Authentification directe Microsoft Entra : Forum aux questions

Consultez ce guide pour comparer les différentes méthodes de connexion Microsoft Entra et savoir comment choisir la méthode de connexion adaptée à votre organisation.

L’authentification directe est une fonctionnalité gratuite. Vous n’avez besoin d’aucune édition payante de Microsoft Entra ID pour l’utiliser.

Oui. Toutes les fonctionnalités d’Accès conditionnel, y compris l’authentification multifacteur Microsoft Entra, peuvent être utilisées avec l’authentification directe.

Oui, l’authentification directe (PTA) et la synchronisation du hachage de mot de passe (PHS) prennent en charge les connexions avec une valeur non-UPN, comme une autre adresse e-mail. Pour plus d’informations, consultez ID de connexion de substitution.

Non. L’authentification directe ne bascule pas automatiquement vers la synchronisation de hachage de mot de passe. Pour éviter les échecs de connexion de l’utilisateur, vous devez configurer l’authentification directe pour une haute disponibilité.

Lorsque vous utilisez Microsoft Entra Connect pour changer de méthode de connexion, en passant de la synchronisation de hachage de mot de passe vers l’authentification directe, cette dernière devient la méthode de connexion principale pour vos utilisateurs dans les domaines managés. L’ensemble des hachages de mot de passe des utilisateurs qui ont déjà été synchronisés via la synchronisation de hachage de mot de passe restent stockés sur Microsoft Entra ID.

Oui. Les versions renommées de l’agent d’authentification directe (versions 1.5.193.0 ou versions ultérieures) prennent en charge cette configuration.

Pour que cette fonctionnalité puisse fonctionner, vous devez utiliser la version 1.1.750.0 ou version ultérieure de Microsoft Entra Connect et la version 1.5.193.0 ou version ultérieure de l’agent d’authentification directe. Installez tous les logiciels sur des serveurs avec Windows Server 2012 R2 ou version ultérieure.

Le service de mise à jour ne fonctionne peut-être pas correctement, ou bien aucune nouvelle mise à jour n'est disponible. Le service de mise à jour est sain s’il est en cours d’exécution et qu’aucune erreur n’est enregistrée dans le journal des événements (Journaux des applications et des services -> Microsoft -> AzureADConnect-Agent -> Mise à jour -> Admin).

Seules les versions principales sont disponibles pour la mise à niveau automatique. Nous vous recommandons de mettre à jour votre agent manuellement seulement si c’est nécessaire. Par exemple, vous ne pouvez pas attendre une version majeure parce que vous devez résoudre un problème connu ou utiliser une nouvelle fonctionnalité. Pour plus d’informations sur les nouvelles versions, le type de la version (téléchargement, mise à niveau automatique), les correctifs de bogues et les nouvelles fonctionnalités, consultez Agent d’authentification directe Microsoft Entra : historique de publication des versions.

Pour procéder à la mise à niveau manuelle d'un connecteur :

• Téléchargez la dernière version de l’agent. (Vous le trouvez sous Microsoft Entra Connect Authentification directe sur le centre d’administration Microsoft Entra. Vous trouverez aussi le lien dans Authentification directe Microsoft Entra : historique de publication des versions.
• Le programme d’installation redémarre les services de l’agent d’authentification Microsoft Entra Connect. Dans certains cas, un redémarrage du serveur est nécessaire si le programme d’installation ne peut pas remplacer tous les fichiers. Par conséquent, nous vous recommandons de fermer toutes les applications via l’observateur d’événements avant de lancer la mise à niveau.
• Exécutez le programme d’installation. Le processus de mise à niveau est rapide et ne demande pas de fournir d’informations d’identification, et l’agent ne sera pas réinscrit.

Dans le cas où vous avez configuré la réécriture du mot de passe pour un utilisateur spécifique et que cet utilisateur se connecte à l’aide de l’authentification directe, leurs mots de passe peuvent être modifiés ou réinitialisés. Les mots de passe seront réécrits dans l’annuaire Active Directory local comme prévu.

Si la réécriture du mot de passe n’est pas configurée pour un utilisateur spécifique ou si l’utilisateur n’a aucune licence Microsoft Entra ID valide attribuée, celui-ci ne peut pas mettre à jour son mot de passe dans le cloud. Il ne peut pas mettre à jour son mot de passe même si le mot de passe a expiré. Au lieu de cela, l’utilisateur voit le message suivant : « Votre organisation ne vous autorise pas à mettre à jour votre mot de passe sur ce site. Mettez-le à jour en fonction de la méthode recommandée par votre organisation, ou contactez votre administrateur si vous avez besoin d’aide ». L’utilisateur ou l’administrateur doit réinitialiser son mot de passe dans Active Directory localement.

L’expiration du mot de passe ne déclenche pas la révocation des jetons d’authentification ou des cookies. Tant que les jetons ou les cookies sont valides, l’utilisateur peut les utiliser. Cela s’applique quel que soit le type d’authentification (PTA, PHS et les scénarios fédérés).

Si vous souhaitez obtenir plus d’informations, consultez la documentation ci-dessous :

Jetons d’accès de la plateforme d’identités Microsoft – Plateforme d’identités Microsoft | Microsoft Docs

Lisez les informations sur le verrouillage intelligent.

• Les agents d’authentification établissent les requêtes HTTPS sur le port 443 pour toutes les opérations de fonctionnalité.

• Les agents d'authentification établissent des requêtes HTTP sur le port 80 pour télécharger les listes de révocations de certificats TLS/SSL (CRL).

  Notes

  Dans les mises à jour récentes, le nombre de ports requis par la fonctionnalité a été diminué. Si vous disposez de versions antérieures de Microsoft Entra Connect ou de l’agent d’authentification, laissez ces ports également ouverts : 5671, 8080, 9090, 9091, 9350, 9352 et 10100 à 10120.

Oui. Si Web Proxy Auto-Discovery (WPAD) est activé dans votre environnement sur site, les agents d’authentification essayent automatiquement de localiser et d’utiliser un serveur proxy web sur le réseau. Pour plus d’informations sur l’utilisation du serveur proxy sortant, consultez Travailler avec des serveurs proxy locaux existants.

Si vous ne disposez pas de WPAD dans votre environnement, vous pouvez ajouter des informations de proxy (comme indiqué ci-dessous) pour permettre à un agent d'authentification directe de communiquer avec Microsoft Entra ID :

• Configurez les informations de proxy dans Internet Explorer avant d'installer l'agent d'authentification directe sur le serveur. Cela vous permet d’effectuer l’installation de l’agent d’authentification, mais celui-ci apparaîtra toujours comme Inactif sur le portail d’administration.
• Sur le serveur, accédez à « C:\Program Files\Microsoft Azure AD Connect Authentication Agent ».
• Modifiez le fichier de configuration « AzureADConnectAuthenticationAgentService » et ajoutez les lignes suivantes (remplacez « http://contosoproxy.com:8080" » par votre adresse proxy réelle) :

   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Non, vous ne pouvez installer qu’un seul agent d’authentification directe sur un serveur unique. Si vous souhaitez configurer l’authentification directe pour la haute disponibilité, suivez les instructions fournies ici.

La communication entre les agents d’authentification directe et Microsoft Entra ID est sécurisée à l’aide de l’authentification basée sur les certificats. Ces certificats sont automatiquement renouvelés tous les quelques mois par Microsoft Entra ID. Il n’est pas nécessaire de renouveler manuellement ces certificats. Vous pouvez nettoyer les anciens certificats arrivés à expiration en fonction des besoins.

Tant qu’un agent d’authentification directe est en cours d’exécution, il reste actif et gère en permanence les demandes de connexion utilisateur. Si vous souhaitez désinstaller un agent d’authentification, accédez à Panneau de configuration -> Programmes -> Programmes et fonctionnalités et désinstallez les programmes Agent d’authentification Microsoft Entra Connect et Outil de mise à jour de l’agent Microsoft Entra Connect.

Si vous cochez le panneau Authentification directe sur le centre d’administration Microsoft Entra, au moins en tant qu’Administrateur d’identité hybride. après avoir terminé l'étape précédente, vous verrez l'agent d'authentification s'afficher comme Inactif. Ceci est normal. L’agent d’authentification est automatiquement supprimé de la liste après 10 jours.

Si vous procédez à une migration depuis AD FS (ou d’autres technologies de fédération) vers l’authentification directe, nous vous recommandons vivement de suivre notre guide de démarrage rapide.

Oui. Les environnements à plusieurs forêts sont pris en charge s’il existe des approbations de forêts (bidirectionnelles) entre les forêts Active Directory et si le routage du suffixe de leurs noms est configuré correctement.

Non, le fait d’installer plusieurs agents d’authentification directe n’assure que la haute disponibilité, et non un équilibrage de charge déterministe entre les agents d’authentification. N’importe quel agent d’authentification (pris au hasard) peut traiter la demande de connexion d’un utilisateur.

L’installation de plusieurs agents d’authentification directe assure une haute disponibilité. Mais, elle ne fournit pas d’équilibrage de charge déterministe entre les agents d’authentification.

Envisagez la charge moyenne et les pics de charge lors des demandes de connexion que vous attendez de la part de votre locataire. À titre de référence, un seul agent d’authentification peut gérer entre 300 et 400 authentifications par seconde sur un serveur doté d’un CPU à 4 cœurs et de 16 Go de RAM.

Pour estimer le trafic réseau, suivez les instructions de dimensionnement suivantes :

• La taille de la charge utile de chaque requête est de (0,5 K + 1 K x num_of_agents) octets. Cela correspond aux données envoyées entre Microsoft Entra ID et l’agent d'authentification. Ici, « num_of_agents » indique le nombre d’agents d’authentification inscrit sur votre abonné.
• La taille de la charge utile de chaque réponse est de 1 kilooctet. Cela correspond aux données envoyées entre l’agent d'authentification et Microsoft Entra ID.

Pour la plupart des clients, deux ou trois agents d’authentification au total suffisent à offrir la haute disponibilité et suffisamment de capacité. Cependant, dans les environnements de production, nous vous recommandons l’utilisation d’au moins 3 agents d’authentification s’exécutant sur votre locataire. Vous devriez installer des agents d’authentification près de vos contrôleurs de domaine pour améliorer la latence de connexion.

Il est recommandé d’activer ou de désactiver l’authentification directe à l’aide d’un compte d’administrateur général de type cloud uniquement. Découvrez comment ajouter un compte d’administrateur général de type cloud uniquement. Cette manière d’opérer garantit que vous ne serez pas verrouillé hors de votre locataire.

Réexécutez l’Assistant Microsoft Entra Connect et modifiez la méthode de connexion utilisateur de l’authentification directe à une autre méthode. Cette modification désactive l’authentification directe sur le client et désinstalle l’agent d’authentification du serveur. Vous devez désinstaller manuellement les agents d’authentification à partir des autres serveurs.

La désinstallation d’un agent d’authentification directe à partir d’un serveur provoque l’interruption de l’acceptation des requêtes de connexion. Pour éviter d'interrompre la fonctionnalité de connexion de l'utilisateur sur votre client, assurez-vous qu'un autre agent d'authentification est en cours d'exécution avant de désinstaller un agent d'authentification directe.

Il peut arriver que les modifications de noms UPN locaux ne se synchronisent pas dans les circonstances suivantes :

• Votre locataire Microsoft Entra a été créé avant le 15 juin 2015.
• Vous étiez à l’origine fédéré avec votre client Microsoft Entra par le biais d’AD FS pour l’authentification.
• Vous avez basculé vers des utilisateurs gérés avec PTA pour l’authentification.

En effet, le comportement par défaut des locataires créés avant le 15 juin 15, 2015 consistait à bloquer les changements de noms UPN. Si souhaitez débloquer les modifications d’UPN, exécutez la cmdlet PowerShell suivante. Obtenez l’ID à l’aide de la cmdlet Get-MgDirectoryOnPremiseSynchronization.

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

Les locataires créés après le 15 juin 2015 ont comme comportement par défaut de synchroniser les changements d’UPN.

Pour valider le serveur local ou l’agent d’authentification qui a été utilisé pour un événement de connexion spécifique :

1. Dans le centre d'administration Microsoft Entra, accédez à l'événement de connexion.

2. Sélectionnez Détails de l’authentification. Dans la colonne Détails de la méthode d’authentification, les détails de l’ID d’agent sont indiqués au format « Authentification directe. PTA AgentId : XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX ».

3. Pour obtenir les détails de l’ID d’agent de l’agent installé sur votre serveur local, connectez-vous à votre serveur local et exécutez l’applet de commande suivante :

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

   La valeur GUID retournée est l’ID d’agent de l’agent d’authentification installé sur ce serveur spécifique. Si vous avez plusieurs agents dans votre environnement, vous pouvez exécuter cette applet de commande sur chaque serveur de l’agent et capturer les détails de l’ID de l’agent.

4. Mettez en corrélation l’ID d’agent obtenu à partir du serveur local et des journaux de connexion Microsoft Entra pour valider l’agent ou le serveur qui a accepté la demande de signature.

Étapes suivantes

• Limitations actuelles : Découvrez les scénarios qui sont pris en charge et ceux qui ne le sont pas.
• Démarrage rapide : soyez opérationnel sur l'authentification directe Microsoft Entra.
• Migrez vos applications vers Microsoft Entra ID : Ressources pour vous aider à migrer l’accès aux applications et l’authentification vers Microsoft Entra ID.
• Verrouillage intelligent : apprenez à configurer la fonctionnalité Verrouillage intelligent sur votre locataire pour protéger les comptes d'utilisateur.
• Présentation technique approfondie : découvrez comment fonctionne la fonctionnalité d'authentification directe.
• Résoudre les problèmes : apprenez à résoudre les problèmes courants liés à la fonctionnalité d’authentification directe.
• Présentation approfondie de sécurité : obtenez des informations techniques détaillées sur la fonctionnalité d’authentification directe.
• Adhésion hybride Microsoft Entra : configurez la fonctionnalité de jointure hybride Microsoft Entra sur votre locataire pour l’authentification unique sur vos ressources cloud et sur site.
• SSO transparent Microsoft Entra : apprenez-en davantage sur cette fonctionnalité complémentaire.
• UserVoice : utilisez le forum Microsoft Entra pour déposer de nouvelles demandes de fonctionnalités.