Se connecter avec Microsoft
S'identifier ou créer un compte.
Bonjour,
Sélectionnez un autre compte.
Vous avez plusieurs comptes
Choisissez le compte avec lequel vous voulez vous connecter.

INTRODUCTION

Cet article explique comment résoudre les problèmes de configuration de l’authentification unique dans un service cloud Microsoft tel que Office 365, Microsoft Intune ou Microsoft Azure.

Des conseils d’implémentation détaillés pour l’authentification unique (SSO) sont disponibles dans la documentation d’aide d’Azure Active Directory (Azure AD). Si vous rencontrez un problème lors de la configuration de l’authentification unique à l’aide de ces conseils, vous pouvez vous reporter à cet article. Il fournit une feuille de route pour vous aider à résoudre les problèmes courants liés à chaque étape de configuration.

PROCÉDURE

Comment résoudre les problèmes d’installation de l’authentification unique

Étape 1 : Préparer Active Directory

Conseils d’installation

Accédez au site web Microsoft suivant :

Préparer l’authentification unique

Validation de l’étape 1

Utilisez l’Assistant Évaluation des diagnostics de configuration de la synchronisation d’annuaires pour analyser Active Directory à la recherche de problèmes susceptibles d’entraîner des problèmes de synchronisation d’annuaires.

Résoudre les problèmes liés à la validation pour l’étape 1

  1. Remarque Une préparation incorrecte d’Active Directory ou un échec de résolution des problèmes identifiés par l’outil peut entraîner des problèmes de synchronisation d’annuaires. Suivez les conseils de résolution des problèmes proposés par l’Assistant Évaluation des diagnostics de configuration de la synchronisation d’annuaires pour corriger les problèmes et assurez-vous que l’Assistant Diagnostics s’exécute sans erreur. Cela empêche les problèmes suivants de se produire ultérieurement dans l’implémentation :

    • 2392130 Résoudre les problèmes de nom d’utilisateur qui se produisent pour les utilisateurs fédérés lorsqu’ils se connectent à Office 365, Azure ou Intune

    • 2001616 L’adresse e-mail Office 365 d’un utilisateur contient de façon inattendue un trait de soulignement après la synchronisation d’annuaires

    • 2643629 Un ou plusieurs objets ne se synchronisent pas lors de l’utilisation de l’outil de synchronisation Microsoft Azure Active Directory

  2. Réexécutez l’Assistant Diagnostics pour vérifier si le problème est résolu.

Étape 2 : architecture Services ADFS (AD FS)

Conseils d’installation

Accédez aux sites web Microsoft suivants :

Notez Support Microsoft n’aidera pas les clients à exécuter les instructions de configuration dans ces liens.

Étape 3 : Module Azure Active Directory pour Windows PowerShell pour l’authentification unique

Conseils d’installation

Accédez au site web Microsoft suivant :

Installer Windows PowerShell pour l’authentification unique avec AD FS

Validation de l’étape 3

Pour valider le module Azure Active Directory pour Windows PowerShell pour l’authentification unique, procédez comme suit :

  1. Exécutez le module Azure Active Directory pour Windows PowerShell en tant qu’administrateur.

  2. Tapez les commandes suivantes et veillez à appuyer sur Entrée après avoir tapé chaque commande :

    1. $cred=Get-Credential
      Remarque Lorsque vous y êtes invité, tapez vos informations d’identification d’administrateur de service cloud.

    2. Connect-MsolService -Credential $cred


      Remarque Cette commande vous connecte à Azure AD. Vous devez créer un contexte qui vous connecte à Azure AD avant d’exécuter les applets de commande supplémentaires installées par le module Azure Active Directory pour Windows PowerShell.

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server >



      Notes

      • Si vous avez installé le module Azure Active Directory pour Windows PowerShell sur le serveur Services ADFS principal (AD FS), vous n’avez pas besoin d’exécuter cette applet de commande.

      • Dans cette commande, l’espace réservé <serveur principal AD FS 2.0> représente le nom de domaine complet interne du serveur AD FS principal. Cette commande crée un contexte qui vous connecte à AD FS.

    4. Get-MSOLFederationProperty -DomainName < federated domain name >


      Remarque Dans cette commande, l’espace réservé <nom de domaine fédéré> représente le nom de domaine qui a été fédéré dans les étapes de configuration.

  3. Comparez la première moitié (Source : serveur AD FS) et la dernière moitié (Source : Microsoft Office 365) de la sortie de la commande Get-MSOLFederationProperty que vous avez exécutée à l’étape 2D. Toutes les entrées à l’exception de Source et FederationServiceDisplayName doivent correspondre. S’ils ne correspondent pas, utilisez la section « Résolution » de l’article suivant de la Base de connaissances Microsoft pour mettre à jour les données d’approbation de la partie de confiance :

    2647020 « Désolé, mais nous rencontrons des problèmes de connexion » et « 80041317 » ou « 80043431 » lorsqu’un utilisateur fédéré tente de se connecter à Office 365, Azure ou Intune

Résoudre les problèmes liés à la validation pour l’étape 3

Pour résoudre les problèmes, procédez comme suit :

  1. Résolvez les problèmes de validation courants à l’aide des articles suivants de la Base de connaissances Microsoft, en fonction de votre situation :

    • 2461873 Vous ne pouvez pas ouvrir le module Azure Active Directory pour Windows PowerShell

    • 2494043Vous ne pouvez pas vous connecter à l’aide du module Azure Active Directory pour Windows PowerShell

    • 2587730 erreur « Échec de la connexion à <ServerName> Services ADFS 2.0 » lorsque vous utilisez l’applet de commande Set-MsolADFSContext

    • 2279117 Un administrateur ne peut pas ajouter un domaine à un compte Office 365

    • Erreur lorsque vous exécutez l’applet de commande New-MsolFederatedDomain pour la deuxième fois, car la vérification du domaine échoue. Pour plus d’informations sur ce scénario, consultez l’article suivant de la Base de connaissances :

      2515404 Résoudre les problèmes de vérification de domaine dans Office 365

    • 2618887 erreur « L’identificateur de service de fédération spécifié dans le serveur AD FS 2.0 est déjà utilisé » lorsque vous essayez de configurer un autre domaine fédéré dans Office 365, Azure ou Intune

    • Les problèmes de temps entraînent des problèmes avec l’applet de commande New-MSOLFederatedDomain ou l’applet de commande Convert-MSOLDomainToFederated.

  2. Réexécutez les étapes de validation pour vérifier si le problème est résolu.

Étape 4 : Implémenter la synchronisation Active Directory

Conseils d’installation

Accédez aux sites web Microsoft suivants :

Validation de l’étape 4

Pour valider, procédez comme suit :

  1. Exécutez le module Azure Active Directory pour Windows PowerShell en tant qu’administrateur.

  2. Tapez les commandes suivantes. Veillez à appuyer sur Entrée après chaque commande.

    1. $cred=Get-Credential

      Remarque Lorsque vous y êtes invité, tapez vos informations d’identification d’administrateur de service cloud.

    2. Connect-MsolService -$cred

      d’informations d’identification Remarque Cette commande vous connecte à Azure AD. Vous devez créer un contexte qui vous connecte à Azure AD avant d’exécuter les applets de commande supplémentaires installées par le module Azure Active Directory pour Windows PowerShell.

    3. Get-MSOLCompanyInformation

  3. Vérifiez la valeur LastDirSyncTime de la sortie des commandes précédentes et assurez-vous qu’elle affiche une synchronisation après l’installation de l’outil de synchronisation Azure Active Directory.

    Remarque L’horodatage de cette valeur s’affiche en temps universel coordonné (heure de Greenwich).

  4. Si LastDirSyncTime n’est pas mis à jour, surveillez le journal des applications du serveur sur lequel l’outil de synchronisation Azure Active Directory est installé pour l’événement suivant :

    • Source : Synchronisation d’annuaires

    • ID d’événement : 4

    • Niveau : Informations

    Cet événement indique que la synchronisation d’annuaires s’est terminée sur le serveur. Dans ce cas, réexécutez ces étapes pour vous assurer que la valeur LastDirSyncTime a été mise à jour de manière appropriée.

Résoudre les problèmes liés à la validation pour l’étape 4

Résolvez les problèmes de validation courants à l’aide des articles suivants de la Base de connaissances Microsoft, en fonction de votre situation :

  • 2508225 « Échec de l’ouverture de session () avec le code d’erreur : 1789 » après avoir entré les informations d’identification de l’administrateur d’entreprise dans l’Assistant Configuration de l’outil de synchronisation Azure Active Directory

  • 2502710 erreur « Une erreur inconnue s’est produite avec l’Assistant Connexion microsoft Online Services » lorsque vous exécutez l’Assistant Configuration de l’outil de synchronisation Azure Active Directory

  • 2419250 erreur « L’ordinateur doit être joint à un domaine » lorsque vous essayez d’installer l’outil de synchronisation Azure Active Directory

  • 2643629 Un ou plusieurs objets ne se synchronisent pas lors de l’utilisation de l’outil de synchronisation Microsoft Azure Active Directory

  • 2641663 Comment utiliser la correspondance SMTP pour faire correspondre des comptes d’utilisateur locaux à Office 365 comptes d’utilisateur pour la synchronisation d’annuaires

  • 2492140 Vous ne pouvez pas attribuer un domaine fédéré à un utilisateur dans le portail Office 365

Étape 5 : préparation du client Office 365

Conseils d’installation

  1. Vérifiez les prérequis du client pour Office 365. Pour plus d’informations sur la configuration système requise pour Office 365, consultez Office 365 configuration requise.

  2. Exécutez Office 365 installation du bureau sur tous les ordinateurs clients qui utilisent des applications clientes enrichies. Les applications clientes enrichies incluent Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professionnel Plus 2010, le module Azure Active Directory pour Windows PowerShell. Applications de bureau Office et applications d’intégration Microsoft SharePoint.

  3. Si une expérience transparente et sans invite est attendue pour les ordinateurs clients joints à un domaine et connectés à un domaine, ajoutez l’URL du service de fédération AD FS à la zone intranet locale dans Windows Internet Explorer. Par exemple, procédez comme suit :

    1. Dans Internet Explorer, dans le menu Outils , cliquez sur Options Internet.

    2. Cliquez sur l’onglet Sécurité , sur Intranet local, sur Sites, puis sur Avancé.

    3. Tapez https://sts.contoso.com dans la zone Ajouter ce site web à la zone , puis cliquez sur Ajouter.

      Remarque « sts.contoso.com » représente le nom de domaine complet du service de fédération AD FS.

    Pour plus d’informations sur cette configuration, consultez l’article suivant de la Base de connaissances Microsoft :

    2535227 Un utilisateur fédéré est invité de manière inattendue à entrer ses informations d’identification de compte professionnel ou scolaire

  4. Si les ordinateurs clients joints à un domaine et connectés à un domaine accèdent à des ressources Internet à l’aide d’un serveur proxy qui résout les adresses Internet à l’aide de requêtes DNS publiques (et non de DNS à cerveau fractionné interne), ajoutez l’URL du service de fédération AD FS à la liste pour laquelle Internet Explorer contourne le filtrage proxy. Voici un exemple d’ajout de l’URL à la liste d’exceptions Internet Explorer :

    1. Dans Internet Explorer, dans le menu Outils , cliquez sur Options Internet.

    2. Sous l’onglet Connexions , cliquez sur Paramètres LAN, puis sur Avancé.

    3. Dans la zone Exceptions , entrez la valeur en utilisant le nom DNS complet du nom du point de terminaison de service AD FS. Par exemple, entrez sts.contoso.com.

Validation de l’étape 5

Pour valider, procédez comme suit :

  1. Assurez-vous que le service Assistant De connexion microsoft Online Services est installé et en cours d’exécution. Pour cela, procédez comme suit :

    1. Cliquez sur Démarrer, sur Exécuter, tapez Services.msc, puis cliquez sur OK.

    2. Recherchez l’entrée Assistant De connexion Microsoft Online Services, puis vérifiez que le service est en cours d’exécution.

    3. Si le service n’est pas en cours d’exécution, cliquez avec le bouton droit sur l’entrée, puis sélectionnez Démarrer.

  2. Accédez au site web AD FS MEX pour vous assurer que le point de terminaison fait partie de la zone de sécurité intranet d’Internet Explorer. Pour cela, procédez comme suit :

    1. Démarrez Internet Explorer, puis accédez au site web du point de terminaison de service AD FS. Voici un exemple de site web de point de terminaison de service :

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. Vérifiez la barre d’état en bas de la fenêtre pour vous assurer que la zone de sécurité indiquée pour cette URL est Intranet local.

Étape 6 : Validation finale

Sur un ordinateur client configuré, testez l’expérience d’authentification unique attendue. Pour ce faire, authentifiez-vous à l’aide d’un compte d’utilisateur fédéré. Vous pouvez tester l’authentification d’un utilisateur fédéré dans les scénarios suivants :

  • Dans le réseau local et authentifié auprès du Active Directory local

  • À partir d’un emplacement IP indépendant d’Internet et non authentifié à l’Active Directory local

Pour valider, procédez comme suit :

  1. Tester l’authentification web. Pour cela, appliquez l’une des méthodes suivantes :

    • Connectez-vous au portail de service cloud en tant qu’utilisateur fédéré à l’aide des informations d’identification Active Directory locales.

    • Connectez-vous à Outlook Web App en tant qu’utilisateur fédéré (à l’aide des informations d’identification Active Directory locales) disposant d’une boîte aux lettres Exchange Online. Par exemple, connectez-vous à Outlook Web App à l’URL suivante :

      https://outlook.com/owa/contoso.comNote Dans cette URL, « contoso.com » représente le nom de domaine fédéré.

    • Connectez-vous à Microsoft Office SharePoint Online en tant qu’utilisateur fédéré (à l’aide des informations d’identification Active Directory locales) qui a accès à la collection de sites d’équipe. Par exemple, connectez-vous à SharePoint Online à l’URL suivante :

      http://contoso.sharepoint.comNote Dans cette URL, « contoso » représente le nom de votre organisation.

  2. Testez l’authentification riche du client ou du demandeur actif. Pour cela, procédez comme suit :

    1. Configurez un profil client Skype Entreprise Online (anciennement Lync Online) pour un compte d’utilisateur fédéré, puis connectez-vous au compte à l’aide des informations d’identification Active Directory locales.

    2. Connectez-vous au module Azure Active Directory pour Windows PowerShell à l’aide d’un compte d’utilisateur fédéré qui a des informations d’identification d’administrateur général via l’applet de commande connect-MSOLService.

  3. Testez Exchange Online l’authentification de base à l’aide de Microsoft Remote Connectivity Analyzer. Pour plus d’informations sur l’utilisation de Remote Connectivity Analyzer, consultez l’article suivant dans la Base de connaissances Microsoft :

    2650717  Comment utiliser Remote Connectivity Analyzer pour résoudre les problèmes d’authentification unique pour Office 365, Azure ou Intune

Encore besoin d’aide ? Accédez à la Communauté Microsoft ou au site web forums Azure Active Directory .

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Découvrir Communauté

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.

Demandez à la Communauté Microsoft

Communauté technique Microsoft

Windows Insiders

Microsoft 365 Insiders

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?
En cliquant sur Envoyer, vos commentaires seront utilisés pour améliorer les produits et services de Microsoft. Votre administrateur informatique sera en mesure de collecter ces données. Déclaration de confidentialité.

Nous vous remercions de vos commentaires.

×