Créer un proxy d’application dans Azure pour les Work Folders

Introduction

Nous avons mis en place les Work Folders dans un précédent article, tester son intégration en interne, tout fonctionne parfaitement, c’est bien, mais maintenant j’aimerait que ça fonctionne aussi depuis l’extérieur, y compris sur mon smartphone Android et allez soyons fou aussi sur l’iPad de la maison (un article viendra prochainement pour ces 2 appareils).

Prérequis

• Un abonnement Microsoft Azure AD de base ou premium et un annuaire Azure AD pour lequel vous êtes un administrateur global.
• Une forêt de Active Directory avec des extensions de schéma Windows Server 2012 R2 minimum.
• Vos comptes utilisateurs Active Directory sur site sont synchronisés avec Azure AD à l’aide d’Azure AD Connect.
• Un serveur Work Folders exécutant Windows Server 2012 R2 ou supérieur.
• Un serveur exécutant Windows Server 2012 R2 ou une version ultérieure sur lequel où vous pouvez installer le connecteur Proxy d’application.
• Un client Windows 10 version 1703, Android ou iOS.

Création du Proxy d’application dans Azure AD

1. Se connecter à Azure avec un compte administrateur global.
2. Aller dans Azure Active Directory > Applications d’entreprise.

3. Cliquer sur Nouvelle application.

4. Cliquer sur All > Application locale > Télécharger le connecteur Proxy d’application, puis Accepter les conditions d’utilisation et télécharger.

5. Installer le connecteur Microsoft Azure Active Directory Application Proxy.

6. Se connecter avec son compte Azure quand c’est demandé.

5. Cliquer sur J’ai terminé l’installation.

7. Ajouter votre application locale:

• Nom: Nom de votre application (à titre d’identification).
• URL Interne: L’URL interne de votre serveur Work Folder (par exemple: workfolders.domain.lan).
• URL Externe: L’URL est peuplée automatiquement par le nom de votre application.
• Pre Authentification: Azure Active Directory.
• Expiration de l’application principale: Par défaut.
• Traduire les URL dans En-têtes: Oui.

PS: Si vous n’avez pas les boutons Ajouter et Ignorer, c’est que vous n’avez pas installé le connecteur 😉

8. Cliquer sur le nom de l’Application Proxy créée > Cliquer sur Utilisateurs et groupes > Ajouter un utilisateur et ajouter les groupes ou utilisateurs qui auront droit de se connecter aux Work Folders.

Contrôle du fonctionne du connecteur Application Proxy

1. Se connecter dans le portail Azure > Azure Active Directory -> Proxy d’application.
2. Si tout va bien, on devrait avoir le nom du serveur où le connecteur est installé, sont IP externe, ainsi que son statut.

Créer l’application native dans Azure AD

1. Se connecter dans le portail Azure > Azure Active Directory -> Inscription des applications.

2. Créer une nouvelle application:
Nom: Nom de l’application, par exemple: Work Folders Natif
Type d’application: Native
URI de redirection: https://168f3ee4-63fc-4723-a61a-6473f6cb515c/redir

3. Ensuite cliquer sur Paramètres.

4. Cliquer sur URI de redirection et entrer les URI suivantes:

• x-msauth-msworkfolders://com.microsoft.workfolders
• msauth://com.microsoft.workfolders/Cb61uxHImS0Da29PGZyTdl9APp0%3D
• ms-appx-web://microsoft.aad.brokerplugin/*
  Remplacez * par l’ID de l’application qui est répertoriée pour l’application Work Folders Natif

5. Cliquer sur Autorisations requises, puis cliquer sur Windows Azure Active Directory.

6. Activer les permissions suivantes et cliquer sur Enregistrer:

• Sign in and read user profile
• Access the directory as the signed-in user

7. Sous Autorisations requises, cliquer sur Ajouter > Sélectionner une API > Windows Azure Service Management API.

8. Autoriser l’accès à Azure Service Management as organisation users et cliquer sur Sélectionner, puis cliquer sur Terminé.

9. Toujours sous Autorisations requises, cliquer sur Ajouter > Sélectionner une API > Rechercher Work Folder ou le nom de l’application Proxy créée précédemment.

10. Activer l’autorisation à Work Folder.

11. Si tout est bien configuré on devrait avoir ceci:

Créer un SPN pour le serveur contenant les Work Folders

1. Sur un contrôleur de domaine, ouvrir un invité de commande en tant qu’administrateur.
2. Entrer la commande suivante en validant par la touche Entrée:
   setspn -S http/workfolders.domain.lan servername
   
   workfolders.domain.lan = à l’URL interne du proxy d’application pour les Work Folders.

Configurer la délégation restreinte pour le serveur Application Proxy Connector

1. Sur un contrôleur de domaine, ouvrez Utilisateurs et ordinateurs Active Directory.
2. Localisez l’ordinateur sur lequel le connecteur est exécuté.
3. Double-cliquez sur l’ordinateur, puis cliquez sur l’onglet Délégation.
4. Sélectionnez Faire confiance à cet ordinateur pour la délégation aux services spécifiés uniquement, puis sélectionnez Utiliser tout protocole d’authentification.
5. Cliquez sur Ajouter, cliquez sur Utilisateurs ou Ordinateurs, entrez le nom du serveur Dossiers de travail et cliquez sur OK.
6. Dans la fenêtre Ajouter des services, sélectionnez le SPN créé et cliquez sur OK.
7. Vérifiez que le SPN a été ajouté et cliquez sur OK.

Steven Bart

Fondateur de StevenBart.com – Suisse.
Je suis dans l’informatique depuis 2001, je travaille en tant qu’architecte poste de travail et m’occupe principalement de l’administration de MEMCM (SCCM), du déploiement en masse de postes de travail et d’applications. En savoir plus sur moi.