération d’un nouveau certificat de signature de jetons par AD FS 2.0. Lorsque la date de renouvellement du certificat arrive, AD FS 2.0 génère un nouveau certificat portant le même nom que celui qui expire, mais avec une clé privée et une empreinte numérique différentes. Une fois que le nouveau certificat est généré, il demeure un certificat secondaire durant cinq jours avant de devenir le certificat principal. La durée par défaut est de 5 jours, mais vous pouvez la configurer.

Attention

Le certificat de signature de jetons est critique pour la stabilité du service de fédération. S'il est modifié, Office 365 devra être informé de cette modification. Dans le cas contraire, les requêtes de services Office 365 échoueront. Pour cette raison, nous vous recommandons de télécharger et configurer Microsoft Office 365 Federation Metadata Update Automation Installation Tool (peut-être en anglais), qui surveillera et mettra automatiquement à jour les métadonnées de fédération d'Office 365 à intervalles réguliers. Ainsi, toute modification du certificat de signature de jetons dans le service FS (Federation Service) AD FS 2.0 est automatiquement répliquée vers Office 365. Pour obtenir des informations générales concernant la gestion de certificats dans la batterie de serveurs de fédération AD FS 2.0 et Office 365, voir Mettre à jour les propriétés d'approbation.

Pour mettre à jour les propriétés d’approbation, procédez comme suit.

Remarque :
Si vous devez prendre en charge plusieurs domaines de niveau supérieur, par exemple contoso.com et fabrikam.com, vous devez utiliser le commutateur SupportMultipleDomain avec toutes les applets de commande. Pour plus d'informations, consultez Prise en charge de plusieurs domaines de niveau supérieur.

1. Ouvrez l’Module Microsoft Online Services pour Windows PowerShell.

2. Exécutez $cred=Get-Credential. Lorsque cette cmdlet vous invite à indiquer vos informations d’identification de compte d’administration Office 365, faites-le.

3. Exécutez Connect-MsolService -Credential $cred. Cette cmdlet vous connecte à Office 365. La création d’un contexte qui vous connecte à Office 365 est requise avant l’exécution d’une des cmdlets supplémentaires installées par l’outil.

4. Exécutez Set-MSOLAdfscontext -Computer <Serveur principal AD FS 2.0>, où <Serveur principal AD FS 2.0> est le nom de domaine complet du serveur principal AD FS 2.0. Cette cmdlet crée un contexte qui vous relie à AD FS 2.0.

   Remarque :
   Si vous avez installé l’Microsoft Online Services Module sur le serveur AD FS 2.0 principal, vous n’avez pas à exécuter cette cmdlet.

5. Exécutez la commande Update-MSOLFederatedDomain -DomainName <domaine>. Cette cmdlet met à jour les paramètres d’AD FS 2.0 dans Office 365 et configure la relation d’approbation entre les deux.

Retour au début

Si vous perdez votre serveur principal sans pouvoir le récupérer, vous devez promouvoir un autre serveur en serveur principal. Pour plus d’informations, consultez AD FS 2.0 - Comment définir le Serveur de fédération principal dans une batterie WID.

Remarque :
En cas de défaillance de l’un de vos serveurs AD FS 2.0 et si vous avez défini une configuration de batterie à haute disponibilité, les utilisateurs pourront tout de même accéder aux services d’Office 365. Si le serveur défaillant est le serveur principal, vous ne pourrez pas mettre à jour la configuration de la batterie avant d’avoir promu un autre serveur en serveur principal.

Si vous perdez tous les serveurs de la batterie, vous devez rétablir l’approbation via la procédure suivante.

Remarque :

Si vous devez prendre en charge plusieurs domaines de niveau supérieur, par exemple contoso.com et fabrikam.com, vous devez utiliser le commutateur SupportMultipleDomain avec toutes les applets de commande. Lorsque vous utilisez le commutateur SupportMultipleDomain, vous devez généralement exécuter la procédure dans chacun de vos domaines. Toutefois, pour récupérer votre serveur AD FS 2.0, vous ne devez exécuter la procédure qu'une seule fois pour l'un de vos domaines. Après la récupération de votre serveur, tous vos autres domaines à authentification unique se connecteront à Office 365. Pour plus d'informations, consultez Prise en charge de plusieurs domaines de niveau supérieur.

1. Ouvrez l’Microsoft Online Services Module.

2. Exécutez $cred=Get-Credential. Lorsque cette cmdlet vous invite à indiquer vos informations d’identification de compte d’administration Office 365, faites-le.

3. Exécutez Connect-MsolService -Credential $cred. Cette cmdlet vous connecte à Office 365. La création d’un contexte qui vous connecte à Office 365 est requise avant l’exécution d’une des cmdlets supplémentaires installées par l’outil.

4. Exécutez Set-MSOLAdfscontext -Computer <Serveur principal AD FS 2.0>, où <Serveur principal AD FS 2.0> est le nom de domaine complet du serveur principal AD FS 2.0. Cette cmdlet crée un contexte qui vous relie à AD FS 2.0.

   Remarque :
   Si vous avez installé l’Microsoft Online Services Module sur le serveur AD FS 2.0 principal, vous n’avez pas à exécuter cette cmdlet.

5. Exécutez Update-MsolFederatedDomain -DomainName <domaine>, où <domaine> correspond au domaine dont les propriétés doivent être mises à jour. Cette applet de commande met à jour les propriétés et établit la relation d'approbation.

6. Exécutez Get-MsolFederationProperty -DomainName <domaine>, où <domaine> représente le domaine dont vous souhaitez consulter les propriétés, puis comparez les propriétés du serveur AD FS 2.0 principal avec celles d’Office 365 pour vérifier qu’elles correspondent. Dans le cas contraire, exécutez Update-MsolFederatedDomain -DomainName <domaine> pour synchroniser les propriétés.