Déploiement de Dossiers de travail

Cet article décrit les étapes à effectuer pour déployer Dossiers de travail. Il part du principe que vous avez déjà lu La planification d’un déploiement de dossiers de travail.

Pour déployer Dossiers de travail, un processus qui peut impliquer plusieurs serveurs et technologies, effectuez les étapes suivantes.

Étape 1 : obtenir des certificats SSL

Dossiers de travail utilise HTTPS pour synchroniser en toute sécurité les fichiers entre les clients Dossiers de travail et le serveur Dossiers de travail. Les critères requis pour les certificats SSL utilisés par Dossiers de travail sont les suivants :

• Le certificat doit être délivré par une autorité de certification approuvée. Pour la plupart des implémentations de Dossiers de travail, une autorité de certification publiquement approuvée est conseillée dans la mesure où les certificats seront utilisés par des appareils basés sur Internet et n’appartenant pas à un domaine.

• Le certificat doit être valide.

• La clé privée du certificat doit pouvoir être exportée (car vous devrez installer le certificat sur plusieurs serveurs).

• Le nom de l’objet du certificat doit contenir l’URL de dossiers de travail publique utilisée pour découvrir le service Dossiers de travail à partir d’Internet : il doit s’agir du format de workfolders.<domain_name>.

• Les autres noms de sujet doivent être présents sur le certificat qui répertorie le nom de chaque serveur de synchronisation utilisé.

  Le blog Gestion des certificats Work Folders fournit des informations supplémentaires sur l'utilisation des certificats avec Work Folders.

Étape 2 : créer des enregistrements DNS

Pour permettre aux utilisateurs d’effectuer la synchronisation sur Internet, vous devez créer un enregistrement d’hôte (A) dans le DNS public pour autoriser les clients Internet à résoudre votre URL de Dossiers de travail. Cet enregistrement DNS doit être résolu en interface externe du serveur proxy inverse.

Sur votre réseau interne, créez un enregistrement CNAME dans le DNS nommé workfolders qui se résout en le FQDN d'un serveur Work Folders. Lorsque les clients Dossiers de travail utilisent la découverte automatique, l’URL utilisée pour découvrir le serveur Dossiers de travail est https://workfolders.domain.com. Si vous envisagez d’utiliser la découverte automatique, l’enregistrement CNAME des dossiers de travail doit exister dans DNS.

Étape 3 : installer Dossiers de travail sur des serveurs de fichiers

Vous pouvez installer Dossiers de travail sur un serveur appartenant à un domaine en utilisant le Gestionnaire de serveur ou Windows PowerShell, en local ou à distance sur un réseau. Cela s’avère utile si vous configurez plusieurs serveurs de synchronisation sur votre réseau.

Pour déployer le rôle dans le Gestionnaire de serveur, procédez comme suit :

1. Démarrez l’Assistant Ajout de rôles et de fonctionnalités.

2. Dans la page Sélectionner le type d’installation , choisissez Déploiement basé sur un rôle ou une fonctionnalité.

3. Dans la page Sélectionner un serveur de destination , sélectionnez le serveur sur lequel vous souhaitez installer dossiers de travail.

4. Dans la page Sélectionner des rôles de serveur , développez Services de fichiers et de stockage, développez Fichiers et services iSCSI, puis sélectionnez Dossiers de travail.

5. Lorsque vous êtes invité à installer IIS Hostable Web Core, cliquez sur Ok pour installer la version minimale d’Internet Information Services (IIS) requise par dossiers de travail.

6. Cliquez sur Suivant jusqu’à ce que vous ayez terminé l’Assistant.

Pour déployer le rôle à l’aide de Windows PowerShell, utilisez l’applet de commande suivante :

Add-WindowsFeature FS-SyncShareService

Étape 4 : lier le certificat SSL aux serveurs de synchronisation

La fonctionnalité Dossiers de travail installe IIS Hostable Web Core, qui est un composant IIS conçu pour activer les services Web sans nécessiter une installation complète des services Internet (IIS). Après l’installation d’IIS Hostable Web Core, vous devez lier le certificat SSL pour le serveur au site Web par défaut sur le serveur de fichiers. Toutefois, IIS Hostable Web Core n’installe pas la Console de gestion IIS.

Il existe deux possibilités pour lier le certificat à l’interface Web par défaut. Vous devez dans les deux cas avoir installé la clé privée pour le certificat dans le magasin personnel de l’ordinateur.

• Utilisez la Console de gestion IIS sur un serveur sur lequel elle est installée. À partir de la Console, connectez-vous au serveur de fichiers à gérer, puis sélectionnez le site Web par défaut pour ce serveur. Le site Web par défaut apparaît désactivé, mais vous pouvez quand même modifier les liaisons pour le site et sélectionner le certificat pour le lier à ce site Web.

• Utilisez la commande netsh pour lier le certificat à l’interface https du site Web par défaut. Exécutez la commande suivante pour lier le certificat. Veillez à remplacer le <Cert thumbprint> par l'empreinte du certificat que vous souhaitez lier, le <IP address> par l'adresse IP du serveur et le <App GUID> par un GUID que vous générez. Vous pouvez générer un GUID à l’aide de l’applet de commande New-Guid dans Windows PowerShell.

  netsh http add sslcert ipport=<IP address>:443 certhash=<Cert thumbprint> appid={App GUID} certstorename=MY
  

Étape 5 : créer des groupes de sécurité pour Dossiers de travail

Avant de créer des partages de synchronisation, un membre du groupe Admins du domaine ou Administrateurs de l’entreprise doit créer quelques groupes de sécurité dans les services de domaine Active Directory (AD DS) pour Dossiers de travail (il peut également vouloir déléguer une partie du contrôle comme décrit à l’étape 6). Voici les groupes dont vous avez besoin :

• Un groupe par partage de synchronisation pour indiquer les utilisateurs qui sont autorisés à effectuer la synchronisation avec le partage de synchronisation

• Un groupe pour tous les administrateurs de Dossiers de travail afin qu’ils puissent modifier un attribut sur chaque objet utilisateur qui lie l’utilisateur au serveur de synchronisation approprié (si vous allez utiliser plusieurs serveurs de synchronisation)

  Les groupes doivent suivre une convention d’affectation de noms standard et ne doivent être utilisés que pour Dossiers de travail afin d’éviter des conflits éventuels avec d’autres exigences de sécurité.

  Pour créer les groupes de sécurité appropriés, utilisez la procédure suivante plusieurs fois, une fois pour chaque partage de synchronisation et une fois pour créer éventuellement un groupe pour les administrateurs des serveurs de fichiers.

Pour créer des groupes de sécurité pour Dossiers de travail

1. Ouvrez Gestionnaire de serveur sur un ordinateur Windows Server 2012 R2 ou Windows Server 2016 sur lequel le Centre d’administration Active Directory est installé.

2. Dans le menu Outils , cliquez sur Centre d’administration Active Directory. Le Centre d’administration Active Directory s’affiche.

3. Cliquez avec le bouton droit sur le conteneur dans lequel vous souhaitez créer le nouveau groupe (par exemple, le conteneur Utilisateurs du domaine ou de l’unité d’organisation approprié), cliquez sur Nouveau, puis cliquez sur Groupe.

4. Dans la fenêtre Créer un groupe , dans la section Groupe , indiquez les paramètres suivants :

   • Dans le nom du groupe, tapez le nom du groupe de sécurité, par exemple : Utilisateurs de partage de synchronisation RH ou Administrateurs de dossiers de travail.

   • Dans l’étendue du groupe, cliquez sur Sécurité, puis sur Global.

5. Dans la section Membres , cliquez sur Ajouter. La boîte de dialogue Sélectionnez Utilisateurs, Contacts, Ordinateurs ou Groupes s’affiche.

6. Tapez les noms des utilisateurs ou des groupes auxquels vous accordez l’accès à un partage de synchronisation particulier (si vous créez un groupe pour contrôler l’accès à un partage de synchronisation) ou tapez les noms des administrateurs dossiers de travail (si vous allez configurer des comptes d’utilisateur pour découvrir automatiquement le serveur de synchronisation approprié), cliquez sur OK, puis sur OK à nouveau.

Pour créer un groupe de sécurité à l’aide de Windows PowerShell, utilisez les applets de commande suivantes :

$GroupName = "Work Folders Administrators"
$DC = "DC1.contoso.com"
$ADGroupPath = "CN=Users,DC=contoso,DC=com"
$Members = "CN=Maya Bender,CN=Users,DC=contoso,DC=com","CN=Irwin Hume,CN=Users,DC=contoso,DC=com"

New-ADGroup -GroupCategory:"Security" -GroupScope:"Global" -Name:$GroupName -Path:$ADGroupPath -SamAccountName:$GroupName -Server:$DC
Set-ADGroup -Add:@{'Member'=$Members} -Identity:$GroupName -Server:$DC

Étape 6 : déléguer éventuellement le contrôle des attributs utilisateur aux administrateurs de Dossiers de travail

Si vous déployez plusieurs serveurs de synchronisation et voulez diriger automatiquement les utilisateurs vers le serveur de synchronisation approprié, vous devez mettre à jour un attribut sur chaque compte d’utilisateur dans les services de domaine AD DS. Toutefois, cette opération exige normalement de demander à un membre du groupe Admins du domaine ou Administrateurs de l’entreprise de mettre à jour les attributs, ce qui peut devenir rapidement pénible si vous devez fréquemment ajouter des utilisateurs ou les déplacer entre les serveurs de synchronisation.

Pour cette raison, un membre du groupe Admins du domaine ou Administrateurs de l’entreprise peut vouloir déléguer la capacité à modifier la propriété msDS-SyncServerURL des objets utilisateur au groupe Administrateurs de Dossiers de travail que vous avez créé à l’étape 5, comme décrit dans la procédure suivante.

Déléguer la capacité à modifier la propriété msDS-SyncServerURL sur des objets utilisateur dans les services de domaine Active Directory

1. Ouvrez Gestionnaire de serveur sur un ordinateur Windows Server 2012 R2 ou Windows Server 2016 sur lequel Utilisateurs et ordinateurs Active Directory est installé.

2. Dans le menu Outils , cliquez sur Utilisateurs et ordinateurs Active Directory. Le composant Utilisateurs et ordinateurs Active Directory s’affiche.

3. Cliquez avec le bouton droit sur l’unité d’organisation sous laquelle tous les objets utilisateur existent pour dossiers de travail (si les utilisateurs sont stockés dans plusieurs unités d’organisation ou domaines, cliquez avec le bouton droit sur le conteneur commun à tous les utilisateurs), puis cliquez sur Déléguer le contrôle.... L’Assistant Délégation de contrôle s’affiche.

4. Dans la page Utilisateurs ou groupes , cliquez sur Ajouter... puis spécifiez le groupe que vous avez créé pour les administrateurs dossiers de travail (par exemple , Administrateurs dossiers de travail).

5. Dans la page Tâches à déléguer , cliquez sur Créer une tâche personnalisée à déléguer.

6. Dans la page Type d’objet Active Directory , cliquez uniquement sur les objets suivants dans le dossier, puis activez la case à cocher Objets Utilisateur .

7. Dans la page Autorisations, décochez la case Général, cochez la case Spécifique à la Propriété, puis cochez les cases Lire msDS-SyncServerUrl et Écrire msDS-SyncServerUrl.

Pour déléguer la capacité à modifier la propriété msDS-SyncServerURL sur des objets utilisateur à l’aide de Windows PowerShell, utilisez l’exemple de script suivant qui emploie la commande DsAcls.

$GroupName = "Contoso\Work Folders Administrators"
$ADGroupPath = "CN=Users,dc=contoso,dc=com"

DsAcls $ADGroupPath /I:S /G ""$GroupName":RPWP;msDS-SyncServerUrl;user"

Étape 7 : créer des partages de synchronisation pour les données utilisateur

À ce stade, vous êtes prêt à désigner un dossier sur le serveur de synchronisation pour stocker les fichiers des utilisateurs. Ce dossier est appelé partage de synchronisation et vous pouvez procéder comme suit pour en créer un.

1. Si vous ne disposez pas déjà d’un volume NTFS avec de l’espace libre pour le partage de synchronisation et les fichiers utilisateur qu’il contiendra, créez un volume et formatez-le avec le système de fichiers NTFS.

2. Dans le Gestionnaire de serveur, cliquez sur Services de fichiers et de stockage, puis sur Dossiers de travail.

3. Une liste de tous les partages de synchronisation existants est visible en haut du volet d’informations. Pour créer un partage de synchronisation, dans le menu Tâches , choisissez Nouveau partage de synchronisation.... L’Assistant Nouveau partage de synchronisation s’affiche.

4. Dans la page Sélectionner le serveur et le chemin d’accès , spécifiez où stocker le partage de synchronisation. Si vous disposez déjà d’un partage de fichiers créé pour ces données utilisateur, vous pouvez choisir ce partage. Vous pouvez aussi créer un dossier.

   Note

   Par défaut, les partages de synchronisation ne sont pas directement accessibles via un partage de fichiers (sauf si vous choisissez un partage de fichiers existant). Si vous souhaitez rendre un partage de synchronisation accessible via un partage de fichiers, utilisez la vignette Partages du Gestionnaire de serveur ou l’applet de commande New-SmbShare pour créer un partage de fichiers, de préférence avec l’énumération basée sur l’accès activée.

5. Dans la page Spécifier la structure des dossiers utilisateur , choisissez une convention d’affectation de noms pour les dossiers utilisateur dans le partage de synchronisation. Deux options sont disponibles :

   • L’alias utilisateur crée des dossiers utilisateur qui n’incluent pas de nom de domaine. Si vous utilisez un partage de fichiers qui est déjà utilisé avec la redirection de dossiers ou une autre solution de données utilisateur, sélectionnez cette convention d’affectation de noms. Vous pouvez éventuellement sélectionner la case Synchroniser uniquement le sous-dossier suivant pour synchroniser uniquement un sous-dossier spécifique, tel que le dossier Documents.

   • L’utilisateur alias@domain crée des dossiers utilisateur qui incluent un nom de domaine. Si vous n’utilisez pas un partage de fichiers qui est déjà utilisé avec la redirection de dossiers ou une autre solution de données utilisateur, sélectionnez cette convention d’affectation de noms pour éliminer les conflits entre noms de dossier lorsque plusieurs utilisateurs du partage ont des alias identiques (ce qui peut se produire si les utilisateurs appartiennent à des domaines différents).

6. Dans la page Entrer le nom du partage de synchronisation , spécifiez un nom et une description pour le partage de synchronisation. Ces informations ne sont pas publiées sur le réseau, mais sont visibles dans le Gestionnaire de serveur et Windows PowerShell pour mieux différencier chacun des partages de synchronisation.

7. Dans la page Accorder l’accès de synchronisation aux groupes , spécifiez le groupe que vous avez créé qui répertorie les utilisateurs autorisés à utiliser ce partage de synchronisation.

   Important

   Pour améliorer les performances et renforcer la sécurité, accordez l’accès à des groupes et non à des utilisateurs individuels et soyez le plus spécifique possible, en évitant des groupes génériques comme Utilisateurs authentifiés et Utilisateurs du domaine. En accordant l’accès à des groupes avec un grand nombre d’utilisateurs, vous augmentez le temps nécessaire à Dossiers de travail pour interroger les services de domaine Active Directory. Si vous disposez d’un grand nombre d’utilisateurs, créez plusieurs partages de synchronisation pour répartir la charge.

8. Dans la page Spécifier des stratégies d’appareil , spécifiez s’il faut demander des restrictions de sécurité sur les PC et appareils clients. Deux stratégies de périphériques peuvent être sélectionnées individuellement :

   • Chiffrer les dossiers de travail Demandes de chiffrement des dossiers de travail sur les PC et appareils clients

   • Écran de verrouillage automatique et demande un mot de passe Demande que les PC clients et les appareils verrouillent automatiquement leurs écrans après une période d'inactivité de 15 minutes, nécessitent un mot de passe de six caractères ou plus pour déverrouiller l'écran, et activent un mode de verrouillage de l'appareil après 10 tentatives infructueuses.

     Important

     Pour appliquer les stratégies de mot de passe pour les PC Windows 7 et pour les personnes autres que les administrateurs sur les PC appartenant à un domaine, utilisez les stratégies de mot de passe de stratégie de groupe pour les domaines des ordinateurs et excluez ces domaines des stratégies de mot de passe de Dossiers de travail. Vous pouvez exclure des domaines à l’aide de l’applet de commande Set-Syncshare -PasswordAutoExcludeDomain après avoir créé le partage de synchronisation. Pour plus d’informations sur la définition des stratégies de mot de passe de stratégie de groupe, consultez Stratégie de mot de passe.

9. Passez en revue vos sélections et terminez l’exécution de l’Assistant pour créer le partage de synchronisation.

Vous pouvez créer des partages de synchronisation à l’aide de Windows PowerShell à l’aide de l’applet de commande New-SyncShare . Voici un exemple de cette méthode :

New-SyncShare "HR Sync Share" K:\Share-1 –User "HR Sync Share Users"

L’exemple ci-dessus crée un partage de synchronisation nommé Partage de synchronisation RH avec le chemin K :\Share-1 et l’accès accordé au groupe nommé Utilisateurs du partage de synchronisation RH

Étape 8 : spécifier éventuellement une adresse e-mail pour l’assistance technique

Après avoir installé Dossiers de travail sur un serveur de fichiers, vous voudrez probablement spécifier une adresse email de contact administratif pour le serveur. Pour ajouter une adresse e-mail, utilisez la procédure suivante :

Spécification de l’adresse email d’un contact administratif

1. Dans le Gestionnaire de serveur, cliquez sur Services de fichiers et de stockage, puis sur Serveurs.

2. Cliquez avec le bouton droit sur le serveur de synchronisation, puis cliquez sur Paramètres des dossiers de travail. La fenêtre Paramètres de Dossiers de travail s’affiche.

3. Dans le volet de navigation, cliquez sur Adresse e-mail de support , puis tapez l’adresse e-mail ou les adresses que les utilisateurs doivent utiliser lors de la messagerie électronique pour obtenir de l’aide sur dossiers de travail. Cliquez sur OK lorsque vous avez terminé.

   Les utilisateurs de Dossiers de travail peuvent cliquer sur un lien dans l’élément Panneau de configuration de Dossiers de travail qui envoie un message électronique contenant des informations de diagnostic sur le PC client aux adresses que vous spécifiez ici.

Étape 9 : configurer éventuellement la découverte automatique de serveurs

Si vous hébergez plusieurs serveurs de synchronisation dans votre environnement, vous devez configurer la découverte automatique du serveur en remplissant la propriété msDS-SyncServerURL sur les comptes d’utilisateur dans AD DS.

Avant cela, vous devez installer un contrôleur de domaine Windows Server 2012 R2 ou mettre à jour les schémas de la forêt et du domaine à l’aide des commandes Adprep /forestprep et Adprep /domainprep. Pour plus d’informations sur l’exécution sécurisée de ces commandes, consultez Exécution d’Adprep.

Il est possible que vous souhaitiez également créer un groupe de sécurité pour les administrateurs des serveurs de fichiers et leur affecter des autorisations déléguées pour modifier cet attribut utilisateur spécifique, comme décrit dans les étapes 5 et 6. Sans ces étapes, vous devriez demander à un membre du groupe Admins du domaine ou Administrateurs de l’entreprise de configurer la découverte automatique pour chaque utilisateur.

Pour spécifier le serveur de synchronisation pour les utilisateurs

1. Ouvrez le Gestionnaire de serveur sur un ordinateur sur lequel les outils d’administration Active Directory sont installés.

2. Dans le menu Outils , cliquez sur Centre d’administration Active Directory. Le Centre d’administration Active Directory s’affiche.

3. Accédez au conteneur Utilisateurs dans le domaine approprié, cliquez avec le bouton droit sur l’utilisateur que vous souhaitez affecter à un partage de synchronisation, puis cliquez sur Propriétés.

4. Dans le volet de navigation, cliquez sur Extensions.

5. Cliquez sur l’onglet Éditeur d’attributs , sélectionnez msDS-SyncServerUrl , puis cliquez sur Modifier. La boîte de dialogue Éditeur de chaînes à valeurs multiples s’affiche.

6. Dans la zone Valeur à ajouter , tapez l’URL du serveur de synchronisation avec lequel vous souhaitez que cet utilisateur se synchronise, cliquez sur Ajouter, cliquez sur OK, puis sur OK à nouveau.

   Note

   L’URL du serveur de synchronisation est simplement https:// ou http:// (selon si vous souhaitez une connexion sécurisée) suivi du nom de domaine complet du serveur de synchronisation. Par exemple : https://sync1.contoso.com.

Pour remplir l’attribut pour plusieurs utilisateurs, utilisez Active Directory PowerShell. Vous trouverez ci-dessous un exemple qui remplit l’attribut pour tous les membres du groupe Utilisateurs de partage de synchronisation RH , décrit à l’étape 5.

$SyncServerURL = "https://sync1.contoso.com"
$GroupName = "HR Sync Share Users"

Get-ADGroupMember -Identity $GroupName |
Set-ADUser –Add @{"msDS-SyncServerURL"=$SyncServerURL}

Étape 10 : configurer éventuellement Proxy d'application Web, proxy d'application Microsoft Entra ou un autre proxy inverse

Pour permettre aux utilisateurs à distance d’accéder à leurs fichiers, vous devez publier le serveur de Dossiers de travail par l’intermédiaire d’un proxy inverse, rendant ainsi Dossiers de travail disponible en externe sur Internet. Vous pouvez utiliser proxy d'application Web, proxy d'application Microsoft Entra ou une autre solution de proxy inverse.

Pour configurer l’accès dossiers de travail à l’aide d’AD FS et du proxy d’application web, consultez Déploiement de dossiers de travail avec AD FS et proxy d’application web (WAP). Pour plus d’informations sur le proxy d’application web, consultez Proxy d’application web dans Windows Server 2016. Pour plus d’informations sur la publication d’applications telles que Dossiers de travail sur Internet à l’aide du proxy d’application web, consultez Publication d’applications à l’aide de la pré-authentification AD FS.

Pour configurer l’accès dossiers de travail à l’aide du proxy d’application Microsoft Entra, consultez Activer l’accès à distance aux dossiers de travail à l’aide du proxy d’application Microsoft Entra

Étape 11 : utiliser éventuellement une stratégie de groupe pour configurer les PC appartenant à un domaine

Si vous disposez d’un grand nombre de PC appartenant à un domaine sur lesquels vous voulez déployer Dossiers de travail, vous pouvez utiliser une stratégie de groupe pour effectuer les tâches de configuration des PC clients suivantes :

• Indiquer le serveur de synchronisation avec lequel les utilisateurs doivent effectuer la synchronisation

• Forcer la configuration automatique des dossiers de travail à l’aide des paramètres par défaut (consultez la discussion de stratégie de groupe dans conception d’une implémentation de dossiers de travail avant de procéder ainsi)

  Pour contrôler ces paramètres, créez un objet de stratégie de groupe pour Dossiers de travail, puis configurez les paramètres de stratégie de groupe suivants selon les besoins :

• Paramètre de stratégie « Spécifier les paramètres de Dossiers de travail » dans Configuration utilisateur\Stratégies\Modèles d’administration\Composants Windows\Dossiers de travail

• Paramètre de stratégie « Forcer la configuration automatique pour tous les utilisateurs » dans Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Dossiers de travail

Voir aussi

Pour plus d’informations connexes, voir les ressources suivantes.