Questions fréquentes (FAQ) sur les services de fédération Active Directory (AD FS)
Microsoft Entra ID fournit une expérience simple de connexion basée sur le cloud à l'ensemble de vos ressources et applications, avec une authentification stricte et des stratégies d'accès adaptatif en temps réel basées sur les risques pour permettre d'accéder aux ressources, en réduisant les coûts opérationnels de gestion et de maintenance d'un environnement AD FS et en augmentant l'efficacité informatique.
Pour plus d'informations sur la raison pour laquelle vous devez effectuer une mise à niveau d'AD FS à Microsoft Entra ID, visitez passage d'AD FS à Microsoft Entra ID. Consultez Migrer de la fédération vers l’authentification cloud pour comprendre comment effectuer une mise à niveau à partir d’AD FS.
Ce document indique la procédure pour désactiver vos serveurs AD FS.
Prérequis pour la désactivation des serveurs AD FS
Avant de commencer à désactiver vos serveurs AD FS, assurez-vous que les éléments suivants sont effectués. Pour plus d’informations, consultez Migration de la fédération vers l’authentification cloud.
Installez Microsoft Entra Connect Health pour fournir une supervision robuste de votre infrastructure d'identité locale.
Effectuez les étapes préalables pour l’authentification unique (SSO).
Faites migrer votre authentification d'utilisateur vers Microsoft Entra ID. Une fois l'authentification cloud activée, Microsoft Entra ID est en mesure de traiter le processus de connexion des utilisateurs en toute sécurité. Microsoft Entra ID propose trois options pour sécuriser l'authentification cloud des utilisateurs :
- Synchronisation de hachage du mot de passe (PHS) Microsoft Entra ID : permet à vos utilisateurs de se connecter à des applications locales et informatique à l'aide des mêmes mots de passe. Microsoft Entra Connect synchronise le hachage d'un hachage du mot de passe d'un utilisateur, entre une instance Active Directory locale et une instance Microsoft Entra informatique. Les deux couches de hachage garantissent que vos mots de passe ne sont jamais exposés ni transmis aux systèmes cloud.
- Authentification basée sur un certificat (CBA) Microsoft Entra : permet d'adopter une méthode d'authentification anti-hameçonnage et d'authentifier les utilisateurs avec un certificat X.509 auprès de votre infrastructure de clés publiques (PKI).
- L'authentification directe Microsoft Entra (PTA) permet à vos utilisateurs de se connecter aux applications sur site et informatique en utilisant les mêmes mots de passe. Cette option installe un agent sur votre Active Directory local et valide les mots de passe des utilisateurs directement par rapport à votre Active Directory local.
Vous pouvez essayer l’authentification cloud pour vos utilisateurs via un déploiement intermédiaire. Cela permet de tester des groupes d’utilisateurs de manière sélective avec les fonctionnalités d’authentification cloud mentionnées ci-dessus.
Remarque
- La synchronisation de hachage de mot de passe (PHS) et l’authentification basée sur les certificats (CBA) constituent les options préférées pour l’authentification managée cloud. L’authentification directe (PTA) doit être utilisée uniquement en cas d’exigences réglementaires empêchant de synchroniser les informations de mot de passe dans le cloud.
- L’authentification utilisateur et la migration d’application peuvent être effectuées dans l’ordre de votre choix. Toutefois, il est recommandé de procéder d’abord à la migration de l’authentification utilisateur.
- Assurez-vous d’évaluer les scénarios qui sont pris en charge et ceux qui ne sont pas pris en charge pour le déploiement intermédiaire.
Faites la migration de l'ensemble de vos applications qui utilisent actuellement AD FS pour l'authentification vers Microsoft Entra ID, car cela vous donne un plan de contrôle unique pour la gestion des identités et des accès vers Microsoft Entra ID. Assurez-vous de migrer également vos applications Office 365 et appareils joints vers Microsoft Entra ID.
- Migration Assistant permet de migrer des applications d'AD FS à Microsoft Entra ID.
- Si vous ne trouvez pas l’application SaaS appropriée dans la galerie d’applications, vous pouvez la demander à partir de https://aka.ms/AzureADAppRequest.
Assurez-vous que vous exécutez Microsoft Entra Connect Health pendant au moins une semaine pour observer l'utilisation des applications dans Microsoft Entra ID. Vous devez également être en mesure d'afficher les journaux de connexion des utilisateurs dans Microsoft Entra ID.
Étapes pour désactiver vos serveurs AD FS
Cette section explique la procédure pas à pas pour désactiver vos serveurs AD FS.
Avant cette étape, vous devez vérifier qu’aucune partie de confiance (approbations de partie de confiance) avec le trafic n’est encore présente dans les serveurs AD FS.
Avant de commencer, vérifiez les journaux des événements AD FS et/ou Microsoft Entra Connect Health à la recherche de défaillances ou de réussites de la connexion, car ces événements signifient que ces serveurs sont toujours utilisés. En cas de défaillances ou de réussites de connexion, consultez la procédure pour migrer vos applications à partir d'AD FS ou déplacer votre authentification vers Microsoft Entra ID.
Une fois que le point ci-dessus est vérifié, vous pouvez procédez comme suit (en supposant que les serveurs AD FS ne sont pas utilisés pour toute autre fonction actuellement) :
Remarque
Après avoir migré votre authentification vers Microsoft Entra ID, testez votre environnement pendant au moins une semaine pour vérifier que l'authentification cloud s'exécute correctement sans problème.
- Envisagez d’effectuer une sauvegarde finale facultative avant de désactiver les serveurs AD FS.
- Supprimez toutes les entrées AD FS des équilibreurs de charge (internes et externes) susceptibles d’être configurés dans votre environnement.
- Supprimez toutes les entrées DNS correspondantes des noms de batterie de serveurs respectifs pour les serveurs AD FS dans votre environnement.
- Sur le serveur AD FS principal, exécutez
Get-ADFSProperties
et recherchez CertificateSharingContainer. Notez ce DN, car vous devrez le supprimer à la fin de l’installation (après quelques redémarrages et quand il n’est plus disponible) - Si votre base de données de configuration AD FS utilise une instance de base de données SQL Server comme magasin, assurez-vous de supprimer la base de données avant de désinstaller les serveurs AD FS.
- Désinstallez les serveurs WAP (proxy).
- Connectez-vous à chaque serveur WAP, ouvrez la console de gestion de l’accès à distance et recherchez les applications web publiées.
- Supprimez tous les serveurs liés à AD FS qui ne sont plus utilisés.
- Une fois que toutes les applications web publiées sont supprimées, désinstallez WAP avec la commande Uninstall-WindowsFeature Web-Application-Proxy,CMAK,RSAT-RemoteAccess.
- Désinstallez les serveurs AD FS.
- À partir des nœuds secondaires, désinstallez AD FS avec la commande Uninstall-WindowsFeature ADFS-Federation,Windows-Internal-Database. Exécutez ensuite la commande del C:\Windows\WID\data\adfs* pour supprimer les fichiers de base de données
- Supprimez les certificats SSL (Secure Socket Layer) AD FS de chaque stockage serveur.
- Réimagez les serveurs AD FS avec formatage de disque complet.
- Vous pouvez ensuite supprimer votre compte AD FS en toute sécurité.
- Supprimez le contenu du DN CertificateSharingContainer à l’aide de l’Éditeur ADSI après la désinstallation.