Authentification directe Azure Active Directory : Démarrage rapide

Déployer l’authentification directe Azure AD

L’authentification directe Azure Active Directory (Azure AD) permet à vos utilisateurs de se connecter aux applications sur site et aux applications cloud à l’aide des mêmes mots de passe. L'authentification directe connecte les utilisateurs en validant leurs mots de passe directement par rapport à l'annuaire Active Directory sur site.

Important

Si vous procédez à une migration depuis AD FS (ou d’autres technologies de fédération) vers l’authentification directe, nous vous recommandons vivement de vous référer à notre guide de déploiement détaillé, publié ici.

Notes

Si vous déployez l’authentification directe avec le cloud Azure Government, consultez Considérations sur les identités hybrides pour Azure Government.

Suivez ces instructions pour déployer l’authentification directe sur votre locataire :

Étape 1 : Vérifier les prérequis

Vérifiez que les prérequis suivants sont remplis.

Important

Du point de vue de la sécurité, les administrateurs doivent traiter le serveur exécutant l’agent PTA comme s’il s’agissait d’un contrôleur de domaine. Les serveurs d’agent PTA doivent être renforcés de la même manière que décrit dans Sécurisation des contrôleurs de domaine contre les attaques

Dans le Centre d’administration Azure Active Directory

  1. Créez un compte d’administrateur général dans le cloud uniquement ou un compte d’administrateur d’identités hybrides sur votre locataire Azure AD. De cette façon, vous pouvez gérer la configuration de votre locataire si vos services locaux venaient à échouer ou ne plus être disponibles. Découvrez comment ajouter un compte d’administrateur général de type cloud uniquement. Cette étape est essentielle si vous voulez éviter de vous retrouver en dehors de votre locataire.
  2. Ajoutez un ou plusieurs noms de domaine personnalisés à votre locataire Azure AD. Vos utilisateurs peuvent se connecter à l’aide de l’un de ces noms de domaine.

Dans votre environnement local

  1. Identifiez un serveur Windows Server 2016 ou ultérieur sur lequel exécuter Azure AD Connect. Le cas échéant, activez TLS 1.2 sur le serveur. Ajoutez ce serveur à la même forêt Active Directory que celle des utilisateurs dont vous devez valider les mots de passe. Notez que l’installation de l’agent d’authentification directe sur les versions Windows Server Core n’est pas prise en charge.

  2. Installez la version la plus récente d’Azure AD Connect sur le serveur identifié à l’étape précédente. Si vous exécutez déjà Azure AD Connect, vérifiez qu’il s’agit de la version 1.1.750.0 ou d’une version ultérieure.

    Notes

    Les versions 1.1.557.0, 1.1.558.0, 1.1.561.0 et 1.1.614.0 d’Azure AD Connect comportent un problème lié à la synchronisation de hachage de mot de passe. Si vous ne prévoyez pas d’utiliser la synchronisation de hachage de mot de passe en même temps que l’authentification directe, lisez les Notes de publication Azure AD Connect.

  3. Identifiez un ou plusieurs serveurs supplémentaires (exécutant Windows Server 2016 ou version ultérieure, avec TLS 1.2 activé) sur lesquels vous pouvez exécuter des agents d’authentification autonomes. Ces serveurs supplémentaires sont nécessaires pour garantir une haute disponibilité des requêtes de connexion. Ajoutez ces serveurs à la même forêt Active Directory que celle des utilisateurs dont vous devez valider les mots de passe.

    Important

    Dans les environnements de production, nous vous recommandons l’utilisation d’au moins 3 agents d’authentification s’exécutant sur votre locataire. Il existe une limite système de 40 agents d’authentification par client. En tant que bonne pratique, traitez tous les serveurs exécutant des agents d’authentification comme des systèmes de niveau 0 (voir référence).

  4. S’il existe un pare-feu entre vos serveurs et Azure AD, configurez les éléments suivants :

    • Assurez-vous que les agents d’authentification peuvent effectuer des requêtes sortantes vers Azure AD sur les ports suivants :

      Numéro de port Utilisation
      80 Télécharge les listes de révocation de certificats lors de la validation du certificat TLS/SSL
      443 Gère toutes les communications sortantes avec le service
      8080 (facultatif) Les agents d’authentification signalent leur état toutes les dix minutes sur le port 8080 (si le port 443 n’est pas disponible). Cet état est affiché sur le portail Azure AD. Le port 8080 n’est pas utilisé pour les connexions utilisateur.

      Si votre pare-feu applique les règles en fonction des utilisateurs d’origine, ouvrez ces ports au trafic provenant des services Windows exécutés en tant que service réseau.

    • Si votre pare-feu ou proxy vous permet d’ajouter des entrées DNS à une liste d’autorisation, ajoutez des connexions à *.msappproxy.net et *.servicebus.windows.net. Dans le cas contraire, autorisez l’accès aux plages d’adresses IP du centre de données Azure, qui sont mises à jour chaque semaine.

    • Évitez toute forme d’inspection et de terminaison inlined sur les communications TLS sortantes entre l’agent Azure Passthrough et Point de terminaison Azure.

    • Si vous avez un proxy HTTP sortant, assurez-vous que cette URL, autologon.microsoftazuread-sso.com, figure dans la liste d’autorisation. Vous devez spécifier cette URL explicitement, car les caractères génériques peuvent ne pas être acceptés.

    • Vos agents d’authentification doivent accéder à login.windows.net et à login.microsoftonline.net pour l’inscription initiale. Par conséquent, ouvrez également votre pare-feu pour ces URL.

    • Pour la validation des certificats, débloquez les URL suivantes : crl3.digicert.com:80, crl4.digicert.com:80, ocsp.digicert.com:80, www.d-trust.net:80, root-c3-ca2-2009.ocsp.d-trust.net:80, crl.microsoft.com:80, oneocsp.microsoft.com:80 et ocsp.msocsp.com:80. Ces URL étant utilisées pour la validation de certificat avec d’autres produits Microsoft, elles sont peut-être déjà débloquées.

Cloud Azure Government - Prérequis

Avant d'activer l'authentification directe via Azure AD Connect à l'étape 2, téléchargez la dernière version de l'agent PTA à partir du portail Azure. Vous devez vous assurer que vous disposez de la version 1.5.1742.0. ou ultérieure. Pour vérifier votre agent, consultez Mettre à niveau les agents d'authentification.

Après avoir téléchargé la dernière version de l'agent, suivez les instructions ci-dessous pour configurer l'authentification directe via Azure AD Connect.

Étape 2 : Activer la fonctionnalité

Activez l’authentification directe via Azure AD Connect.

Important

Vous pouvez activer l’authentification directe sur le serveur principal ou sur un serveur intermédiaire Azure AD Connect. Nous vous recommandons vivement de l’activer à partir du serveur principal. Si vous installez un serveur intermédiaire Azure AD Connect plus tard, vous devez continuer à choisir l’authentification directe comme option de connexion. Le choix d’une autre option désactivera l’authentification directe sur le client et remplacera le paramètre dans le serveur principal.

Si vous installez Azure AD Connect pour la première fois, choisissez le chemin d’installation personnalisé. Dans la page Connexion utilisateur, choisissez Authentification directe comme méthode d’authentification. Si l’opération réussit, un agent d’authentification directe est installé sur le même serveur qu’Azure AD Connect. La fonctionnalité d’authentification directe est également activée sur votre locataire.

Azure AD Connect: User sign-in

Si vous avez déjà installé Azure AD Connect à l’aide du chemin d’installation rapide ou d’installation personnalisée, sélectionnez la tâche Modifier la connexion utilisateur dans Azure AD Connect, puis cliquez sur Suivant. Ensuite, sélectionnez Authentification directe comme mode d’authentification. Si l’opération réussit, un agent d’authentification directe est installé sur le même serveur qu’Azure AD Connect et la fonctionnalité est activée sur votre locataire.

Azure AD Connect: Change user sign-in

Important

L’authentification directe est une fonctionnalité au niveau du locataire. Son activation affecte la connexion des utilisateurs dans tous les domaines gérés dans votre locataire. Si vous passez d'Active Directory Federation Services (ADFS) à l'authentification directe, vous devez attendre au moins 12 heures avant de fermer votre infrastructure AD FS. Ce délai d'attente permet aux utilisateurs de continuer à se connecter à Exchange ActiveSync pendant la transition. Pour obtenir plus d’informations sur la migration d’AD FS vers l’authentification directe, consultez notre plan de déploiement détaillé publié ici.

Étape 3 : Tester la fonctionnalité

Suivez ces instructions pour vérifier que vous avez activé correctement l’authentification directe :

  1. Connectez-vous au Centre d’administration Azure Active Directory à l’aide des informations d’identification d’administrateur général de votre locataire.
  2. Sélectionnez Active Directory dans le volet de gauche.
  3. Sélectionnez ensuite Azure AD Connect.
  4. Vérifiez que la fonctionnalité Authentification directe est activée.
  5. Sélectionnez Authentification directe. Le volet Authentification directe répertorie les serveurs sur lesquels vos agents d’authentification sont installés.

Azure Active Directory admin center: Azure AD Connect pane

Azure Active Directory admin center: Pass-through Authentication pane

À ce stade, les utilisateurs de tous les domaines gérés de votre locataire peuvent se connecter à l’aide de l’authentification directe. Toutefois, les utilisateurs des domaines fédérés continuent à se connecter à l’aide d'AD FS ou d’un autre fournisseur de fédération précédemment configuré. Si vous convertissez un domaine fédéré en domaine géré, tous les utilisateurs de ce domaine se connectent alors automatiquement à l’aide de l’authentification directe. La fonctionnalité Authentification directe n’a pas d’incidence sur les utilisateurs cloud uniquement.

Étape 4 : Garantir une haute disponibilité

Si vous envisagez de déployer l’authentification directe dans un environnement de production, vous devez installer des agents d’authentification autonomes supplémentaires. Installez ces agents d’authentification sur des serveurs autres que celui qui exécute Azure AD Connect. Cette configuration fournit une haute disponibilité pour les requêtes de connexion des utilisateurs.

Important

Dans les environnements de production, nous vous recommandons l’utilisation d’au moins 3 agents d’authentification s’exécutant sur votre locataire. Il existe une limite système de 40 agents d’authentification par client. En tant que bonne pratique, traitez tous les serveurs exécutant des agents d’authentification comme des systèmes de niveau 0 (voir référence).

L’installation de plusieurs agents d’authentification directe assure une haute disponibilité, mais pas d’équilibrage de charge entre les agents d’authentification. Pour savoir combien d’agents d’authentification sont nécessaires pour votre client, tenez compte des pics et de la charge moyenne des demandes de connexion que vous attendez sur votre client. À titre de référence, un seul agent d’authentification peut gérer entre 300 et 400 authentifications par seconde sur un serveur doté d’un CPU à 4 cœurs et de 16 Go de RAM.

Pour estimer le trafic réseau, suivez les instructions de dimensionnement suivantes :

  • La taille de la charge utile de chaque requête est de (0,5 K + 1 K x num_of_agents) octets. Cela correspond aux données envoyées entre Azure AD et l'agent d'authentification. Ici, « num_of_agents » indique le nombre d’agents d’authentification inscrit sur votre abonné.
  • La taille de la charge utile de chaque réponse est de 1 kilooctet. Cela correspond aux données envoyées entre l'agent d'authentification et Azure AD.

Pour la plupart des clients, trois agents d’authentification au total suffisent à offrir la haute disponibilité et suffisamment de capacité. Vous devriez installer des agents d’authentification près de vos contrôleurs de domaine pour améliorer la latence de connexion.

Pour commencer, suivez ces instructions pour télécharger l’agent d’authentification :

  1. Pour télécharger la dernière version de l’agent d’authentification (version 1.5.193.0 ou ultérieure), connectez-vous au Centre d’administration Azure Active Directory avec les droits d’administrateur général de votre locataire.
  2. Sélectionnez Active Directory dans le volet de gauche.
  3. Sélectionnez Azure AD Connect, Authentification directe, puis Télécharger l'agent.
  4. Cliquez sur le bouton Accepter les conditions et télécharger.

Azure Active Directory admin center: Download Authentication Agent button

Azure Active Directory admin center: Download Agent pane

Notes

Vous pouvez aussi directement télécharger le logiciel de l’agent d’authentification. Lisez et acceptez les conditions de service de l’agent d’authentification avant de l’installer.

Il existe deux méthodes pour déployer un agent d’authentification autonome :

Tout d’abord, vous pouvez le faire interactivement en exécutant le fichier exécutable de l’agent d’authentification téléchargé et en fournissant les informations d’identification d’administrateur général de votre locataire lorsque vous y êtes invité.

La deuxième solution consiste à créer et à exécuter un script de déploiement sans assistance. C’est utile lorsque vous souhaitez déployer plusieurs agents d’authentification à la fois, ou installer des agents d’authentification sur des serveurs Windows qui ne disposent pas d’une interface utilisateur, ou auxquels vous ne pouvez pas accéder avec le Bureau à distance. Voici des instructions pour utiliser cette méthode :

  1. Exécutez la commande suivante pour installer un agent d’authentification : AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q.
  2. Vous pouvez inscrire l’agent d’authentification auprès de notre service à l’aide de Windows PowerShell. Créez un objet d’informations d’identification PowerShell $cred qui contient un nom d’utilisateur et un mot de passe d’administrateur général pour votre locataire. Exécutez la commande suivante, en remplaçant username> et > :
$User = "<username>"
$PlainPassword = '<password>'
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
$cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, $SecurePassword
  1. Accédez à C:\Program Files\Microsoft Azure AD Connect Authentication Agent et exécutez le script suivant en utilisant l’objet que vous venez de créer :
RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -moduleName "PassthroughAuthPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature PassthroughAuthentication

Important

Si un agent d’authentification est installé sur une machine virtuelle, vous ne pouvez pas cloner cette machine virtuelle pour installer un autre agent d’authentification. Cette méthode n’est pas prise en charge.

Étape 5 : Configurer la fonctionnalité de verrouillage intelligent

Le verrouillage intelligent empêche les personnes malveillantes de deviner vos mots de passe ou d’utiliser des méthodes de force brute pour rentrer dans vos systèmes. En configurant les paramètres de verrouillage intelligent dans Azure AD et/ou les paramètres de verrouillage appropriés dans l’Active Directory local, les attaques peuvent être filtrées avant qu’elles n’atteignent Active Directory. Lisez cet article pour en savoir plus sur la configuration des paramètres de verrouillage intelligent sur votre locataire pour protéger vos comptes d’utilisateur.

Étapes suivantes