Migrer de la fédération vers l'authentification basée sur les certificats (CBA) Microsoft Entra

Cet article explique comment migrer depuis des serveurs fédérés en cours d'exécution tels que les services de fédération Active Directory (AD FS) sur site vers l'authentification cloud à l'aide de l'authentification basée sur les certificats (CBA) Microsoft Entra.

Déploiement par étapes

Un admin client peut couper complètement le domaine fédéré en ABC dans Entra ID sans test pilote en activant la méthode d'authentification ABC dans Entra ID et en convertissant l'ensemble du domaine en authentification managée. Toutefois, si le client souhaite tester l'authentification d'un petit lot d'utilisateurs avec ABC dans Entra ID avant que le basculement de domaine complet soit géré, il peut utiliser la fonctionnalité de déploiement par étapes.

Le déploiement par étapes de l'authentification basée sur les certificats (ABC) aide les clients à passer de l'exécution de l'ABC au niveau d'un fournisseur d'identité fédéré à Microsoft Entra ID en déplaçant sélectivement un petit ensemble d'utilisateurs pour utiliser l'ABC dans Entra ID (qui ne sont plus redirigés vers le fournisseur d'identité fédéré) avec des groupes d'utilisateurs sélectionnés avant de convertir de fédéré à géré la configuration du domaine dans Entra ID. Le déploiement par étapes n'est pas conçu pour que le domaine reste fédéré pendant de longues périodes ou pour de grandes quantités d'utilisateurs.

Regarder cette courte vidéo illustrant la migration de l'authentification basée sur des certificats ADFS vers l'ABC Microsoft Entra

Remarque

Lorsque le déploiement par étapes est activé pour un utilisateur, celui-ci est considéré comme un utilisateur géré et toutes les authentifications se feront au niveau de Microsoft Entra ID. Pour un locataire fédéré, si l’authentification CBA est activée pour le déploiement par étapes, l’authentification par mot de passe fonctionne uniquement si la PHS est également activée. Sinon l’authentification par mot de passe échoue.

Activer le déploiement intermédiaire pour l’authentification basée sur un certificat sur votre locataire

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Pour configurer le déploiement par étapes, suivez les étapes ci-dessous :

1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur d’utilisateurs.
2. Recherchez et sélectionnez Microsoft Entra Connect.
3. Sur la page Microsoft Entra Connect, sous Déploiement par étapes de l'authentification cloud, cliquez sur Activer le déploiement par étapes pour la connexion des utilisateurs gérés.
4. Dans la page Activer le déploiement intermédiaire, cliquez sur Activé pour l’option Authentification basée sur le certificat
5. Cliquez sur Gérer les groupes et ajoutez des groupes que vous souhaitez faire partie de l’authentification cloud. Pour éviter les problèmes de délai d’expiration, vérifiez que les groupes de sécurité ne contiennent pas plus de 200 membres au départ.

Pour plus d’informations, consultez Déploiement par étapes.

Utilisez Microsoft Entra Connect pour mettre à jour l'attribut certificateUserIds

Un administrateur AD FS peut utiliser l’éditeur de règles de synchronisation pour créer des règles permettant de synchroniser les valeurs des attributs d’AD FS avec les objets utilisateur Microsoft Entra. Pour plus d’informations, consultez Règles de synchronisation pour certificateUserIds.

Microsoft Entra Connect nécessite un rôle spécial nommé Hybrid Identity Administrator, qui accorde les autorisations nécessaires. Vous avez besoin de ce rôle pour l’autorisation d’écrire dans le nouvel attribut cloud.

Remarque

Si un utilisateur utilise des attributs synchronisés, tels que l'attribut onPremisesUserPrincipalName dans l'objet utilisateur pour la liaison du nom d'utilisateur, sachez que tout utilisateur disposant d'un accès administratif au serveur Microsoft Entra Connect peut modifier le mappage des attributs synchronisés et modifier la valeur de l'attribut synchronisé. attribut. L'utilisateur n'a pas besoin d'être un administrateur cloud. L'administrateur AD FS doit s'assurer que l'accès administratif au serveur Microsoft Entra Connect doit être limité et que les comptes privilégiés doivent être des comptes cloud uniquement.

Questions fréquemment posées sur la migration d’AD FS vers Microsoft Entra ID

Pouvons-nous avoir des comptes privilégiés avec un serveur AD FS fédéré ?

Bien qu’il soit possible, Microsoft recommande que les comptes privilégiés soient des comptes cloud uniquement. L’utilisation de comptes cloud uniquement pour un accès privilégié limite l’exposition dans Microsoft Entra ID à partir d’un environnement sur site compromis. Pour plus d’informations, consultez Protection de Microsoft 365 contre les attaques locales.

Si une organisation est une organisation hybride exécutant AD FS et Azure CBA, sont-elles toujours vulnérables à la compromission AD FS ?

Microsoft recommande que les comptes privilégiés soient des comptes cloud uniquement. Cette pratique limitera l’exposition dans Microsoft Entra ID à partir d’un environnement sur site compromis. La gestion des comptes privilégiés dans un cloud uniquement est fondamentale pour cet objectif.

Pour les comptes synchronisés :

• S’ils se trouvent dans un domaine managé (non fédéré), il n’existe aucun risque pour le fournisseur d’identité fédéré.
• S’ils se trouvent dans un domaine fédéré, mais qu’un sous-ensemble de comptes est déplacé vers Microsoft Entra CBA par déploiement progressif, ils sont soumis à des risques liés au fournisseur d’identité fédéré jusqu’à ce que le domaine fédéré soit entièrement basculé vers l’authentification cloud.

Les organisations doivent-elles éliminer les serveurs fédérés comme AD FS pour empêcher la possibilité de pivoter d’AD FS vers Azure ?

Avec la fédération, un attaquant peut emprunter l’identité de n’importe qui, tel qu’un directeur informatique, même s’il ne peut pas obtenir un rôle cloud uniquement comme le compte d’administrateur général.

Lorsqu'un domaine est fédéré dans Microsoft Entra ID, un niveau de confiance élevé est placé sur le fournisseur d'identité fédéré. AD FS est un exemple, mais la notion est vraie pour n’importe quel fournisseur d’identité fédéré. De nombreuses organisations déploient un fournisseur d’identité fédéré comme AD FS exclusivement pour effectuer une authentification basée sur des certificats. Microsoft Entra CBA supprime complètement la dépendance AD FS dans ce cas. Avec Microsoft Entra CBA, les clients peuvent déplacer leur parc d'applications vers Microsoft Entra ID pour moderniser leur infrastructure IAM et réduire les coûts avec une sécurité accrue.

Du point de vue de la sécurité, il n’existe aucune modification des informations d’identification, y compris le certificat X.509, les PC, les PIV, et ainsi de suite, ou l’infrastructure à clé publique utilisée. Les propriétaires d’infrastructure à clé publique conservent le contrôle complet du cycle de vie et de la politique d’émission et de révocation des certificats. Le contrôle de révocation et l'authentification ont lieu au niveau de Microsoft Entra ID au lieu du IdP fédéré. Ces contrôles permettent une authentification sans mot de passe et résistante au phishing directement sur Microsoft Entra ID pour tous les utilisateurs.

Comment fonctionne l’authentification avec l’authentification cloud Federated AD FS et Microsoft Entra avec Windows ?

Microsoft Entra CBA exige que l'utilisateur ou l'application fournisse l'UPN Microsoft Entra de l'utilisateur qui se connecte.

Dans l’exemple du navigateur, l’utilisateur saisit le plus souvent son UPN Microsoft Entra. L'UPN Microsoft Entra est utilisé pour la découverte de domaines et d'utilisateurs. Le certificat utilisé doit ensuite correspondre à cet utilisateur à l’aide de l’une des liaisons de nom d’utilisateur configurées dans la stratégie.

Dans la connexion Windows, la correspondance dépend si l'appareil est hybride ou rejoint Microsoft Entra. Mais dans les deux cas, si un indice de nom d’utilisateur est fourni, Windows enverra l’indice sous forme d’UPN Microsoft Entra. Le certificat utilisé doit ensuite correspondre à cet utilisateur à l’aide de l’une des liaisons de nom d’utilisateur configurées dans la stratégie.

Étapes suivantes

• Vue d’ensemble de l’authentification basée sur certificat Microsoft Entra
• Immersion technique dans l’authentification basée sur les certificats Microsoft Entra
• Guide pratique pour configurer l’authentification basée sur les certificats de Microsoft Entra
• Authentification basée sur les certificats de Microsoft Entra sur les appareils iOS
• Authentification basée sur les certificats de Microsoft Entra sur les appareils Android
• Connexion par carte à puce Windows à l'aide de la CBA de Microsoft Entra
• ID des utilisateurs du certificat
• FORUM AUX QUESTIONS