Nouveautés de Windows Server 2019

Cet article décrit certaines des nouvelles fonctionnalités de Windows Server 2019. Windows Server 2019 repose sur les bases solides de Windows Server 2016 et apporte de nombreuses innovations dans quatre thèmes clés : cloud hybride, sécurité, plateforme d’applications et infrastructure hyperconvergée (HCL).

Général

Windows Admin Center

Windows Admin Center est une application basée sur navigateur, déployée localement pour la gestion des serveurs, des clusters, de l’infrastructure hyperconvergée et des PC Windows 10. Il est fourni sans coût supplémentaire avec Windows et est prêt à être utilisé en production.

Vous pouvez installer Windows Admin Center sur Windows Server 2019 et sur Windows 10 ainsi que sur les versions antérieures de Windows et Windows Server, et l’utiliser pour gérer des serveurs et des clusters exécutant Windows Server 2008 R2 et ultérieur.

Pour plus d’informations, consultez Windows Admin Center.

Expérience utilisateur

Étant donné que Windows Server 2019 est une version de canal de maintenance à long terme (LTSC), il inclut l’expérience utilisateur. Les versions de canal semi-annuel (SAC) n’incluent pas l’expérience de bureau par conception ; Elles sont strictement server Core et Nano Server avec des versions d’images conteneur. Comme avec Windows Server 2016, pendant l’installation du système d’exploitation, vous pouvez choisir entre les installations Server Core ou Server avec Expérience utilisateur.

Insights système

Insights système est une nouvelle fonctionnalité disponible dans Windows Server 2019 qui apporte des fonctionnalités analytiques prédictives locales en mode natif de Windows Server. Ces fonctionnalités prédictives, chacune basées sur un modèle Machine Learning, analysent localement les données système de Windows Server, comme les compteurs de performances et les événements. Les Insights système vous permet de comprendre le fonctionnement de vos serveurs et vous aide à réduire les dépenses opérationnelles associées à la gestion réactive des problèmes dans vos déploiements Windows Server.

Cloud hybride

Fonctionnalité de compatibilité des applications Server Core à la demande

La fonctionnalité de compatibilité des applications Server Core à la demande (FOD) améliore considérablement la compatibilité des applications en incluant un sous-ensemble des fichiers binaires et des composants de Windows Server avec l’Expérience utilisateur. Server Core est maintenu aussi simple que possible et n’ajoute pas l’environnement graphique de l’Expérience utilisateur de Windows Server lui-même, ce qui augmente les fonctionnalités et la compatibilité.

Cette fonctionnalité facultative à la demande est disponible sur un fichier ISO distinct et peut être ajoutée à des installations et des images Windows Server Core uniquement, à l’aide de DISM.

Rôle serveur de transport des Services de déploiement Windows (WDS) ajouté à Server Core

Le Serveur de transport contient uniquement les composants de mise en réseau principaux de WDS. Vous pouvez désormais utiliser Server Core avec le rôle Serveur de transport pour créer des espaces de noms de multidiffusion qui transmettent les données (y compris des images du système d’exploitation) depuis un serveur autonome. Vous pouvez également l’utiliser si vous souhaitez disposer d’un serveur PXE qui permette aux clients d’utiliser un démarrage PXE et de télécharger votre propre application d’installation personnalisée.

Intégration des services Bureau à distance à Azure AD

Avec l’intégration d’Azure AD, vous pouvez utiliser les stratégies d’accès conditionnel, l’authentification multifacteur, l’authentification intégrée avec d’autres applications SaaS en utilisant Azure Active Directory, etc. Pour plus d’informations, consultez Intégrer Azure AD Domain Services à votre déploiement RDS.

Mise en réseau

Nous avons apporté plusieurs améliorations à la pile réseau principale, comme TCP Fast Open (TFO), Receive Window Autotuning, IPv6, etc. Pour plus d’informations, consultez le billet Amélioration des fonctionnalités de la pile réseau principale.

Sécurité

Protection avancée contre les menaces Windows Defender

Les capteurs profonds de plate-forme et les actions de réponse d’ATP exposent des attaques au niveau de la mémoire et du noyau et y répondent par la suppression des fichiers malveillants et l’arrêt des processus malveillants.

• Pour plus d’informations sur Windows Defender ATP, consultez Présentation des capacités de Windows Defender ATP.

• Pour plus d’informations sur l’intégration des serveurs, consultez Intégrer des serveurs au service Windows Defender ATP.

Windows Defender ATP Exploit Guard est un nouvel ensemble de fonctionnalités de prévention des intrusions des hôtes qui vous permettent d’équilibrer les risques de sécurité et les exigences de productivité. Windows Defender Exploit Guard est conçu pour protéger l’appareil contre un grand nombre de vecteurs d’attaque et pour bloquer les comportements couramment utilisés dans les attaques par programmes malveillants. Les composants sont :

• Attack Surface Reduction (ASR) ASR est un jeu de contrôles permettant aux entreprises d’empêcher les programmes malveillants d’accéder aux ordinateurs en bloquant les fichiers soupçonnés d’être malveillants. Par exemple, les fichiers Office, les scripts, les mouvements latéraux, le comportement des ransomwares et les menaces basées sur les e-mails.

• Protection réseau protège le point de terminaison contre les menaces web en bloquant n’importe quel processus sortant sur l’appareil vers des adresses d’hôtes/IP non approuvées à travers Windows Defender SmartScreen.

• L’accès contrôlé aux dossiers protège les données sensibles contre les rançongiciels en empêchant les processus non approuvés d’accéder à vos dossiers protégés.

• Exploit Protection est un ensemble de mesures d’atténuation des attaques de vulnérabilité (remplaçant EMET) qui peuvent être facilement configurées pour protéger votre système et vos applications.

• Contrôle d’application Windows Defender (également connu sous le nom de stratégie d’intégrité du code [CI]) a été publié dans Windows Server 2016. Nous avons simplifié le déploiement en incluant des stratégies d’intégrité du code par défaut. La stratégie par défaut autorise tous les fichiers intégrés dans Windows ainsi que les applications Microsoft comme SQL Server, et bloque les fichiers exécutables connus qui peuvent contourner l’intégrité du code.

Sécurité avec SDN (Software Defined Networking)

Sécurité avec SDN offre de nombreuses fonctionnalités destinées à renforcer la confiance des clients exécutant des charges de travail, soit en local, soit comme fournisseurs de services dans le cloud.

Ces améliorations de sécurité sont intégrées dans la plateforme SDN complète introduite dans Windows Server 2016.

Pour connaître la liste complète des nouveautés de SDN, consultez Nouveautés SDN pour Windows Server 2019.

Améliorations apportées aux machines virtuelles dotées d’une protection maximale

• Améliorations pour les filiales

  Vous pouvez maintenant exécuter des machines virtuelles dotées d’une protection maximale sur des ordinateurs ayant une connectivité intermittente au Service Guardian hôte à l’aide du nouveau SGH de secours et des fonctionnalités du mode hors connexion. Le SGH de secours vous permet de configurer un deuxième ensemble d’URL qu’Hyper-V peut essayer s’il ne peut pas atteindre votre serveur SGH principal.

  Même si le SGH n’est pas accessible, le mode hors connexion vous permet de continuer à démarrer vos machines virtuelles dotées d’une protection maximale. Le mode hors connexion vous permet de continuer à démarrer vos machines virtuelles dès lors que la machine virtuelle a démarré avec succès une fois et que la configuration de sécurité de l’hôte n’a pas changé.

• Améliorations de la résolution des problèmes

  Nous avons également simplifié le dépannage de vos machines virtuelles en autorisant la prise en charge du Mode de Session étendu VMConnect et de PowerShell Direct. Ces outils sont utiles si vous avez perdu la connectivité réseau à votre machine virtuelle et que vous devez mettre à jour sa configuration pour restaurer l’accès.

  Ces fonctionnalités n’ont pas besoin d’être configurées et elles deviennent automatiquement disponibles quand une machine virtuelle dotée d’une protection maximale est placée sur un hôte Hyper-V exécutant Windows Server version 1803 ou ultérieure.

• Prise en charge de Linux

  Si vous exécutez des environnements à systèmes d’exploitation mixtes, Windows Server 2019 prend désormais en charge l’exécution d’Ubuntu, Red Hat Enterprise Linux et SUSE Linux Enterprise Server dans les machines virtuelles.

HTTP/2 pour un Internet plus rapide et plus sûr

• Amélioration de la fusion de connexions pour offrir une expérience de navigation ininterrompue et correctement chiffrée.

• Mise à niveau de la négociation de suite de chiffrement côté serveur HTTP/2 pour l’atténuation automatique des échecs de connexion et la simplicité de déploiement.

• Modification de notre fournisseur de congestion TCP par défaut en faveur de Cubic pour vous offrir davantage de débit !

Réseaux chiffrés

Le chiffrement du réseau virtuel crypte le trafic du réseau virtuel entre les machines virtuelles au sein des sous-réseaux portant l’étiquette Chiffrement activé. Les réseaux chiffrés utilisent également Datagram Transport Layer Security (DTLS) sur le sous-réseau virtuel pour chiffrer les paquets. DTLS protège vos données contre l’écoute, la manipulation et la contrefaçon par toute personne ayant accès au réseau physique.

Pour plus d’informations, veuillez consulter la rubrique Réseaux chiffrés.

Audit du pare-feu

L’audit des pare-feu est une nouvelle fonctionnalité pour le pare-feu SDN qui enregistre tout flux traité par les règles de pare-feu SDN et les listes de contrôle d’accès (ACL) qui ont le journalisation activée.

Peering de réseau virtuel

Le peering de réseaux virtuels vous permet de connecter deux réseaux virtuels de manière transparente. Une fois appairés, les réseaux virtuels apparaissent dans la surveillance comme un seul réseau.

Comptage de sortie

La mesure de sortie offre des compteurs d’utilisation pour les transferts de données sortants. Le Contrôleur de réseau utilise cette fonctionnalité pour maintenir une liste blanche de toutes les plages IP utilisées au sein du SDN par réseau virtuel. Ces listes considèrent que tout paquet se dirigeant vers une destination non incluse dans les plages IP répertoriées est facturé comme des transferts de données sortants.

Stockage

Voici quelques-unes des modifications apportées au stockage dans Windows Server 2019. Pour plus d’informations, consultez Nouveautés du stockage.

Déduplication des données

• La déduplication des données prend désormais en charge ReFS Vous pouvez maintenant activer la déduplication des données partout où vous pouvez activer ReFS, ce qui augmente l’efficacité du stockage jusqu’à 95 % avec ReFS.

• API DataPort pour des entrées/sorties optimisées sur les volumes dédupliqués : les développeurs peuvent désormais tirer parti des connaissances de la déduplication des données en matière de stockage efficace des données pour déplacer de façon optimale les données entre les volumes, les serveurs et les clusters.

File Server Resource Manager

Il est maintenant possible d’empêcher le service Outils de gestion de ressources pour serveur de fichiers de créer un journal des modifications (également appelé journal USN) sur tous les volumes au démarrage du service. Empêcher la création du parcours de modification peut économiser de l’espace sur chaque volume, mais va désactiver la classification des fichiers en temps réel. Pour plus d’informations, consultez Vue d’ensemble du Gestionnaire de ressources du serveur de fichiers.

SMB

• Suppression de SMB1 et de l’authentification d’invité Windows Server n’installe plus le client et le serveur SMB1 par défaut. En outre, la possibilité d’authentification en tant qu’invité dans SMB2 et versions ultérieures est désactivée par défaut. Pour plus d’informations, consultez SMBv1 n’est pas installé par défaut dans Windows 10 version 1709 et Windows Server version 1709.

• Sécurité et compatibilité SMB2/SMB3 Vous disposez maintenant de la possibilité de désactiver les verrouillages opportunistes (oplocks) dans SMB2+ pour les applications héritées, et d’exiger d’un client une signature ou un chiffrement par connexion. Pour plus d’informations, consultez l’aide du module SMBShare PowerShell.

Service de migration du stockage

Le Service de migration du stockage facilite la migration des serveurs vers une version plus récente de Windows Server. Cet outil graphique répertorie les données sur les serveurs, puis transfère les données et configurations vers de nouveaux serveurs. Le Service de migration de stockage peut également transférer les identités des anciens serveurs vers les nouveaux serveurs afin que les utilisateurs n’aient pas à reconfigurer leurs profils et applications. Pour plus d’informations, veuillez consulter la rubrique Service de migration de stockage.

Windows Admin Center version 1910 a ajouté la possibilité de déployer des machines virtuelles Azure. Cette mise à jour intègre le déploiement de machines virtuelles Azure dans le service de migration de stockage. Pour plus d’informations, consultez Migration de machines virtuelles Azure.

Vous pouvez également accéder aux fonctionnalités suivantes après la mise en production (RTM) en exécutant l’orchestrateur du Serveur de migration de stockage sous Windows Server 2019 avec KB5001384 installé ou sous Windows Server 2022 :

• Migrer des groupes et utilisateurs locaux vers le nouveau serveur
• Migrer le stockage à partir de clusters de basculement, migrer vers des clusters de basculement, et migrer entre des serveurs autonomes et des clusters de basculement
• Migrer le stockage à partir d'un serveur Linux qui utilise Samba
• Synchroniser plus facilement des partages migrés dans Azure en utilisant Azure File Sync
• Migrer vers de nouveaux réseaux comme Azure
• Migrer les serveurs NetApp Common Internet File System (CIFS) des matrices NetApp Federated Authentication Service (FAS) vers des serveurs et clusters Windows.

Espaces de stockage directs

Voici une liste des nouveautés introduites dans les espaces de stockage direct. Pour plus d’informations, consultez Nouveautés des espaces de stockage direct. Consultez également Azure Stack HCL pour plus d’informations sur l’acquisition de systèmes d’espaces de stockage direct validés.

• Déduplication et compression des volumes ReFS
• Prise en charge native de la mémoire persistante
• Résilience imbriquée d’une infrastructure hyperconvergée à deux nœuds au niveau du bord
• Clusters de deux serveurs utilisant une clé USB comme témoin
• Prise en charge de Windows Admin Center
• Historique des performances
• Mettre à l’échelle jusqu’à 4 Po par cluster
• La parité accélérée par la mise en miroir est 2 fois plus rapide
• Détection d’anomalie de latence de lecteur
• Délimiter manuellement la répartition des volumes pour renforcer la tolérance de pannes

Réplica de stockage

Voici les nouveautés du réplica de stockage. Pour plus d’informations, consultez Nouveautés du réplica de stockage.

• Le réplica de stockage est désormais disponible dans Windows Server 2019 Standard Edition.
• Le test de basculement est une nouvelle fonctionnalité qui permet de monter le stockage de destination pour valider les données de réplication ou de sauvegarde. Pour plus d’informations, consultez le Forum aux questions sur le réplica de stockage.
• Améliorations des performances du journal de réplica de stockage
• Prise en charge de Windows Admin Center

Clustering de basculement

Voici une liste des nouveautés du clustering de basculement. Pour plus d’informations, consultez Nouveautés du clustering de basculement.

• Jeux de clusters
• Clusters adaptés à Azure
• Migration de cluster entre domaines
• Témoin USB
• Améliorations de l’infrastructure de cluster
• Mise à jour adaptée aux clusters qui prend en charge les espaces de stockage direct
• Améliorations du témoin de partage de fichiers
• Renforcement de cluster
• Le cluster de basculement n’utilise plus l’authentification NTLM

Plateforme d’applications

Conteneurs Linux sur Windows

Il est désormais possible d’exécuter des conteneurs Windows et Linux sur le même hôte de conteneurs en utilisant le même démon Docker. Vous pouvez maintenant avoir un environnement d’hôte de conteneurs hétérogène offrant davantage de flexibilité aux développeurs d’applications.

Prise en charge intégrée de Kubernetes

Windows Server 2019 poursuit les améliorations apportées aux capacités de calcul, de réseau et de stockage à partir des versions de canal semi-annuel nécessaires pour prendre en charge Kubernetes sur Windows. Plus de détails sont disponibles dans les prochaines versions de Kubernetes.

• Les réseaux de conteneurs dans Windows Server 2019 améliorent considérablement la facilité d’utilisation de Kubernetes sur Windows. Nous avons amélioré la résilience réseau des plateformes et la prise en charge des plug-ins réseau des conteneurs.

• Les charges de travail déployées sur Kubernetes peuvent utiliser la sécurité du réseau pour protéger les services Windows et Linux à l’aide d’outils intégrés.

Améliorations apportées aux conteneurs

• Identité intégrée améliorée

  Nous avons simplifié l’authentification Windows intégrée dans les conteneurs et l’avons rendue plus fiable en résolvant plusieurs limitations des versions antérieures de Windows Server.

• Meilleure compatibilité des applications

  La mise en conteneur des applications basées sur Windows est plus facile que jamais : La compatibilité des applications pour l’image windowsservercore existante a été augmentée. Pour les applications avec des dépendances d’API supplémentaires, il existe désormais une image de base de tiers : windows.

• Taille réduite et performances supérieures

  La taille du téléchargement, la taille sur disque et le temps de démarrage des images de conteneur de base ont été améliorés de façon à accélérer les workflows des conteneurs.

• Expérience de gestion à l’aide de Windows Admin Center (préversion)

  Il est maintenant plus facile que jamais de voir quels conteneurs sont en cours d’exécution sur votre ordinateur et de gérer des conteneurs individuels avec une nouvelle extension pour Windows Admin Center. Recherchez l’extension « Conteneurs » dans le flux public du Windows Admin Center.

Améliorations apportées au calcul

• Ordre de démarrage des machines virtuelles La fonctionnalité Ordre de démarrage des machines virtuelles est également améliorée avec la reconnaissance des applications et du système d’exploitation. Elle apporte des déclencheurs améliorés pour déterminer si une machine virtuelle est considérée comme démarrée avant le démarrage de la suivante.

• La prise en charge de la mémoire de classe stockage pour les machines virtuelles permet la création de volumes NTFS à accès direct sur des éléments DIMM non volatiles et leur exposition à des machines virtuelles Hyper-V. Les machines virtuelles Hyper-V peuvent maintenant tirer parti des avantages des performances à faible latence des périphériques mémoire de classe stockage.

• Prise en charge de la mémoire persistante pour les machines virtuelles Hyper-V Pour utiliser le débit élevé et la faible latence de la mémoire persistante (également connue sous le nom de « mémoire de classe de stockage ») dans les machines virtuelles, elle peut désormais être projetée directement dans les machines virtuelles. La mémoire persistante peut aider à réduire considérablement la latence des transactions de base de données ou à réduire les temps de récupération de bases de données à faible latence en mémoire en cas d’échec.

• Stockage des conteneurs : volumes de données persistants Les conteneurs d’application disposent désormais d’un accès persistant aux volumes. Pour plus d’informations, consultez le billet de blog Container Storage Support with Cluster Shared Volumes (CSV), Storage Spaces Direct (S2D), SMB Global Mapping.

• Format de fichier de configuration de machine virtuelle (mis à jour) Le fichier d’état d’invité de la machine virtuelle (.vmgs) a été ajouté pour les machines virtuelles avec une version de configuration 8.2 et ultérieure. Le fichier d’état d’invité de la machine virtuelle inclut des informations sur l’état de l’appareil, qui faisaient auparavant partie du fichier d’état du runtime de la machine virtuelle.

Réseaux chiffrés

Réseaux chiffrés - Le chiffrement des réseaux virtuels permet de chiffrer le trafic de réseau virtuel entre des machines virtuelles qui communiquent entre eux au sein des sous-réseaux marqués comme Chiffrement activé. Il utilise aussi le protocole DTLS (Datagram Transport Layer Security) sur le sous-réseau virtuel pour chiffrer les paquets. DTLS protège contre les écoutes clandestines, l’altération et la falsification par toute personne ayant accès au réseau physique.

Améliorations des performances réseau pour les charges de travail virtuelles

Améliorations des performances réseau pour les charges de travail virtuelles optimise le débit du réseau pour les machines virtuelles sans avoir à constamment ajuster ou surdimensionner votre hôte. Les performances améliorées réduisent les coûts d’exploitation et de maintenance tout en augmentant la densité disponible de vos hôtes. Ces nouvelles fonctionnalités sont les suivantes :

• Dynamic Virtual Machine Multi-Queue (d.VMMQ)

• Receive Segment Coalescing dans le commutateur virtuel

Low Extra Delay Background Transport

Low Extra Delay Background Transport (LEDBAT) est un fournisseur de contrôle de congestion du réseau à latence optimisée, conçu pour allouer automatiquement de la bande passante aux utilisateurs et aux applications. LEDBAT consomme la bande passante disponible quand le réseau n’est pas en cours d’utilisation. La technologie est destinée à être utilisée lors de déploiement de mises à jour volumineuses et critiques dans un environnement informatique, sans impact sur les services côté client ni sur la bande passante associée.

Service de temps Windows

Le Service de temps Windows comprend une véritable prise en charge de la de seconde intercalaire conforme à l’UTC, un nouveau protocole d’horaire appelé Precision Time Protocol et une traçabilité de bout en bout.

Passerelles SDN hautes performances

Les passerelles SDN hautes performances dans Windows Server 2019 améliorent considérablement les performances pour les connexions IPsec et GRE, fournissant un débit ultra hautes performances en utilisant beaucoup moins l’UC.

Nouvelle interface utilisateur de déploiement et extension du Windows Admin Center pour SDN

Désormais, avec Windows Server 2019, il est facile de déployer et de gérer par le biais d’une nouvelle interface utilisateur de déploiement et l’extension Windows Admin Center qui permettra à tout le monde de tirer parti de la puissance du SDN.

Sous-système Windows pour Linux (WSL)

WSL permet aux administrateurs de serveur d’utiliser les outils et les scripts existants de Linux sur Windows Server. De nombreuses améliorations présentées dans le blog de la ligne de commande font désormais partie de Windows Server, y compris les tâches en arrière-plan, DriveFS, WSLPath et bien plus encore.

Services de fédération Active Directory (AD FS)

services de fédération Active Directory (AD FS) (AD FS) pour Windows Server 2019 inclut les modifications suivantes.

Connexions protégées

Les connexions protégées avec AD FS incluent désormais les mises à jour suivantes :

• Les utilisateurs peuvent désormais utiliser des produits d’authentification tiers comme premier facteur sans exposer de mots de passe. Dans les cas où le fournisseur d’authentification externe peut prouver deux facteurs, il peut utiliser l’authentification multifacteur (MFA).

• Les utilisateurs peuvent désormais utiliser des mots de passe comme facteur supplémentaire après l’utilisation d’une option non-mot de passe comme premier facteur. Cette prise en charge intégrée améliore l’expérience globale d’AD FS 2016, qui nécessite le téléchargement d’une carte GitHub.

• Les utilisateurs peuvent désormais créer leurs propres modules d’évaluation des risques de plug-in pour bloquer certains types de requêtes pendant la phase de pré-authentification. Cette fonctionnalité facilite l’utilisation de l’intelligence cloud, telle que la protection des identités, pour bloquer les utilisateurs ou les transactions à risque. Pour plus d’informations, consultez Créer des plug-ins avec un modèle d’évaluation des risques AD FS 2019.

• Améliore l’ingénierie de correction rapide (QFE) extranet Smart Lockout (ESL) en ajoutant les fonctionnalités suivantes :

  • Vous pouvez désormais utiliser le mode d’audit tout en étant protégé par la fonctionnalité de verrouillage extranet classique.

  • Les utilisateurs peuvent désormais utiliser des seuils de verrouillage indépendants pour les emplacements familiers. Cette fonctionnalité vous permet d’exécuter plusieurs instances d’applications au sein d’un compte de service commun pour restaurer des mots de passe avec une interruption minimale.

Autres améliorations apportées à la sécurité

AD FS 2019 inclut les améliorations de sécurité suivantes :

• Remote PowerShell à l’aide de la connexion SmartCard permet aux utilisateurs de se connecter à distance à AD FS avec des cartes à puce en exécutant des commandes PowerShell. Les utilisateurs peuvent également utiliser cette méthode pour gérer toutes les fonctions PowerShell, notamment les applets de commande à plusieurs nœuds.

• La personnalisation de l’en-tête HTTP permet aux utilisateurs de personnaliser les en-têtes HTTP créés lors des réponses AD FS. La personnalisation de l’en-tête comprend les types d’en-têtes suivants :

  • HSTS, qui vous permet uniquement d’utiliser des points de terminaison AD FS sur des points de terminaison HTTPS pour qu’un navigateur conforme s’applique.

  • Les options X-frame, qui permettent aux administrateurs AD FS d’autoriser des parties de confiance spécifiques à incorporer des iFrames pour les pages de connexion interactive AD FS. Vous devez utiliser cet en-tête uniquement sur les hôtes HTTPS.

  • En-tête futur. Vous pouvez également configurer plusieurs en-têtes futurs.

  Pour plus d’informations, consultez Personnaliser des en-têtes de réponse de sécurité HTTP avec AD FS 2019.

Fonctionnalités d’authentification et de stratégie

AD FS 2019 inclut les fonctionnalités d’authentification et de stratégie suivantes :

• Les utilisateurs peuvent désormais créer des règles pour spécifier le fournisseur d’authentification que leur déploiement appelle pour une authentification supplémentaire. Cette fonctionnalité permet de passer d’un fournisseur d’authentification à l’autre et de sécuriser des applications spécifiques qui ont des exigences particulières pour des fournisseurs d’authentification supplémentaires.

• Restrictions facultatives pour les authentifications d’appareils basées sur TLS (Transport Layer Security) afin que seules les applications qui nécessitent TLS puissent les utiliser. Les utilisateurs peuvent restreindre les authentifications d’appareils basées sur TLS client afin que seules les applications qui effectuent un accès conditionnel basé sur les appareils puissent les utiliser. Cette fonctionnalité empêche les invites indésirables pour l’authentification de l’appareil pour les applications qui ne nécessitent pas d’authentification d’appareil basée sur TLS.

• AD FS prend désormais en charge la restauration des informations d’identification de second facteur en fonction de la fraîcheur des informations d’identification du second facteur. Cette fonctionnalité permet aux utilisateurs d’exiger uniquement l’authentification multifacteur pour la première transaction, puis de demander le deuxième facteur périodiquement. Vous pouvez uniquement utiliser cette fonctionnalité sur les applications qui peuvent fournir un paramètre supplémentaire dans la requête, car il ne s’agit pas d’un paramètre configurable dans AD FS. Microsoft Entra ID prend en charge ce paramètre si vous configurez le paramètre Mémoriser mon MFA pour X Days pour avoir pris en charge l’authentification multifacteur définie sur True dans les paramètres d’approbation de domaine fédéré microsoft Entra ID.

Améliorations apportées à l’authentification unique

AD FS 2019 inclut également les améliorations suivantes de l’authentification unique (SSO) :

• AD FS utilise désormais un flux d’expérience utilisateur paginé et une interface utilisateur centrée qui offre une expérience de connexion plus fluide pour les utilisateurs. Cette fonctionnalité de mise en miroir de modifications est proposée dans Azure AD. Vous devrez peut-être mettre à jour le logo et les images d’arrière-plan de votre organisation en fonction de la nouvelle interface utilisateur.

• Nous avons résolu un problème qui empêchait l’état de l’authentification MFA lors de l’utilisation de l’authentification PRT (Primary Refresh Token) sur les appareils Windows 10. Les utilisateurs doivent maintenant être invités à entrer les informations d’identification du deuxième facteur moins souvent. L’expérience doit maintenant être cohérente lorsque l’authentification de l’appareil réussit sur le protocole TLS client et l’authentification PRT.

Prise en charge de la création d’applications métier modernes

AD FS 2019 inclut les fonctionnalités suivantes pour prendre en charge la création d’applications métier modernes :

• AD FS inclut désormais la prise en charge du profil de flux d’appareil OAuth pour la connexion à l’aide d’appareils sans surface d’interface utilisateur pour prendre en charge des expériences de connexion enrichies. Cette fonctionnalité permet aux utilisateurs de terminer la connexion sur un autre appareil. L’expérience de interface de ligne de commande Azure (CLI) dans Azure Stack nécessite cette fonctionnalité et vous pouvez également l’utiliser dans d’autres scénarios.

• Vous n’avez plus besoin du paramètre Resource pour utiliser AD FS, qui est conforme aux spécifications actuelles de l’OAUth. Les clients doivent désormais uniquement fournir l’identificateur d’approbation de partie de confiance en tant que paramètre d’étendue long avec les autorisations demandées.

• Vous pouvez utiliser des en-têtes CORS (Cross-Origin Resource Sharing) dans les réponses AD FS. Ces nouveaux titres permettent aux utilisateurs de créer des applications monopage qui permettent aux bibliothèques JavaScript côté client de valider la signature id_token en interrogeant les clés de signature à partir du document de découverte Open ID Connect (OIDC) sur AD FS.

• AD FS inclut la prise en charge de la clé de preuve pour l’échange de code (PKCE) pour le flux de code d’authentification sécurisé dans OAuth. Cette couche de sécurité supplémentaire empêche les acteurs malveillants de détourner le code et de le relire à partir d’un autre client.

• Nous avons résolu un problème mineur qui empêchait AD FS d’envoyer uniquement la revendication x5t. AD FS envoie désormais une revendication enfant pour indiquer l’indicateur d’ID de clé pour la vérification de signature.

Améliorations de la prise en charge

Les administrateurs peuvent désormais configurer AD FS pour permettre aux utilisateurs d’envoyer des rapports d’erreurs et de déboguer des journaux d’activité en tant que fichier ZIP pour la résolution des problèmes. Les administrateurs peuvent également configurer une connexion SMTP (Simple Mail Transfer Protocol) pour envoyer automatiquement le fichier ZIP à un compte de courrier triage. Un autre paramètre permet aux administrateurs de créer automatiquement un ticket pour leur système de support en fonction de cet e-mail.

Mises à jour de déploiement

Les mises à jour de déploiement suivantes sont maintenant incluses dans AD FS 2019 :

• AD FS a une fonction similaire à sa version de Windows Server 2016 qui facilite la mise à niveau des batteries de serveurs Windows Server 2016 vers les batteries de serveurs Windows Server 2019. Un serveur Windows Server 2019 ajouté à une batterie de serveurs Windows Server 2016 se comporte uniquement comme un serveur Windows Server 2016 jusqu’à ce que vous soyez prêt à effectuer la mise à niveau. Pour plus d’informations, consultez Mise à niveau vers AD FS dans Windows Server 2016.

Mises à jour SAML

AD FS 2019 inclut les mises à jour SAML (Security Assertion Markup Language) suivantes :

• Nous avons résolu les problèmes liés à la prise en charge de la fédération agrégée, comme InCommon, dans les domaines suivants :

  • Amélioration de la mise à l’échelle pour de nombreuses entités dans le document de métadonnées de fédération agrégée. Précédemment, la mise à l’échelle de ces entités échoue et retourne un message d’erreur ADMIN0017.

  • Vous pouvez désormais effectuer des requêtes à l’aide du paramètre ScopeGroupID en exécutant l’applet Get-AdfsRelyingPartyTrustsGroup de commande PowerShell.

  • Amélioration de la gestion des conditions d’erreur pour les valeurs entityID dupliquées.

Spécification de ressource de style Azure AD dans le paramètre d’étendue

Auparavant, AD FS exigeait que la ressource et l’étendue souhaitées se trouvent dans un paramètre distinct dans toute requête d’authentification. Par exemple, l’exemple de requête OAuth suivant contient un paramètre d’étendue :

https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

Avec AD FS sur Windows Server 2019, vous pouvez désormais passer la valeur de la ressource incorporée dans le paramètre d’étendue. Cette modification est cohérente avec l’authentification par rapport à l’ID Microsoft Entra.

Le paramètre d’étendue peut désormais être organisé en tant que liste séparée par un espace qui structure chaque entité en tant que ressource ou étendue.

Remarque

Vous ne pouvez spécifier qu’une seule ressource dans la demande d’authentification. Si vous incluez plusieurs ressources dans la demande, AD FS retourne une erreur et l’authentification ne réussit pas.