Partager via


Créer une approbation de fédération

 

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2016-11-28

Une approbation de fédération établit une relation d’approbation entre une organisation Microsoft Exchange Server 2010 et Microsoft Federation Gateway (en anglais). 

RemarqueRemarque :
La création d’une approbation de fédération fait partie des étapes permettant de configurer une délégation fédérée dans votre organisation Exchange. Pour consulter toutes les étapes, voir Configurer la délégation fédérée.

Souhaitez-vous rechercher d’autres tâches de gestion relatives aux fédérations  ? Consultez la rubrique Gestion de la fédération.

Conditions préalables

  • Le domaine utilisé pour établir une approbation de fédération doit pouvoir être résolu depuis Internet. Il faut donc que le domaine soit inscrit au bureau d’enregistrement de domaines et que la zone DNS (Domain Name System) pour le domaine soit hébergée sur un serveur DNS accessible depuis Internet. Si l’organisation reçoit du courrier Internet pour le domaine, ces critères sont déjà satisfaits.

  • Les deux organisations Exchange dans une relation de délégation fédérée doivent utiliser la même instance Microsoft Federation Gateway pour leurs approbations de fédérations. Cette condition requise s’applique lors de la configuration d’une délégation fédérée entre deux organisations Exchange locales, ou bien entre une organisation Exchange locale et une organisation Exchange hébergée par Microsoft Online Services (en anglais) ou Microsoft Live@edu.

    Lorsque vous créez une approbation de fédération avec Microsoft Federation Gateway pour votre organisation Exchange, l’approbation de fédération utilise soit l’instance professionnelle, soit l’instance grand public de Microsoft Federation Gateway.

    Les organisations Exchange suivantes utilisent l’instance professionnelle de Microsoft Federation Gateway par défaut :

    • Organisations Exchange 2010 Service Pack 2 (SP2) utilisant des certificats auto-signés pour une approbation de fédération

    • Organisations Exchange hébergées par Microsoft Online Services, comme le service en ligne Exchange offert par Microsoft Business Productivity Online Standard Suite

    Les organisations Exchange suivantes utilisent l’instance grand public de Microsoft Federation Gateway par défaut :

    • Organisations Exchange 2010 version RTM utilisant des certificats émis par des autorités de certification tierces

    • Organisations Exchange hébergées par Microsoft Live@edu

    Nous recommandons que toutes les organisations Exchange utilisent l’instance professionnelle de Microsoft Federation Gateway pour les approbations de fédérations. Avant de configurer la délégation fédérée entre les deux organisations, vous devez déterminer quelle instance Microsoft Federation Gateway chaque organisation Exchange utilise pour les approbations de fédération existantes. Pour déterminer quelle instance Microsoft Federation Gateway une organisation Exchange emploie pour l’approbation de fédération existante, exécutez la commande d’environnement suivante.

    Get-FederationInformation -DomainName <the hosted Exchange domain namespace>
    

    L’instance professionnelle retourne la valeur <uri:federation:MicrosoftOnline> pour le paramètre TokenIssuerURIs.

    L’instance grand public retourne la valeur <uri:WindowsLiveID> pour le paramètre TokenIssuerURIs.

    Pour configurer la délégation fédérée au sein d’une organisation Exchange disposant d’une approbation de fédération qui utilise l’instance professionnelle de Microsoft Federation Gateway, suivez les étapes indiquées dans Utiliser l’EMC pour créer une approbation de fédération ou les étapes de Utiliser l’environnement de ligne de commande Exchange Management Shell pour créer une approbation de fédération dans la présente rubrique. Suivez simplement ces étapes pour créer des approbations de fédération permettant de mettre en place la délégation fédérée entre deux organisations Exchange 2010 SP2.

    Sélectionnez l’une des méthodes suivantes pour configurer une délégation fédérée entre votre organisation Exchange 2010 SP2 et une organisation Exchange disposant d’une approbation de fédération existante avec une instance grand public de Microsoft Federation Gateway :

    • Méthode recommandée   L’organisation Exchange utilisant l’instance grand public de Microsoft Federation Gateway doit installer Exchange 2010 SP2. Après l’installation du SP2, les domaines fédérés et les approbations de fédération existants doivent être supprimés et recréés à l’aide de la console de gestion Exchange (EMC). Lors de la recréation des approbations de fédération, l’instance professionnelle de Microsoft Federation Gateway est utilisée. Vous devez également tester toutes les relations d’organisation afin de vérifier qu’elles fonctionnent correctement. Pour des informations détaillées sur la procédure de suppression des approbations de fédération, consultez la rubrique Supprimer une approbation de fédération.

    • Méthode alternative   Pour créer une approbation de fédération utilisant l’instance grand public de Microsoft Federation Gateway, l’organisation Exchange 2010 SP2 peut utiliser la procédure Utiliser l’environnement de ligne de commande Exchange Management Shell pour créer une approbation de fédération utilisant l’instance grand public de Microsoft Federation Gateway. Cette méthode ne doit être utilisée que lorsque vous avez besoin d’activer une délégation fédérée avec une autre organisation Exchange qui ne peut pas installer Exchange 2010 SP2.

Que voulez-vous faire ?

  • Utiliser l’EMC pour créer une approbation de fédération

  • Utiliser l’environnement de ligne de commande Exchange Management Shell pour créer une approbation de fédération

  • Utiliser l’environnement de ligne de commande Exchange Management Shell pour créer une approbation de fédération utilisant l’instance grand public de Microsoft Federation Gateway

Utiliser l’EMC pour créer une approbation de fédération

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Approbations de fédération » dans la rubrique Autorisation d’infrastructure Exchange et Shell.

  1. Dans l’arborescence de la console, cliquez sur Configuration de l’organisation.

  2. Dans le volet Actions, cliquez sur Nouvelle approbation de fédération.

  3. Sur la page Nouvelle approbation de fédération, cliquez sur Nouveau. Cela permet de créer un certificat auto-signé pour l'approbation de fédération avec Microsoft Federation Gateway et de déployer ce certificat auto-signé sur les serveurs Exchange de votre organisation. Le nom par défaut de la nouvelle approbation de fédération est Microsoft Federation Gateway.

  4. Sur la page Achèvement, passez en revue les éléments suivants, puis cliquez sur Terminer pour fermer l’Assistant :

    • L’état Terminé indique que l’Assistant a terminé la tâche avec succès.

    • L’état Échec indique que la tâche n’a pas été terminée. En cas d’échec de la tâche, passez en revue le résumé pour obtenir une explication, puis cliquez sur Précédent pour modifier la configuration.

RemarqueRemarque :
La nouvelle approbation de fédération étendue s'affiche sous l'onglet Approbation de fédération.
RemarqueRemarque :
Pour finaliser la configuration de la fédération, vous devez ajouter un enregistrement de texte (TXT) dans la zone DNS pour le domaine que vous souhaitez utiliser en tant qu'espace de nom de compte et pour tout autre domaine que vous souhaitez ajouter en tant que domaine fédéré à Microsoft Federation Gateway. Une fois que les enregistrements TXT sont disponibles dans la zone DNS, finalisez la configuration de l’approbation de fédération en utilisant l’Assistant Gestion de fédération dans la console de gestion Exchange (EMC) ou la cmdlet Set-FederatedOrganizationIdentifier dans l’environnement de ligne de commande Exchange Management Shell. Pour plus d’informations, consultez la rubrique Créer un enregistrement TXT pour une fédération ou Gestion de la fédération.

Utiliser l’environnement de ligne de commande Exchange Management Shell pour créer une approbation de fédération

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Approbations de fédération » dans la rubrique Autorisation d’infrastructure Exchange et Shell.

  1. Cet exemple crée un identificateur de clé de l’objet unique à utiliser avec le certificat.

    $ski = [System.Guid]::NewGuid().ToString("N")
    
  2. Cet exemple crée un certificat auto-signé pour l’approbation de fédération avec Microsoft Federation Gateway.

    New-ExchangeCertificate -FriendlyName "Exchange Federated Delegation" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
    
  3. Cet exemple récupère le certificat auto-signé et crée l’approbation de fédération « Microsoft Federation Gateway ». Cela permet de déployer automatiquement le certificat auto-signé sur les serveurs Exchange de votre organisation.

    Get-ExchangeCertificate | ?{$_.friendlyname -eq "Exchange Federated Delegation"} | New-FederationTrust -Name "Microsoft Federation Gateway"
    

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques suivantes :

Utiliser l’environnement de ligne de commande Exchange Management Shell pour créer une approbation de fédération utilisant l’instance grand public de Microsoft Federation Gateway

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Approbations de fédération » dans la rubrique Autorisation d’infrastructure Exchange et Shell.

RemarqueRemarque :
Vous ne pouvez pas utiliser la console de gestion Exchange (EMC) pour créer une approbation de fédération utilisant l’instance grand public de Microsoft Federation Gateway.

Condition préalable

Pour créer une approbation de fédération utilisant l’instance grand public de Microsoft Federation Gateway, vous devez disposer d’un certificat X.509 valide répondant aux conditions préalables des approbations de fédération Le certificat doit être émis par une autorité de certification approuvée par Microsoft Federation Gateway. Ce certificat sera déployé automatiquement sur tous les serveurs d’accès au client et de transport Hub auxquels la tâche d’approbation de fédération peut accéder. Pour plus d’informations, consultez la rubrique Autorités de certification racine de confiance pour les approbations de fédération.

  1. Cet exemple permet d’obtenir une liste de certificats et leurs empreintes numériques

    Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | Format-List
    

    Where est un alias pour la cmdlet Where-Object. Il peut également être remplacé par l’alias ? (point d’interrogation). La cmdlet Get-Alias permet d’obtenir la liste de tous les alias disponibles dans l’environnement de ligne de commande Exchange Management Shell.

    S’il n’existe qu’un seul certificat non auto-signé sur le serveur, vous pouvez simplifier cette tâche en combinant les commandes de cette étape et de l’étape suivante. Vous pouvez rediriger les résultats obtenus par la cmdlet Get-ExchangeCertificate vers la cmdlet New-FederationTrust, comme l’illustre l’exemple suivant.

    Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | New-FederationTrust -Name "Microsoft Federation Gateway" -UseLegacyProvisioningService
    
  2. Cet exemple crée l’approbation de fédération Microsoft Federation Gateway.

    New-FederationTrust -Name "Microsoft Federation Gateway" -Thumbprint 6C8AABD537D53A78CB84E7EEBC8D759C96283ED3 -UseLegacyProvisioningService
    
    ImportantImportant :
    Après avoir créé une approbation de fédération, l’étape suivante dans la configuration de la délégation fédérée consiste à créer un enregistrement TXT séparé dans la zone DNS pour le sous-domaine de délégation fédérée mais aussi pour chaque adresse de messagerie principale ou domaine SMTP proxy que vous souhaitez fédérer. Comme vous avez créé une approbation de fédération utilisant l’instance grand public de Microsoft Federation Gateway, vous devez suivre les étapes décrites dans la partie consacrée à Exchange 2010 version RTM de la rubrique Créer un enregistrement TXT pour une fédération. Une fois que les enregistrements TXT sont disponibles dans la zone DNS, finalisez la configuration de l’approbation de fédération en utilisant l’Assistant Gestion de fédération dans la console de gestion Exchange (EMC) ou la cmdlet Set-FederatedOrganizationIdentifier dans l’environnement de ligne de commande Exchange Management Shell.

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Get-ExchangeCertificate et New-FederationTrust.

Autres tâches

Après avoir créé une approbation de fédération, vous pouvez également :

 © 2010 Microsoft Corporation. Tous droits réservés.