Résoudre les problèmes de configuration de l’authentification unique dans Office 365, Intune ou Azure

S’applique à : Produits OfficeCloud Services (Web roles/Worker roles)Azure Active Directory

INTRODUCTION


Cet article explique comment résoudre les problèmes de configuration de l’authentification unique dans un service de Cloud Computing Microsoft tel que Office 365, Microsoft Intune ou Microsoft Azure. des instructions d’implémentation détaillées pour l’authentification unique sont disponibles dans la documentation d’aide d’Azure Active Directory (Azure AD). Si vous rencontrez un problème lorsque vous configurez l’authentification unique à l’aide de ces instructions, vous pouvez vous référer à cet article. Il fournit une introduction à la résolution des problèmes courants liés à chaque étape du programme d’installation.

PROCÉDURE


Comment résoudre les problèmes de configuration de l’authentification unique

Étape 1 : préparer Active Directory

Conseils de configuration
Rendez-vous sur le site Web de Microsoft suivant :
Validation de l’étape 1
Utilisez l’Assistant de diagnostics de configuration de la synchronisation d’annuaires pour détecter les problèmes liés à la synchronisation d’annuaires dans Active Directory.
 
Résoudre les problèmes de validation pour l’étape 1
 
  1. Remarque Préparation incorrecte d’Active Directory ou échec de la résolution des problèmes identifiés par l’outil peut entraîner des problèmes de synchronisation d’annuaires. Suivez les recommandations en matière de résolution des problèmes proposés par l’Assistant évaluation des diagnostics de l’installation de la synchronisation d’annuaires pour résoudre les problèmes, et assurez-vous que l’Assistant Diagnostics s’exécute sans erreur. Cela empêche les problèmes suivants de se produire plus tard dans l’implémentation :
    • 2392130  Résoudre les problèmes de nom d’utilisateur qui se produisent pour les utilisateurs fédérés lors de la connexion à Office 365, Azure ou Intune  
    • 2001616 L’adresse de messagerie 365 d’un utilisateur contient un trait de soulignement après la synchronisation d’annuaires.
    • 2643629  Un ou plusieurs objets ne se synchronisent pas lors de l’utilisation de l’outil de synchronisation Microsoft Azure Active Directory
  2. Réexécutez l’Assistant Diagnostics pour vérifier si le problème est résolu.

Étape 2 : architecture AD FS (Active Directory Federation Services)

Conseils de configurationRendez-vous sur le site Web de Microsoft suivant :Remarques Le support technique de Microsoft n’aide pas les clients à exécuter les instructions de configuration de ces liens.

Étape 3 : le module Azure Active Directory pour Windows PowerShell pour l’authentification unique

Conseils de configuration
Rendez-vous sur le site Web de Microsoft suivant :
Validation de l’étape 3
Pour valider le module Azure Active Directory pour Windows PowerShell pour l’authentification unique, procédez comme suit :
  1. Exécutez le module Azure Active Directory pour Windows PowerShell en tant qu’administrateur.
  2. Tapez les commandes suivantes et assurez-vous d’appuyer sur entrée après avoir tapé chaque commande :
    1. $cred=Get-Credential 
      Remarques Lorsque vous y êtes invité, tapez vos informations d’identification d’administrateur de service Cloud.
    2. Connect-MsolService -Credential $cred 
      RemarqueCette commande vous connecte à Azure AD. Vous devez créer un contexte pour vous connecter à Azure AD avant d’exécuter toute applet de cmdlet supplémentaire installée par le module Azure Active Directory pour Windows PowerShell.
    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server > 
      Remarques
      • Si vous avez installé le module Azure Active Directory pour Windows PowerShell sur le serveur AD FS (Active Directory Federation Services) principal, vous n’avez pas à exécuter cette cmdlet.
      • Dans cette commande, l’espace réservé <> serveur principal AD FS 2,0 représente le nom de domaine complet (FQDN) interne du serveur AD FS principal. Cette commande crée un contexte qui vous connecte à AD FS.
    4. Get-MSOLFederationProperty -DomainName < federated domain name > 
      Remarque Dans cette commande, l’espace réservé <nom de domaine fédéré> représente le nom de domaine fédéré dans les étapes de l’installation.
  3. Comparez la première moitié (source : serveur AD FS) et la dernière moitié (source : Microsoft Office 365) de la sortie de la commande Get-MSOLFederationProperty que vous avez exécutée à l’étape 2d. Toutes les entrées à l’exception de source et FederationServiceDisplayName doivent correspondre. S’ils ne correspondent pas, utilisez la section « résolution » de l’article suivant de la base de connaissances Microsoft pour mettre à jour les données d’approbation de la partie de confiance :2647020 « Désolé... nous rencontrons des difficultés pour vous connecter » et « 80041317 » ou « 80043431 » lors d’une tentative de connexion à Office 365, Azure ou Intune 
Résoudre les problèmes de validation pour l’étape 3Pour résoudre les problèmes, procédez comme suit :
  1. Pour résoudre les problèmes de validation courants, utilisez les articles suivants de la base de connaissances Microsoft, en fonction de votre situation :
    • 2461873  Vous ne pouvez pas ouvrir le module Azure Active Directory pour Windows PowerShell 
    • 2494043 Vous ne pouvez pas vous connecter à l’aide du module Azure Active Directory pour Windows PowerShell
    • 2587730 « échec de la connexion à <ServerName> le serveur 2,0 de services ADFS (Active Directory Federation Services) » lorsque vous utilisez l’applet de contrôle Set-MsolADFSContext
    • 2279117 Un administrateur ne peut pas ajouter de domaine à un compte 365 Office
    • Erreur lorsque vous exécutez l’applet de nouvelle applet de MsolFederatedDomain pour la deuxième fois, car la vérification du domaine échoue. Pour plus d’informations sur ce scénario, voir l’article de la base de connaissances suivant :
      2515404 Résoudre les problèmes de vérification du domaine dans Office 365
    • le message d’erreur « l’identificateur du service de Fédération spécifié dans le serveur AD FS 2,0 est déjà en cours d’utilisation » s’affiche lorsque vous essayez de configurer un autre domaine fédéré dans Office 365, Azure ou Intune 2618887 
    • Des problèmes de temps peuvent entraîner des problèmes liés à l’applet de nouvelle applet de nouvelle-MSOLFederatedDomain ou à l’applet de connexion Convert-MSOLDomainToFederated . Pour plus d’informations sur ce scénario, voir l’article de la base de connaissances suivant :
      2578667 "Désolé, nous rencontrons des difficultés pour vous connecter" et "80045C06" lors de la tentative de connexion d’un utilisateur fédéré à Office 365, Azure ou Intune
  2. Relancez la procédure de validation pour vérifier si le problème est résolu.

Étape 4 : mettre en œuvre la synchronisation Active Directory

Conseils de configuration
Rendez-vous sur le site Web de Microsoft suivant :
Validation de l’étape 4
Pour valider, procédez comme suit :
  1. Exécutez le module Azure Active Directory pour Windows PowerShell en tant qu’administrateur.
  2. Tapez les commandes suivantes. Veillez à appuyer sur Entrée après chaque commande.
    1. $cred=Get-Credential 
      Remarques Lorsque vous y êtes invité, tapez vos informations d’identification d’administrateur de service Cloud.
    2. Connect-MsolService -Credential $cred 
      Remarques Cette commande vous connecte à Azure AD. Vous devez créer un contexte pour vous connecter à Azure AD avant d’exécuter toute applet de cmdlet supplémentaire installée par le module Azure Active Directory pour Windows PowerShell.
    3. Get-MSOLCompanyInformation 
  3. Vérifiez la valeur d'heure de LastDirSyncà partir de la sortie des commandes précédentes et assurez-vous qu’elle affiche une synchronisation après l’installation de l’outil de synchronisation Azure Active Directory.Remarque Le cachet de date et d’heure de cette valeur est affiché en temps universel coordonné (heure de Greenwich).
  4. Si LastDirSyncTime n’est pas mis à jour, analysez le journal des applications du serveur sur lequel est installé l’outil de synchronisation Azure Active Directory pour l’événement suivant :
    • Source: synchronisation d’annuaires
    • ID d’événement: 4
    • Niveau: informations
    Cet événement indique que la synchronisation d’annuaires est terminée sur le serveur. Lorsque c’est le cas, relancez ces étapes pour vous assurer que la valeur LastDirSyncTime a été mise à jour de manière appropriée.
Résoudre les problèmes de validation pour l’étape 4Pour résoudre les problèmes de validation courants, utilisez les articles suivants de la base de connaissances Microsoft, en fonction de votre situation :
  • 2386445   Erreur lors de l’exécution de l’outil de synchronisation Azure Active Directory : « votre version de l’Assistant Configuration de la synchronisation Windows Azure Active Directory est obsolète » 
  • 2310320  Erreur lors de l’exécution de l’Assistant de configuration de l’outil de synchronisation Azure Active Directory : «vos informations d’identification n’ont pas pu être authentifiées. Retapez vos informations d’identification et réessayez. 
  • 2508225 "LogonUser () a échoué avec le code d’erreur : 1789" après avoir entré les informations d’identification de l’administrateur d’entreprise dans l’Assistant Configuration de l’outil de synchronisation Azure Active Directory.
  • 2502710 "erreur inconnue liée à l’Assistant de connexion de Microsoft Online Services" lors de l’exécution de l’Assistant Configuration de l’outil de synchronisation Azure Active Directory 
  • erreur « l’ordinateur doit être joint à un domaine » lorsque vous essayez d’installer l’outil de synchronisation Azure Active Directory 2419250 
  • 2643629  Un ou plusieurs objets ne se synchronisent pas lors de l’utilisation de l’outil de synchronisation Microsoft Azure Active Directory
  • 2641663 Utiliser le filtrage SMTP pour faire correspondre les comptes d’utilisateurs locaux aux comptes d’utilisateurs Office 365 pour la synchronisation d’annuaires
  • 2492140 Vous ne pouvez pas attribuer de domaine fédéré à un utilisateur dans le portail Office 365

Étape 5 : préparation du client Office 365

Conseils de configuration
  1. Consultez la configuration requise pour le client pour Office 365. Pour plus d’informations sur la configuration requise pour Office 365, voir Configuration système requise pour office 365.
  2. Exécution de la configuration du bureau Office 365 sur tous les ordinateurs clients qui utilisent des applications clientes enrichies. Les applications clientes enrichies incluent Microsoft Outlook, Microsoft Lync 2010, Microsoft Office professionnel plus 2010, Azure Active Directory pour Windows PowerShell. Applications de bureau Office et applications d’intégration Microsoft SharePoint. Remarque La configuration du bureau Office 365 est disponible sur http://g.microsoftonline.com/0BX10en/436 ?!Office365DesktopSetup.application.
  3. Dans le cas où une utilisation transparente, sans invite de commande est attendue pour les ordinateurs clients liés à un domaine et connectés à un domaine, ajoutez l’URL du service de fédération AD FS à la zone Intranet local dans Windows Internet Explorer. Par exemple, procédez comme suit :
    1. Dans le menu Outils d’Internet Explorer, cliquez sur Options Internet.
    2. Cliquez sur l’onglet sécurité , cliquez sur Intranet local, sur sites, puis sur avancé.
    3. Tapez https://STS.contoso.com dans la zone ajouter ce site Web à la zone , puis cliquez sur Ajouter.Remarques « sts.contoso.com » représente le nom de domaine complet du service de fédération AD FS.
    Pour plus d’informations sur cette configuration, reportez-vous à l’article suivant de la base de connaissances Microsoft :
    2535227  Un utilisateur fédéré est invité de façon inattendue à entrer ses informations d’identification de compte professionnel ou scolaire.
  4. Si les ordinateurs clients liés à un domaine et connectés à un domaine accèdent aux ressources Internet à l’aide d’un serveur de proxy qui résout les adresses Internet à l’aide de requêtes DNS publiques (et non de DNS, Split-Mac), ajoutez l’URL du service de fédération AD FS à la liste pour laquelle Internet Explorer va éviter le filtrage de proxy. Voici un exemple illustrant l’ajout de l’URL à la liste d’exceptions d’Internet Explorer :
    1. Dans le menu Outils d’Internet Explorer, cliquez sur Options Internet.
    2. Dans l’onglet connexions , cliquez sur paramètres réseau, puis sur avancé.
    3. Dans la zone exceptions , entrez la valeur à l’aide du nom DNS complet du nom du point de terminaison du service AD FS. Par exemple, entrez STS.contoso.com.
Validation pour l’étape 5 Pour valider, procédez comme suit :
  1. Assurez-vous que le service Assistant de connexion de Microsoft Online Services est installé et en cours d’exécution. Pour cela, procédez comme suit :
    1. Cliquez sur Démarrer, sur exécuter, tapez services. msc, puis cliquez sur OK.
    2. Recherchez l’entrée Assistant de connexion de Microsoft Online Services, puis assurez-vous que le service est en cours d’exécution.
    3. Si le service n’est pas en cours d’exécution, cliquez avec le bouton droit sur l’entrée, puis sélectionnez Démarrer.
  2. Accédez au site Web de MEX AD FS pour vous assurer que le point de terminaison fait partie de la zone de sécurité Intranet d’Internet Explorer. Pour cela, procédez comme suit :
    1. Démarrez Internet Explorer, puis accédez au site Web de point de terminaison de service AD FS. Voici un exemple de site Web de point de terminaison de service :
      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml
    2. Dans la barre d’État en bas de la fenêtre, vérifiez que la zone de sécurité indiquée pour cette URL est l' Intranet local.

Étape 6 : validation finale

Sur un ordinateur client configuré, testez l’interface d’authentification unique prévue. Pour cela, vous devez vous authentifier à l’aide d’un compte d’utilisateur fédéré. Vous pouvez tester l’authentification d’un utilisateur fédéré dans les cas suivants :
  • Sur le réseau local et authentifiés dans l’annuaire Active Directory local
  • À partir d’un emplacement IP indépendant d’Internet et non authentifié dans l’annuaire Active Directory local
Pour valider, procédez comme suit :
  1. Tester l’authentification Web. Pour cela, appliquez l’une des méthodes suivantes :
    • Connectez-vous au portail de service Cloud en tant qu’utilisateur fédéré en utilisant les informations d’identification Active Directory locales.
    • Connectez-vous à Outlook Web App en tant qu’utilisateur fédéré (à l’aide des informations d’identification Active Directory locales) qui dispose d’une boîte aux lettres Exchange Online. Par exemple, connectez-vous à Outlook Web App à l’URL suivante :
      https://outlook.com/owa/contoso.com
      RemarqueDans cette URL, « contoso.com » représente le nom de domaine fédéré.
    • Connectez-vous à Microsoft SharePoint Online en tant qu’utilisateur fédéré (en utilisant les informations d’identification Active Directory locales) qui ont accès à la collection de sites d’équipe. Par exemple, connectez-vous à SharePoint Online à l’adresse suivante :
      http://contoso.sharepoint.com
      Remarque Dans cette URL, « contoso » représente le nom de votre organisation.
  2. Testez l’authentification du client complet ou du demandeur actif. Pour cela, procédez comme suit :
    1. Configurez un profil client Skype entreprise Online (auparavant Lync Online) pour un compte d’utilisateur fédéré, puis connectez-vous au compte à l’aide des informations d’identification locales d’Active Directory.
    2. Connectez-vous au module Azure Active Directory pour Windows PowerShell en utilisant un compte d’utilisateur fédéré disposant d’informations d’identification d’administrateur général par le biais de l’applet de contrôle Connect-MSOLService .
  3. Testez l’authentification de base Exchange Online à l’aide de Microsoft Remote Connectivity Analyzer. Pour plus d’informations sur l’utilisation de l’analyseur de connectivité à distance, consultez l’article suivant de la base de connaissances Microsoft : 
    2650717   Utiliser l’analyseur de connectivité à distance pour résoudre les problèmes de connexion unique pour Office 365, Azure ou Intune 
Encore besoin d’aide ? Accédez à la communauté Microsoft ou au site Web des Forums Azure Active Directory .