Nouveautés de Windows Server 2016

Cet article décrit les nouvelles fonctionnalités de Windows Server 2016 qui sont susceptibles d'avoir l'impact le plus important lorsque vous utilisez cette version.

Calcul

La zone Virtualisation contient des fonctionnalités et produits de virtualisation que les professionnels de l’informatique peuvent utiliser pour la conception, le déploiement et la maintenance de Windows Server.

Général

Les machines physiques et virtuelles bénéficient d’une plus grande précision du temps en raison des améliorations apportées aux services Synchronisation date/heure de Hyper-V et de Win32. Windows Server peut désormais héberger des services conformes aux réglementations à venir qui nécessitent une précision de 1 ms en ce qui concerne l’heure UTC.

Hyper-V

La virtualisation du réseau Hyper-V (HNV) est un élément fondamental de la nouvelle solution SDN (Software Defined Networking) de Microsoft et est entièrement intégrée dans la pile SDN. Windows Server 2016 inclut les changements suivants pour Hyper-V :

• Windows Server 2016 inclut désormais un commutateur Hyper-V programmable. Le contrôleur de réseau de Microsoft pousse les stratégies HNV vers le bas jusqu'à un agent d'hôte qui s'exécute sur chaque hôte en utilisant le protocole de gestion de base de données Open vSwitch (OVSDB) en tant qu'interface SouthBound (SBI). L’agent hôte stocke cette stratégie à l’aide d’une personnalisation du schéma VTEP et programme des règles de flux complexes dans un moteur de flux performant dans le commutateur Hyper-V. Le moteur de flux du commutateur Hyper-V est le même que celui utilisé par Azure. L'ensemble de la pile SDN jusqu'au contrôleur de réseau et au fournisseur de ressources réseau est également conforme à Azure, ce qui rend ses performances comparables à celles du cloud public Azure. Dans le moteur de flux de Microsoft, le commutateur Hyper-V est équipé pour gérer les règles de flux avec et sans état par le biais d'un simple mécanisme de correspondance qui définit comment les paquets doivent être traités dans le commutateur.

• HNV prend désormais en charge l'encapsulation du protocole Virtual eXtensible Local Area Network (VXLAN). HNV utilise le protocole VXLAN en mode de distribution MAC par l'intermédiaire du contrôleur de réseau Microsoft pour mapper les adresses IP du réseau global du locataire aux adresses IP du réseau physique sous-jacent. Les décharges de tâches NVGRE et VXLAN prennent en charge des pilotes tiers pour améliorer les performances.

• Windows Server 2016 inclut un équilibreur de charge logiciel (SLB) avec une prise en charge complète du trafic de réseau virtuel et une interaction transparente avec HNV. Le moteur de flux performant met en œuvre le SLB dans le v-Switch du plan de données, puis le contrôleur de réseau le contrôle pour les mappages IP virtuels (VIP) ou IP dynamiques (DIP).

• HNV implémente des en-têtes Ethernet L2 corrects pour garantir l’interopérabilité avec des appliances virtuelles et physiques tierces qui dépendent de protocoles standard du secteur. Microsoft s'assure que tous les paquets transmis ont des valeurs conformes dans tous les champs pour garantir l'interopérabilité. HNV nécessite la prise en charge des trames Jumbo (MTU > 1780) dans le réseau physique L2 pour tenir compte de la surcharge des paquets introduite par les protocoles d'encapsulation tels que NVGRE et VXLAN. La prise en charge des trames Jumbo garantit que les machines virtuelles invitées attachées à un réseau virtuel HNV conservent une MTU de 1514.

• La prise en charge des conteneurs Windows ajoute des améliorations de performance, une gestion simplifiée du réseau et une prise en charge des conteneurs Windows sur Windows 10. Pour plus d'informations, consultez Conteneurs : Docker, Windows et les tendances.

Nano Server

Nouveautés de Nano Server. Nano Server possède maintenant un module mis à jour pour la création d’images Nano Server, et propose notamment une plus grande séparation des fonctionnalités de l’hôte physique et de la machine virtuelle invitée, ainsi que la prise en charge de différentes éditions de Windows Server.

Des améliorations ont également été apportées à la console de récupération, notamment la séparation des règles de pare-feu entrantes et sortantes ainsi que la possibilité de réparer la configuration de WinRM.

Machines virtuelles dotées d’une protection maximale

Windows Server 2016 fournit une nouvelle machine virtuelle Hyper-V dotée d’une protection maximale, pour protéger une machine virtuelle de deuxième génération contre une structure compromise. Les fonctionnalités introduites dans Windows Server 2016 sont les suivantes :

• Un nouveau mode Chiffrement pris en charge qui offre plus de protections que pour une machine virtuelle ordinaire, mais moins que le mode Protection maximale, tout en prenant toujours en charge le module de plateforme sécurisée (TPM) virtuel, le chiffrement de disque, le chiffrement de trafic de migration dynamique et d'autres fonctionnalités, notamment les avantages d'administration de structure directe tels que les connexions de console de machine virtuelle et PowerShell Direct.

• Prise en charge complète de la conversion de machines virtuelles de génération 2 non protégées existantes en machines virtuelles dotées d’une protection maximale, dont le chiffrement automatique du disque.

• Hyper-V Virtual Machine Manager peut désormais afficher les structures sur lesquelles une machine virtuelle protégée est autorisée à s’exécuter, ce qui permet à l’administrateur de l’infrastructure d’ouvrir le protecteur de clé (KP) d’une machine virtuelle protégée et d’afficher les structures sur lesquelles il est autorisé à s’exécuter.

• Vous pouvez changer de mode d’attestation sur un service Guardian hôte en cours d’exécution. Vous pouvez maintenant basculer sur-le-champ entre l’attestation Active Directory moins sécurisée, mais plus simple, et l’attestation basée sur le module de plateforme sécurisée.

• Des outils de diagnostic de bout en bout basés sur Windows PowerShell qui sont en mesure de détecter des problèmes de configuration ou des erreurs à la fois dans les hôtes Hyper-V protégés et le service Guardian hôte.

• Un environnement de récupération qui offre un moyen de résoudre les problèmes des machines virtuelles dotées d’une protection maximale et de les réparer en toute sécurité au sein de la structure dans laquelle elles s’exécutent normalement tout en offrant le même niveau de protection que la machine virtuelle dotée d’une protection maximale elle-même.

• Le service Guardian hôte prend en charge une instance Active Directory sécurisée : vous pouvez demander au service Guardian hôte d’utiliser une forêt Active Directory comme la sienne au lieu de créer sa propre instance Active Directory.

Pour plus d’informations et des instructions sur l’utilisation des machines virtuelles dotées d’une protection maximale, consultez La structure protégée et les machines virtuelles dotées d’une protection maximale.

Identité et accès

De nouvelles fonctionnalités d'identité améliorent la capacité des organisations à sécuriser les environnements Active Directory et leur permettent de migrer vers les déploiements de cloud uniquement et les déploiements hybrides, où certains services et applications sont hébergés dans le cloud et d'autres en local.

Services de certificats Active Directory

Active Directory Certificate Services (AD CS) dans Windows Server 2016 augmente la prise en charge de l’attestation de clé TPM : vous pouvez désormais utiliser le fournisseur de clés KSP de carte à puce pour l’attestation de clé, et les appareils qui ne sont pas joints au domaine peuvent désormais utiliser l’inscription NDES pour obtenir des certificats qui peuvent être attestés pour les clés qui se trouvent dans un module TPM.

Gestion des accès privilégiés

La gestion des accès privilégiés (PAM) permet d’atténuer les problèmes de sécurité dans les environnements Active Directory causés par des techniques de vol d’informations d’identification, telles que le hachage pass-the-hash, le hameçonnage par lance, etc. Vous pouvez configurer cette nouvelle solution d’accès administratif à l’aide de Microsoft Identity Manager (MIM) et présente les fonctionnalités suivantes :

• La forêt Bastion Active Directory, approvisionnée par MIM, a une approbation PAM spéciale avec une forêt existante. Les forêts Bastion sont un nouveau type d’environnement Active Directory qui est libre d’activité malveillante en raison d’être isolés des forêts existantes et qui autorisent uniquement l’accès aux comptes privilégiés.

• Nouveaux processus dans MIM pour demander des privilèges d’administration, y compris de nouveaux flux de travail pour l’approbation des demandes.

• Nouveaux principaux de sécurité d’ombre, ou groupes, provisionnés dans la forêt bastion par MIM en réponse aux demandes de privilèges administratifs. Les groupes de sécurité d’ombre ont un attribut qui fait référence au SID d’un groupe d’administration dans une forêt existante. Cela permet au groupe d’ombres d’accéder aux ressources dans les forêts existantes sans modifier les listes de contrôle d’accès (ACL).

• Fonctionnalité de liens arrivant à expiration, qui permet des appartenances limitées à un groupe d’ombres. Vous pouvez ajouter des utilisateurs au groupe pendant une durée définie qui leur permet d’effectuer des tâches administratives. L’appartenance à une durée limitée est configurée par une valeur de durée de vie (TTL) propagée à la durée de vie des tickets Kerberos.

  Remarque

  Les liens arrivant à expiration sont disponibles sur tous les attributs liés. Toutefois, seule la relation d’attribut lié membre/membreOF entre un groupe et un utilisateur est préconfigurée avec PAM pour utiliser la fonctionnalité de liens arrivant à expiration.

• Les améliorations intégrées du contrôleur de domaine Kerberos (KDC) permettent aux contrôleurs de domaine Active Directory de limiter les durées de vie des tickets Kerberos à la valeur de durée de vie la plus faible possible lorsque les utilisateurs ont plusieurs appartenances à temps limité aux groupes d’administration. Par exemple, si vous êtes membre d’un groupe lié à l’heure A, lorsque vous vous connectez, la durée de vie du ticket d’octroi de ticket Kerberos est égale à la durée de vie de votre groupe A. Si vous joignez également le groupe à liaison temporelle B, qui a une durée de vie inférieure au groupe A, votre durée de vie TGT est égale à la durée de vie de votre groupe B.

• De nouvelles fonctionnalités de supervision vous permettent d’identifier les utilisateurs qui ont demandé l’accès, l’accès accordé aux administrateurs et les activités qu’ils ont effectuées lors de leur connexion.

Pour en savoir plus sur PAM, consultez Privileged Access Management for services de domaine Active Directory.

Jonction Microsoft Entra

Microsoft Entra join améliore les expériences d’identité pour les clients d’entreprise, d’entreprise et d’éducation, ainsi que des fonctionnalités améliorées pour les appareils professionnels et personnels.

• Les paramètres modernes sont désormais disponibles sur les appareils Windows appartenant à l’entreprise. Vous n’avez plus besoin d’un compte Microsoft personnel pour utiliser les fonctionnalités principales de Windows, et ils s’exécutent à l’aide de comptes professionnels utilisateur existants pour garantir la conformité. Ces services fonctionnent sur des PC joints à un domaine Windows local et des appareils joints à Microsoft Entra. Il s’agit notamment des paramètres suivants :

  • Itinérance ou personnalisation, paramètres d’accessibilité et informations d’identification

  • Sauvegarde et restauration

  • Accès au Microsoft Store avec votre compte professionnel

  • Vignettes dynamiques et notifications

• Accédez aux ressources organisationnelles sur les appareils mobiles, comme les téléphones et tablettes, qui ne peuvent pas être jointes à un domaine Windows, qu’elles soient appartenant à l’entreprise ou apportez votre propre appareil (BYOD).

• Utilisez l’authentification unique (SSO) pour Office 365 et d’autres applications organisationnelles, sites web et ressources.

• Sur les appareils BYOD, ajoutez un compte professionnel à partir d’un domaine local ou d’Azure AD à un appareil appartenant à un utilisateur. Vous pouvez utiliser l’authentification unique pour accéder aux ressources de travail via des applications ou sur le web tout en restant conforme aux nouvelles fonctionnalités telles que le contrôle de compte conditionnel et l’attestation d’intégrité de l’appareil.

• L’intégration de la gestion des appareils mobiles (GPM) vous permet d’intégrer automatiquement des appareils à votre outil de gestion des appareils mobiles (GPM) (Microsoft Intune ou tiers).

• Configurez le mode plein écran et les appareils partagés pour plusieurs utilisateurs de votre organisation.

• L’expérience développeur vous permet de créer des applications qui répondent aux contextes d’entreprise et personnels avec une pile de programmation partagée.

• L’option d’imagerie vous permet de choisir entre l’imagerie et permettre à vos utilisateurs de configurer des appareils appartenant à l’entreprise directement pendant la première exécution.

Windows Hello Entreprise

Windows Hello Entreprise est une approche d’authentification basée sur la clé pour les organisations et les consommateurs qui ne nécessite pas de passer par un mot de passe. Cette forme d’authentification s’appuie sur les informations d’identification qui sont résistantes aux violations, au vol et au hameçonnage.

L’utilisateur se connecte à l’appareil avec un code biométrique ou pin lié à un certificat ou à une paire de clés asymétriques. Les fournisseurs d’identité valident l’utilisateur en mappant la clé publique de l’utilisateur à IDLocker et fournit des informations de connexion via un mot de passe à usage unique (OTP), par téléphone ou un autre mécanisme de notification.

Pour plus d’informations, consultez Windows Hello Entreprise.

Dépréciation des niveaux fonctionnels du service de réplication de fichiers (FRS) et de Windows Server 2003

Bien que le service de réplication de fichiers (FRS) et les niveaux fonctionnels Windows Server 2003 soient déconseillés dans les versions précédentes de Windows Server, nous aimerions vous rappeler que AD DS ne prend plus en charge Windows Server 2003. Vous devez supprimer tout contrôleur de domaine qui exécute Windows Server 2003 du domaine. Vous devez également élever le niveau fonctionnel du domaine et de la forêt à au moins Windows Server 2008.

Au niveau fonctionnel de domaine Windows Server 2008 et supérieur, AD DS utilise la réplication DFS (Distributed File Service) pour répliquer le contenu du dossier SYSVOL entre les contrôleurs de domaine. Si vous créez un domaine au niveau fonctionnel du domaine Windows Server 2008 ou supérieur, la réplication DFS réplique automatiquement le dossier SYSVOL. Si vous avez créé le domaine à un niveau fonctionnel inférieur, vous devez migrer de l’utilisation de FRS vers la réplication DFS pour le dossier SYSVOL. Pour obtenir des étapes de migration plus détaillées, consultez Installer, mettre à niveau ou migrer vers Windows Server.

Pour plus d’informations, consultez les ressources suivantes :

• Présentation des niveaux fonctionnels des services de domaine Active Directory (AD DS)
• Comment augmenter les niveaux fonctionnels de domaine et de forêt Active Directory

Services de fédération Active Directory (AD FS)

Les services AD FS de Windows Server 2016 incluent de nouvelles fonctionnalités qui vous permettent de configurer AD FS pour authentifier les utilisateurs stockés dans les annuaires LDAP (Lightweight Directory Access Protocol).

Proxy d'application web

La dernière version du Proxy d'application Web se concentre sur les nouvelles fonctionnalités qui permettent la publication et la préauthentification d'applications supplémentaires et améliorent l'expérience utilisateur. Consultez la liste complète des nouvelles fonctionnalités qui inclut la préauthentification des applications clientes riches comme Exchange ActiveSync et les domaines avec caractères génériques pour une publication plus facile des applications SharePoint. Pour plus d’informations, consultez Proxy d’application web dans Windows Server 2016.

Administration

La section Gestion et automatisation fournit des informations sur les outils et références pour les professionnels de l'informatique qui souhaitent exécuter et gérer Windows Server 2016, dont Windows PowerShell.

Windows PowerShell 5.1 contient de nouvelles fonctionnalités importantes, notamment la prise en charge du développement avec les classes, et de nouvelles fonctionnalités de sécurité, qui étendent son utilisation, améliorent sa convivialité, et vous permettent de contrôler et de gérer des environnements Windows de façon plus simple et plus complète. Pour plus d’informations, consultez Nouveaux scénarios et nouvelles fonctionnalités dans WMF 5.1.

Les nouveautés de Windows Server 2016 incluent la possibilité d’exécuter PowerShell.exe localement sur Nano Server (et non plus seulement à distance), de nouvelles applets de commande Utilisateurs et groupes locaux pour remplacer l’interface utilisateur graphique, la prise en charge du débogage de PowerShell et la prise en charge de Nano Server pour la transcription et la journalisation de la sécurité, ainsi que JEA.

Voici d’autres nouvelles fonctionnalités d’administration :

Configuration d’état souhaité Windows PowerShell (DSC) dans Windows Management Framework (WMF) 5

Windows Management Framework 5 inclut des mises à jour de configuration d’état souhaité Windows PowerShell (DSC), Windows Remote Management (WinRM) et Windows Management Instrumentation (WMI).

Pour plus d’informations sur le test des fonctionnalités DSC de Windows Management Framework 5, consultez la série de billets de blog mentionnés dans Valider les fonctionnalités de PowerShell DSC. Pour effectuer le téléchargement, consultez Windows Management Framework 5.1.

Gestion unifiée des packages PackageManagement pour la détection, l’installation et l’inventaire des logiciels

Windows Server 2016 et Windows 10 incluent une nouvelle fonctionnalité PackageManagement (auparavant appelée OneGet) qui permet aux professionnels de l’informatique ou développeurs d’automatiser la détection, l’installation et l’inventaire des logiciels, localement ou à distance, quels que soient la technologie d’installation utilisée et l’emplacement des logiciels.

Pour en savoir plus, voir https://github.com/OneGet/oneget/wiki.

Améliorations de PowerShell pour faciliter la forensique numérique et aider à réduire les violations de sécurité

Pour aider l’équipe responsable de l’examen des systèmes compromis, parfois appelée « l’équipe bleue », nous avons ajouté des fonctionnalités d’investigation numérique et de journalisation PowerShell supplémentaires ainsi que des fonctionnalités destinées à réduire les vulnérabilités dans les scripts, comme PowerShell limité et à sécuriser les API CodeGeneration.

Pour plus d'informations, consultez le billet de blog PowerShell ♥ the Blue Team.

Réseau

La section Mise en réseau décrit les fonctionnalités et produits de mise en réseau que les professionnels de l'informatique peuvent utiliser pour la conception, le déploiement et la maintenance de Windows Server 2016.

Mise en réseau définie par logiciel

Vous pouvez désormais à la fois mettre en miroir et acheminer le trafic vers des équipements virtuels nouveaux ou existants. Avec un pare-feu distribué et des groupes de sécurité réseau, cela vous permet de segmenter et sécuriser de manière dynamique les charges de travail d’une manière similaire à Azure. Ensuite, vous pouvez déployer et gérer l’intégralité de la pile de mise en réseau SDN (Software Defined Networking) à l’aide de System Center Virtual Machine Manager. Enfin, vous pouvez utiliser Docker pour gérer la mise en réseau de conteneurs Windows Server et associer des stratégies de mise en réseau SDN non seulement à des machines virtuelles, mais aussi des conteneurs. Pour plus d’informations, consultez Planifier une mise en réseau SDN (Software Defined Networking).

Améliorations des performances de TCP

La fenêtre de congestion initiale par défaut a été augmentée de 4 à 10 et TCP Fast Open (TFO) a été implémenté. TFO réduit le temps nécessaire pour établir une connexion TCP et la nouvelle fenêtre de congestion initiale permet de transférer des objets plus volumineux dans la rafale initiale. Cette combinaison réduit considérablement le temps nécessaire pour transférer un objet Internet entre le client et le cloud.

Pour améliorer le comportement TCP lors de la récupération d’une perte de paquets, nous avons implémenté la sonde TLP (TCP Tail Loss Probe) et l’accusé de réception récent (RACK). TLP permet de convertir des délais de retransmission en récupérations rapides, et RACK réduit le temps nécessaire à une récupération rapide pour retransmettre un paquet perdu.

Protocole DHCP (Dynamic Host Configuration Protocol)

Le protocole DHCP (Dynamic Host Configuration Protocol) a les modifications suivantes dans Windows Server 2016 :

• Depuis Windows 10, version 2004, lorsque vous exécutez un client Windows et que vous vous connectez à Internet à l’aide d’un appareil Android connecté, les connexions sont désormais étiquetées comme limitées. Le nom du fournisseur client traditionnel qui est apparu comme MSFT 5.0 sur certains appareils Windows est maintenant MSFT 5.0 XBOX.

• À compter de Windows 10, version 1803, le client DHCP peut désormais lire et appliquer l’option 119, l’option de recherche de domaine, à partir du serveur DHCP auquel votre système se connecte. L’option de recherche de domaine fournit également des suffixes DNS (Domain Name Services) pour les recherches DNS de noms courts. Pour plus d’informations, consultez RFC 3397.

• DHCP prend désormais en charge l’option 82 (sous-option 5). Vous pouvez utiliser cette option pour autoriser les clients proxy DHCP et les agents de relais à demander une adresse IP pour un sous-réseau spécifique. Si vous utilisez un agent de relais DHCP configuré avec l’option DHCP 82 (sous-option 5), l’agent de relais peut demander un bail d’adresse IP pour les clients DHCP à partir d’une plage d’adresses IP spécifique. Pour plus d’informations, consultez Options de sélection de sous-réseau DHCP.

• Nouveaux événements de journalisation pour les scénarios où les inscriptions d’enregistrements DNS échouent sur le serveur DNS. Pour plus d’informations, consultez Les événements de journalisation DHCP pour les inscriptions DNS.

• Le rôle serveur DHCP ne prend plus en charge la protection d’accès réseau (NAP). Les serveurs DHCP n’appliquent pas de stratégies NAP, et les étendues DHCP ne peuvent pas être compatibles NAP. Les ordinateurs clients DHCP qui sont également des clients NAP envoient une instruction d’intégrité (SoH) avec la requête DHCP. Si le serveur DHCP exécute Windows Server 2016, ces requêtes sont traitées comme si aucun SoH n’était présent. Le serveur DHCP accorde un bail DHCP normal au client. Si les serveurs exécutant Windows Server 2016 sont des proxys RADIUS (Remote Authentication Dial-In User Service) qui transfèrent les demandes d’authentification à un serveur npS (Network Policy Server) qui prend en charge NAP, npS évalue ces clients comme non compatibles NAP, ce qui entraîne l’échec du traitement NAP. Pour plus d’informations sur la dépréciation nap et NAP, consultez Fonctionnalités supprimées ou déconseillées dans Windows Server 2012 R2.

Sécurité et assurance

La section Sécurité et assurance contient des fonctionnalités et solutions de sécurité pour professionnels de l'informatique à déployer dans votre environnement de centre de données et cloud. Pour plus d’informations générales sur la sécurité dans Windows Server 2016, consultez Sécurité et assurance.

Administration suffisante

Dans Windows Server 2016, Just Enough Administration est une technologie de sécurité qui permet de déléguer l’administration de tout ce qui peut être géré avec Windows PowerShell. Les fonctionnalités disponibles incluent la prise en charge de l’exécution sous une identité réseau, la connexion par le biais PowerShell Direct, la copie de manière sécurisée de fichiers vers/depuis des points de terminaison JEA (Just Enough Administration) et la configuration de la console PowerShell pour un lancement dans un contexte JEA par défaut. Pour plus d’informations, consultez JEA sur GitHub.

Protection des informations d’identification

La protection des informations d’identification utilise une sécurité basée sur la virtualisation pour isoler les secrets, afin que seuls les logiciels système privilégiés puissent y accéder. Pour plus d’informations, consultez la section Protéger les informations d’identification de domaine dérivées avec Credential Guard.

Credential Guard pour Windows Server 2016 inclut les mises à jour suivantes pour les sessions utilisateur connectées :

• Kerberos et New Technology LAN Manager (NTLM) utilisent la sécurité basée sur la virtualisation pour protéger les secrets Kerberos et NTLM pour les sessions utilisateur connectées.

• Credential Manager protège les identifiants de domaine enregistrés à l’aide d’une sécurité basée sur la virtualisation. Les informations d’identification signées et les informations d’identification de domaine enregistrées ne sont pas transmises aux hôtes distants utilisant Remote Desktop.

• Vous pouvez activer Credential Guard sans verrou UEFI (Unified Extensible Firmware Interface).

Credential Guard à distance

Credential Guard inclut la prise en charge des sessions RDP afin que les informations d’identification de l’utilisateur restent côté client et ne soient pas exposées côté serveur. Il fournit également l’authentification unique pour Bureau à distance. Pour plus d’informations, consultez Protéger les informations d’identification de domaine dérivées avec Windows Defender Credential Guard.

Remote Credential Guard pour Windows Server 2016 inclut les mises à jour suivantes pour les utilisateurs connectés :

• Remote Credential Guard conserve les secrets Kerberos et NTLM des informations d’identification de l’utilisateur connecté sur l’appareil client. Toute requête d’authentification de l’hôte distant pour évaluer les ressources du réseau en tant qu’utilisateur nécessite que l’appareil client utilise les secrets.

• Remote Credential Guard protège les informations d’identification fournies par l’utilisateur lors de l’utilisation du bureau à distance.

Protections de domaine

Les protections de domaine nécessitent désormais un domaine Active Directory.

Prise en charge de l’extension PKInit Freshness

Les clients Kerberos tentent désormais d’utiliser l’extension de fraîcheur PKInit pour les signatures basées sur les clés publiques.

Les KDC prennent désormais en charge l’extension de fraîcheur PKInit. Cependant, ils ne proposent pas l’extension de fraîcheur PKInit par défaut.

Pour plus d’informations, consultez Prise en charge du client Kerberos et du centre de distribution de clés pour l’extension RFC 8070 PKInit Freshness.

Clés publiques propagées uniquement les secrets NTLM de l’utilisateur

À partir du niveau fonctionnel de domaine (DFL) de Windows Server 2016, les DC prennent désormais en charge le roulement des secrets NTLM d’un utilisateur à clé publique uniquement. Cette fonctionnalité n’est pas disponible dans les niveaux de fonctionnement des domaines inférieurs (DFL).

Avertissement

L’ajout d’un DC activé avant la mise à jour du 8 novembre 2016 à un domaine qui prend en charge les secrets NTLM roulants peut entraîner le plantage du DC.

Pour les nouveaux domaines, cette fonctionnalité est activée par défaut. Pour les domaines existants, vous devez le configurer dans le Centre administratif Active Directory.

Dans le Centre administratif Active Directory, cliquez avec le bouton droit de la souris sur le domaine dans le volet gauche et sélectionnez Propriétés. Cochez la case Activer le renouvellement des secrets NTLM expirés lors de l’ouverture de session pour les utilisateurs qui doivent utiliser Windows Hello for Business ou une carte à puce pour l’ouverture de session interactive. Ensuite, sélectionnez OK pour appliquer cette modification.

L’autorisation de réseau NTLM lorsqu’un utilisateur est limité à certains appareils associés à un domaine

Les DC peuvent désormais prendre en charge l’autorisation de NTLM réseau lorsqu’un utilisateur est limité à des appareils spécifiques joints à un domaine dans la LDF Windows Server 2016 et les versions ultérieures. Cette fonctionnalité n’est pas disponible dans les LDF exécutant un système d’exploitation antérieur à Windows Server 2016.

Pour configurer ce paramètre, dans la stratégie d’authentification, sélectionnez Autoriser l’authentification réseau NTLM lorsque l’utilisateur est limité aux appareils sélectionnés.

Pour plus d’informations, voir Stratégies d’authentification et silos de stratégies d’authentification.

Protection de périphérique (intégrité du code)

Protection de périphérique assure l’intégrité du code en mode noyau (KMCI) et en mode utilisateur (UMCI), en créant des stratégies qui spécifient le code exécutable sur le serveur. Consultez Introduction à Windows Defender Device Guard : Stratégies d’intégrité du code et de sécurité basée sur la virtualisation.

Windows Defender

Windows Defender Overview for Windows Server 2016 (Présentation de Windows Defender pour Windows Server 2016. Windows Server Antimalware est installé et activé par défaut dans Windows Server 2016, mais l’interface utilisateur de Windows Server Antimalware n’est pas installée. Toutefois, Windows Server Antimalware va mettre à jour les définitions de logiciel anti-programme malveillant et protéger l'ordinateur sans l'interface utilisateur. Si vous avez besoin de l'interface utilisateur pour Windows Server Antimalware, vous pouvez l'installer après l'installation du système d'exploitation à l'aide de l'Assistant Ajout de rôles et de fonctionnalités.

Control Flow Guard

Protection de flux de contrôle est une fonctionnalité de sécurité de plateforme qui a été créée pour lutter contre les risques de corruption de mémoire. Pour plus d’informations, consultez Control Flow Guard (Protection du flux de contrôle).

Stockage

Dans Windows Server 2016, le Stockage inclut des nouveautés et des améliorations pour le stockage par logiciel, ainsi que pour les serveurs de fichiers traditionnels. Voici quelques-unes des nouveautés. Pour d’autres améliorations et d’autres détails, consultez What’s New in Storage in Windows Server 2016 (Nouveautés concernant le stockage dans Windows Server 2016).

Espaces de stockage directs

Les espaces de stockage direct permettent de créer un stockage à haute disponibilité et scalable en utilisant des serveurs avec un stockage local. Le déploiement et la gestion des systèmes de stockage défini par un logiciel sont simplifiés, et il est maintenant possible d’utiliser de nouvelles classes de périphériques de disque, comme SSD SATA et NVMe, ce qui ne pouvait pas se faire auparavant avec les espaces de stockage en cluster avec des disques partagés.

Pour plus d’informations, consultez Storage Spaces Direct (Espaces de stockage direct).

Réplica de stockage

Le réplica de stockage permet une réplication synchrone indépendante du stockage, au niveau du bloc, entre des clusters ou des serveurs pour la récupération d’urgence, ainsi que l’extension d’un cluster de basculement entre des sites. La réplication synchrone permet la mise en miroir des données dans des sites physiques avec des volumes cohérents en cas d’incident, ce qui garantit aucune perte de données au niveau du système de fichiers. La réplication asynchrone permet l’extension de site au-delà de plages métropolitaines avec la possibilité de perte de données.

Pour plus d’informations, consultez Storage Replica overview (Présentation du réplica de stockage).

Qualité de service de stockage

Vous pouvez maintenant utiliser la qualité de service (QoS) de stockage pour analyser de manière centralisée les performances de stockage de bout en bout et créer des stratégies de gestion avec Hyper-V et des clusters CSV dans Windows Server 2016.

Pour plus d’informations, consultez Storage Quality of Service (Qualité de service de stockage).

Clustering de basculement

Windows Server 2016 inclut de nombreuses nouvelles fonctionnalités et améliorations pour plusieurs serveurs regroupés dans un cluster à tolérance de panne, à l’aide de la fonctionnalité Clustering avec basculement. Certains des ajouts sont indiqués ci-dessous. Pour une liste plus complète, consultez What’s New in Failover Clustering in Windows Server 2016 (Nouveautés du clustering avec basculement dans Windows Server 2016.

Mise à niveau propagée de système d’exploitation de cluster

La mise à niveau propagée de système d’exploitation de cluster permet à un administrateur de mettre à niveau le système d’exploitation des nœuds de cluster Windows Server 2012 R2 vers Windows Server 2016, sans arrêter les charges de travail du serveur de fichiers avec scale-out ni Hyper-V. Avec cette fonctionnalité, les pénalités de temps d’arrêt sur les contrats de niveau de service peuvent être évitées.

Pour plus d’informations, consultez Cluster Operating System Rolling Upgrade (Mise à niveau propagée de système d’exploitation de cluster).

Témoin cloud

Dans Windows Server 2016, Témoin cloud est un nouveau type de témoin de quorum de cluster avec basculement, qui utilise Microsoft Azure comme point d’arbitrage. Comme les autres témoins de quorum, Témoin cloud dispose d’un vote et peut prendre part aux calculs de quorum. Vous pouvez le configurer comme témoin de quorum à l’aide de l’Assistant Configuration de quorum du cluster.

Pour plus d’informations, consultez Deploy a cloud witness for a Failover Cluster (Déployer un témoin cloud pour un cluster avec basculement).

Service de contrôle d'intégrité

Le service de contrôle d’intégrité améliore la surveillance, les opérations et la maintenance quotidiennes des ressources sur un cluster d’espaces de stockage direct.

Pour plus d’informations, consultez Health Service in Windows Server 2016 (Service de contrôle d’intégrité dans Windows Server 2016).

Développement d’applications

Services IIS (Internet Information Services) 10.0

Les nouvelles fonctionnalités fournies par le serveur web IIS 10.0 dans Windows Server 2016 sont notamment les suivantes :

• Prise en charge du protocole HTTP/2 dans la pile Gestion de réseau et intégration à IIS 10.0, ce qui permet aux sites web IIS 10.0 de traiter automatiquement les requêtes HTTP/2 pour les configurations prises en charge. Cette évolution apporte de nombreuses améliorations comparé à HTTP/1.1, comme une réutilisation plus efficace des connexions et une moindre latence, ce qui améliore les temps de chargement des pages web.
• Possibilité d’exécuter et de gérer IIS 10.0 dans Nano Server. Consultez IIS sur Nano Server.
• Prise en charge des en-têtes d’hôte génériques, permettant aux administrateurs de configurer un serveur web pour un domaine de manière à ce qu’il traite les requêtes de tout sous-domaine.
• Un nouveau module PowerShell (IISAdministration) pour la gestion des services IIS.

Pour plus d'informations, consultez IIS.

Distributed Transaction Coordinator (MSDTC)

Trois nouvelles fonctionnalités ont été ajoutées dans Microsoft Windows 10 et Windows Server 2016 :

• Une nouvelle interface pour la méthode Rejoin de Resource Manager peut être utilisée par un gestionnaire de ressources pour déterminer le résultat d’une transaction incertaine après le redémarrage d’une base de données en raison d’une erreur. Pour plus d’informations, consultez IResourceManagerRejoinable::Rejoin.

• La limite de noms DSN est agrandie de 256 octets à 3 072 octets. Pour plus d’informations, consultez IDtcToXaHelperFactory::Create, IDtcToXaHelperSinglePipe::XARMCreate ou IDtcToXaMapper::RequestNewResourceManager.

• Suivi amélioré, qui vous permet de définir une clé de Registre de manière à inclure un chemin de fichier image dans le nom de fichier Tracelog pour simplifier l’identification du Tracelog à vérifier. Pour plus d’informations sur la configuration du suivi pour MSDTC, consultez Guide pratique pour activer le suivi de diagnostic pour MSDTC sur un ordinateur Windows.

Serveur DNS

Windows Server 2016 contient les mises à jour suivantes pour le serveur DNS (Domain Name System).

Stratégies DNS

Vous pouvez configurer des stratégies DNS pour spécifier la façon dont un serveur DNS répond aux requêtes DNS. Vous pouvez configurer les réponses DNS en fonction de l’adresse IP du client, de l’heure de la journée et de plusieurs autres paramètres. Les stratégies DNS peuvent activer le DNS qui prend en charge la géolocalisation, la gestion du trafic, l’équilibrage de charge, le DNS split-brain et d’autres scénarios. Pour plus d’informations, consultez le Guide de scénario de stratégie DNS.

RRL

Vous pouvez activer la limitation du taux de réponse (RRL) sur vos serveurs DNS pour empêcher les systèmes malveillants de les utiliser pour lancer une attaque par déni de service distribué (DDoS) sur un client DNS. La RRL empêche votre serveur DNS de répondre à trop de requêtes en même temps, ce qui le protège lors des scénarios où un botnet envoie plusieurs requêtes à la fois pour tenter d’interrompre les opérations du serveur.

Prise en charge de DANE

Vous pouvez utiliser l’authentification d'entités nommées basée sur le DNS (DANE) (RFC 6394 et RFC 6698) pour spécifier l’autorité de certification à partir de laquelle vos clients DNS doivent attendre des certificats pour les noms de domaine hébergés sur votre serveur DNS. Cela permet d’éviter les attaques de type attaque de l’intercepteur où un acteur malveillant corrompt un cache DNS et pointe un nom DNS vers sa propre adresse IP.

Prise en charge des enregistrements inconnus

Vous pouvez ajouter des enregistrements que le serveur DNS ne prend pas explicitement en charge à l’aide de la fonctionnalité d’enregistrement inconnu. Un enregistrement est inconnu lorsque le serveur DNS ne reconnaît pas son format RDATA. Windows Server 2016 prend en charge les types d’enregistrements inconnus (RFC 3597), ce qui vous permet d’ajouter des enregistrements inconnus aux zones de serveur DNS Windows au format filaire binaire. Le programme de résolution de mise en cache Windows peut déjà traiter des types d’enregistrements inconnus. Le serveur DNS Windows n’effectue pas de traitement spécifique à l’enregistrement pour les enregistrements inconnus, mais peut les envoyer en réponse aux requêtes qu’il reçoit.

Indicateurs racine IPv6

Le serveur DNS Windows inclut désormais des indications de racine IPv6 publiées par l’IANA (Internet Assigned Numbers Authority). La prise en charge des indications de racine IPv6 vous permet d’effectuer des requêtes Internet qui utilisent les serveurs racine IPv6 pour effectuer des résolutions de noms.

Prise en charge de Windows PowerShell

Windows Server 2016 inclut de nouvelles commandes que vous pouvez utiliser pour configurer DNS dans PowerShell. Pour plus d’informations, consultez le module DnsServer de Windows Server 2016 et le module DnsClient de Windows Server 2016.

Client DNS

Le service client DNS offre désormais une prise en charge améliorée des ordinateurs dotés de plusieurs interfaces réseau.

Les ordinateurs multirésidents peuvent également utiliser la liaison du service client DNS pour améliorer la résolution du serveur :

• Lorsque vous utilisez un serveur DNS configuré sur une interface spécifique pour résoudre une requête DNS, le client DNS se lie à l'interface avant d'envoyer la requête. Cette liaison permet au client DNS de spécifier l'interface où la résolution de nom doit avoir lieu, optimisant ainsi les communications entre les applications et le client DNS sur l'interface réseau.

• Si le serveur DNS que vous utilisez a été désigné par un paramètre de stratégie de groupe de la table de stratégie de résolution de noms (NRPT), le service client DNS ne se lie pas à l'interface spécifiée.

Remarque

Les modifications apportées au service client DNS dans Windows 10 sont également présentes dans les ordinateurs exécutant Windows Server 2016 et les versions ultérieures.

Services Bureau à distance

Services Bureau à distance (RDS) a apporté les modifications suivantes pour Windows Server 2016.

Compatibilité des applications

RDS et Windows Server 2016 sont compatibles avec de nombreuses applications Windows 10, créant une expérience utilisateur presque identique à celle d’un bureau physique.

Azure SQL Database

Le service Broker pour les connexions Bureau à distance (RD) peut désormais stocker toutes les informations de déploiement, telles que les états de connexion et les associations utilisateur-hôte, dans une base de données SQL Azure structurée partagée. Cette fonctionnalité vous permet d’utiliser un environnement à haute disponibilité sans avoir à utiliser un groupe de disponibilité Always On de SQL Server. Pour plus d’informations, veuillez consulter la rubrique Utilisation d’Azure SQL DB pour votre environnement haute disponibilité du Service Broker pour les connexions Bureau à distance.

Améliorations graphiques

L’affectation de périphériques discrets pour Hyper-V vous permet de mapper directement les unités de traitement graphique (GPU) sur une machine hôte à une machine virtuelle (VM). Toutes les applications sur la VM qui nécessitent plus de GPU que ce que la VM peut fournir peuvent utiliser la GPU mappée à la place. Nous avons également amélioré le vGPU RemoteFX, y compris la prise en charge d’OpenGL 4.4, d’OpenCL 1.1, de la résolution 4K et des VM Windows Server. Pour plus d’informations, veuillez consulter la rubrique Affectation de périphériques discrets.

Améliorations du Broker pour les connexions de Bureau à Distance

Nous avons amélioré la façon dont le Broker pour les connexions RD gère les connexions pendant les tempêtes de connexion, qui sont des périodes de demandes d’inscription élevées des utilisateurs. Le Broker pour les connexions RD peut désormais gérer plus de 10 000 demandes d’inscription simultanées ! Les améliorations de la maintenance facilitent également la réalisation de la maintenance sur votre déploiement en vous permettant de réintégrer rapidement les serveurs dans l’environnement une fois qu’ils sont prêts à être remis en ligne. Pour plus d’informations, veuillez consulter la section Amélioration des performances du Broker pour les connexions Bureau à distance.

Modifications du protocole RDP 10

Le protocole Bureau à distance (RDP) 10 utilise désormais le codec H.264/AVC 444, ce qui optimise à la fois la vidéo et le texte. Cette version inclut également la prise en charge de la saisie au stylet. Ces nouvelles fonctionnalités permettent à votre session à distance de se rapprocher davantage d’une session locale. Pour plus d’informations, veuillez consulter la section Améliorations RDP 10 AVC/H.264 dans Windows 10 et Windows Server 2016.

Personal session desktops

Personal session desktops est une nouvelle fonctionnalité qui vous permet d’héberger votre propre bureau personnel dans le cloud. Les privilèges administratifs et les hôtes de session dédiés éliminent la complexité des environnements d’hébergement où les utilisateurs souhaitent gérer un bureau à distance comme un bureau local. Pour plus d’informations, veuillez consulter la rubrique Personal Session Desktops.

Authentification Kerberos

Windows Server 2016 inclut les mises à jour suivantes pour l’authentification Kerberos.

Prise en charge du centre de distribution de clés (KDC) pour l’authentification cliente basée sur l’approbation de clé publique

Les centres de distribution de clés (KDC) prennent désormais en charge le mappage des clés publiques. Si vous provisionnez une clé publique pour un compte, le KDC prend en charge Kerberos PKInit explicitement à l’aide de cette clé. Étant donné qu’il n’y a pas de validation de certificat, Kerberos prend en charge les certificats auto-signés, mais pas la garantie du mécanisme d’authentification.

Les comptes que vous avez configurés pour utiliser l’approbation de clé utilisent uniquement l’approbation de clé, quelle que soit la façon dont vous avez configuré le paramètre UseSubjectAltName.

Prise en charge du client Kerberos et du KDC pour l’extension RFC 8070 PKInit Freshness

À partir de Windows 10, version 1607 et Windows Server 2016, les clients Kerberos peuvent utiliser l’extension RFC 8070 PKInit Freshness pour les connexions basées sur des clés publiques. Par défaut, l’extension PKInit Freshness est désactivée pour vous permettre de configurer la prise en charge du KDC pour la stratégie des modèles d’administration du KDC de l'extension PKInit Freshness sur tous les contrôleurs de domaine de votre domaine.

La stratégie a les paramètres suivants disponibles lorsque votre domaine se trouve dans le niveau fonctionnel du domaine (DFL) de Windows Server 2016 :

• Désactivé : le KDC n’offre jamais l’extension PKInit Freshness et accepte les demandes d’authentification valides sans vérifier l’actualisation. Les utilisateurs ne reçoivent pas le SID d’identité de clé publique actualisé.
• Prise en charge : Kerberos prend en charge l’extension PKInit Freshness sur demande. Les clients Kerberos qui sont authentifiés avec l’extension PKInit Freshness reçoivent le SID d’identité de clé publique actualisé.
• Obligatoire : l’extension PKInit Freshness est requise pour une authentification réussie. Les clients Kerberos qui ne prennent pas en charge l’extension PKInit Freshness échoueront toujours lors de l’utilisation d’informations d’identification de clé publique.

Prise en charge des appareils joints à un domaine pour l’authentification à l’aide d’une clé publique

Si un appareil joint à un domaine peut enregistrer sa clé publique liée auprès d’un contrôleur de domaine (DC) Windows Server 2016, il peut alors s’authentifier avec la clé publique à l’aide de l’authentification Kerberos PKInit auprès d’un DC Windows Server 2016.

Les appareils joints à un domaine avec des clés publiques liées enregistrées auprès d’un contrôleur de domaine Windows Server 2016 peuvent désormais s’authentifier auprès d’un contrôleur de domaine Windows Server 2016 à l’aide des protocoles Kerberos de chiffrement à clé publique pour l’authentification initiale (PKInit). Pour plus d’informations, consultez Authentification par clé publique d’appareil joint au domaine.

Les centres de distribution de clés (KDC) prennent désormais en charge l’authentification à l’aide de la confiance de clé Kerberos.

Pour plus d’informations, consultez Prise en charge du centre de distribution de clés pour le mappage de comptes à approbation de clé.

Les clients Kerberos autorisent les noms d’hôte d’adresses IPv4 et IPv6 dans les noms de principaux de service (SPN)

À partir de Windows 10 version 1507 et Windows Server 2016, vous pouvez configurer les clients Kerberos pour qu'ils prennent en charge les noms d’hôte IPv4 et IPv6 dans les SPN. Pour plus d’informations, consultez Configuration de Kerberos pour les adresses IP.

Pour configurer la prise en charge des noms d’hôte d’adresses IP dans les SPN, créez une entrée TryIPSPN. Par défaut, cette entrée n’existe pas dans le Registre. Vous devez placer cette entrée sur le chemin suivant :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Après avoir créé l’entrée, remplacez sa valeur DWORD par 1. Si cette valeur n’est pas configurée, Kerberos ne fait pas de tentative de noms d’hôte d’adresses IP.

L’authentification Kerberos ne réussit que si le SPN est inscrit dans Active Directory.

Prise en charge du KDC pour le mappage de compte d’approbation de clé

Les contrôleurs de domaine prennent désormais en charge le mappage des comptes à approbation de clés et le remplacement vers AltSecID et UPN (User Principal Name) existants dans le comportement SAN. Vous pouvez configurer la variable UseSubjectAltName sur les paramètres suivants :

• Paramétrer la variable sur 0 rend le mappage explicite obligatoire. Les utilisateurs doivent utiliser une approbation de clé ou définir une variable ExplicitAltSecID.

• Paramétrer la variable sur 1, qui est la valeur par défaut, autorise le mappage implicite.

  • Si vous configurez une approbation de clé pour un compte dans Windows Server 2016 ou version ultérieure, le KDC utilise KeyTrust pour le mappage.

  • S’il n’y a pas d’UPN dans le san, KDC tente d’utiliser AltSecID pour le mappage.

  • S’il existe un UPN dans le san, KDC tente d’utiliser l’UPN pour le mappage.

Active Directory Federation Services (AD FS)

AD FS pour Windows Server 2016 contient les mises à jour suivantes.

Se connecter avec l’authentification multifacteur Microsoft Entra

AD FS 2016 repose sur les fonctionnalités d’authentification multifacteur (MFA) d’AD FS dans Windows Server 2012 R2. Vous pouvez désormais autoriser l’authentification qui nécessite uniquement un code d’authentification multifacteur Microsoft Entra au lieu d’un nom d’utilisateur ou d’un mot de passe.

• Lorsque vous configurez l’authentification multifacteur Microsoft Entra comme méthode d’authentification principale, AD FS invite l’utilisateur à entrer son nom d’utilisateur et son code de mot de passe unique (OTP) à partir de l’application Azure Authenticator.

• Lorsque vous configurez l’authentification multifacteur Microsoft Entra comme méthode d’authentification secondaire ou supplémentaire, l’utilisateur fournit des informations d’identification d’authentification principales. Les utilisateurs peuvent se connecter à l’aide de l’authentification intégrée Windows, qui peut demander leur nom d’utilisateur et leur mot de passe, leur carte à puce ou un certificat d’utilisateur ou d’appareil. Ensuite, l’utilisateur voit une invite pour ses informations d’identification secondaires, telles que la connexion par sms, voix ou otP Basée sur Microsoft Entra multifacteur.

• La nouvelle carte d’authentification multifacteur Microsoft Entra intégrée offre une configuration et une configuration plus simples pour l’authentification multifacteur Microsoft Entra avec AD FS.

• Les organisations peuvent utiliser l’authentification multifacteur Microsoft Entra sans avoir besoin d’un serveur d’authentification multifacteur Microsoft Entra local.

• Vous pouvez configurer l’authentification multifacteur Microsoft Entra pour intranet, extranet ou dans le cadre d’une stratégie de contrôle d’accès.

Pour plus d’informations sur l’authentification multifacteur Microsoft Entra avec AD FS, consultez Configurer AD FS 2016 et l’authentification multifacteur Microsoft Entra.

Accès sans mot de passe à partir d’appareils conformes

AD FS 2016 s’appuie sur les fonctionnalités d’inscription d’appareils précédentes pour activer l’authentification et le contrôle d’accès sur les appareils en fonction de leur état de conformité. Les utilisateurs peuvent se connecter à l’aide des informations d’identification de l’appareil, et AD FS réévalue la conformité chaque fois que les attributs de l’appareil changent pour s’assurer que les stratégies sont appliquées. Cette fonctionnalité active les stratégies suivantes :

• Activez l’accès uniquement à partir d’appareils managés et/ou conformes.

• Activez l’accès extranet uniquement à partir d’appareils managés et/ou conformes.

• Exiger l’authentification multifacteur pour les ordinateurs qui ne sont pas gérés ou conformes.

AD FS fournit le composant local des stratégies d’accès conditionnel dans un scénario hybride. Lorsque vous inscrivez des appareils auprès d’Azure AD pour l’accès conditionnel aux ressources cloud, vous pouvez également utiliser l’identité de l’appareil pour les stratégies AD FS.

Pour plus d’informations sur l’utilisation de l’accès conditionnel basé sur l’appareil dans le cloud, consultez Accès conditionnel Azure Active Directory.

Pour plus d’informations sur l’utilisation de l’accès conditionnel basé sur les appareils avec AD FS, consultez Planification de l’accès conditionnel basé sur l’appareil avec ad FS et stratégies de contrôle d’accès dans AD FS.

Se connecter avec Windows Hello Entreprise

Les appareils Windows 10 introduisent Windows Hello et Windows Hello Entreprise, en remplaçant les mots de passe utilisateur par des informations d’identification utilisateur fortes liées à l’appareil protégées par le mouvement d’un utilisateur, telles que l’entrée d’un code confidentiel, un mouvement biométrique comme une empreinte digitale ou la reconnaissance faciale. Avec Windows Hello, les utilisateurs peuvent se connecter à des applications AD FS à partir d’un intranet ou d’un extranet sans nécessiter de mot de passe.

Pour plus d’informations sur l’utilisation de Windows Hello Entreprise dans votre organisation, consultez Activer Windows Hello Entreprise dans votre organisation.

Authentification moderne

AD FS 2016 prend en charge les protocoles modernes les plus récents qui offrent une meilleure expérience utilisateur pour Windows 10 et les appareils et applications iOS et Android les plus récents.

Pour plus d’informations, consultez Scénarios AD FS pour les développeurs.

Configurer des stratégies de contrôle d’accès sans avoir à connaître le langage de règles de revendication

Avant, les administrateurs AD FS devaient configurer des stratégies en utilisant le langage de règles de revendication AD FS, ce qui compliquait la configuration et la maintenance des stratégies. Avec les stratégies de contrôle d’accès, les administrateurs peuvent utiliser des modèles intégrés pour appliquer des stratégies courantes. Par exemple, vous pouvez utiliser des modèles pour appliquer les stratégies suivantes :

• Autoriser l’accès intranet uniquement.

• Autorisez tout le monde et exigez l’authentification multifacteur à partir d’un extranet.

• Autoriser tout le monde et exiger l’authentification MFA pour un groupe spécifique.

Les modèles sont faciles à personnaliser. Vous pouvez appliquer des exceptions ou des règles de stratégie supplémentaires, et vous pouvez appliquer ces modifications à une ou plusieurs applications pour une application cohérente de la stratégie.

Pour plus d’informations, consultez Stratégies de contrôle d’accès dans AD FS.

Activer l’authentification avec des annuaires LDAP non-Active Directory

De nombreuses organisations combinent Active Directory avec des répertoires tiers. La prise en charge d’AD FS pour l’authentification des utilisateurs stockés dans des répertoires compatibles LDAP (Lightweight Directory Access Protocol) v3 signifie que vous pouvez désormais utiliser AD FS dans les scénarios suivants :

• Utilisateurs dans des répertoires tiers compatibles LDAP v3.

• Les utilisateurs dans les forêts Active Directory qui n’ont pas d’approbation bidirectionnelle Active Directory configurée.

• Les utilisateurs des services AD LDS (Active Directory Lightweight Directory Services).

Pour plus d'informations, voir Configure AD FS to authenticate users stored in LDAP directories.

Personnaliser l’expérience de connexion pour les applications AD FS

Avant, AD FS dans Windows Server 2012 R2 offrait une expérience d’authentification commune pour toutes les applications par partie de confiance, avec la possibilité de personnaliser un sous-ensemble de contenu textuel par application. Avec Windows Server 2016, vous pouvez personnaliser non seulement les messages, mais aussi les images, le logo et le thème web par application. Vous pouvez aussi créer des thèmes web personnalisés et appliquer ces thèmes par partie de confiance.

Pour plus d’informations, consultez Personnalisation de la connexion utilisateur AD FS.

Audit rationalisé pour faciliter la gestion administrative

Dans les versions précédentes d’AD FS, une seule requête peut générer de nombreux événements d’audit. Les informations pertinentes sur les activités d’émission de jetons ou de connexion étaient souvent absentes ou réparties sur plusieurs événements d’audit, ce qui rend les problèmes plus difficiles à diagnostiquer. Par conséquent, les événements d’audit ont été désactivés par défaut. Toutefois, dans AD FS 2016, le processus d’audit est plus rationalisé et les informations pertinentes sont plus faciles à trouver. Pour plus d’informations, consultez Améliorations de l’audit apportées à AD FS dans Windows Server 2016.

Amélioration de l’interopérabilité avec SAML 2.0 pour la participation aux confédérations

AD FS 2016 offre davantage de prise en charge du protocole SAML, notamment la prise en charge de l’importation des approbations basées sur des métadonnées contenant plusieurs entités. Ce changement vous permet de configurer AD FS pour participer à des confédérations telles que la fédération InCommon et d’autres implémentations conformes à la norme eGov 2.0.

Pour plus d’informations, consultez Interopérabilité améliorée avec SAML 2.0.

Gestion simplifiée des mots de passe pour les utilisateurs Microsoft 365 fédérés

Vous pouvez configurer AD FS pour envoyer des revendications d’expiration de mot de passe à toutes les approbations ou applications de partie de confiance qu’elle protège. La façon dont ces revendications apparaissent varie entre les applications. Par exemple, avec Office 365 comme partie de confiance, des mises à jour ont été implémentées dans Exchange et Outlook pour informer les utilisateurs fédérés de l’expiration prochaine de leurs mots de passe.

Pour plus d’informations, consultez Configurer AD FS pour envoyer les revendications d’expiration de mot de passe.

Simplification du passage d’AD FS dans Windows Server 2012 R2 à AD FS dans Windows Server 2016

Auparavant, la migration vers une nouvelle version d’AD FS nécessitait l’exportation des paramètres de configuration de votre batterie de serveurs Windows Server vers une nouvelle batterie de serveurs parallèles. AD FS sur Windows Server 2016 facilite le processus en supprimant la nécessité d’avoir une batterie de serveurs parallèle. Lorsque vous ajoutez un serveur Windows Server 2016 à une batterie de serveurs Windows Server 2012 R2, le nouveau serveur se comporte comme un serveur Windows Server 2012 R2. Lorsque vous êtes prêt à effectuer une mise à niveau et que vous avez supprimé les serveurs plus anciens, vous pouvez changer le niveau opérationnel en Windows Server 2016. Pour plus d’informations, consultez Mise à niveau vers AD FS dans Windows Server 2016.