Dans cet article, nous répondons au forum aux questions sur l’authentification unique et transparente Azure Active Directory. N’hésitez pas à le consulter régulièrement, du contenu nouveau y est fréquemment ajouté.
Avec quelles méthodes de connexion l'authentification unique transparente est-elle compatible ?
L’authentification unique transparente peut être combinée avec la synchronisation de hachage de mot de passe et l’authentification directe. Toutefois, cette fonctionnalité ne peut pas être utilisée avec les services de fédération Active Directory (AD FS).
La fonctionnalité d’authentification unique transparente est-elle gratuite ?
L’authentification unique transparente est une fonctionnalité gratuite et il n’est pas utile de disposer des éditions payantes d’Azure AD pour l’utiliser.
L'authentification unique transparente est-elle disponible dans le cloud Microsoft Azure Allemagne et dans le cloud Microsoft Azure Government ?
L’authentification unique fluide est disponible pour le cloud Azure Government. Pour plus d’informations, consultez Considérations sur les identités hybrides pour Azure Government.
Quelles applications tirent parti de la fonctionnalité de paramètre « domain_hint » ou « login_hint » de l’authentification unique fluide ?
Le tableau contient une liste d’applications qui peuvent envoyer ces paramètres à Azure AD. Cette action offre aux utilisateurs une expérience d’authentification silencieuse à l’aide de l’authentification unique transparente.
| Nom de l'application | URL d’application à utiliser |
|---|---|
| Panneau d’accès | https://myapps.microsoft.com/contoso.com |
| Outlook sur le Web | https://outlook.office365.com/contoso.com |
| Portails Office 365 | https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com |
De plus, les utilisateurs obtiennent une expérience de connexion silencieuse si une application envoie des demandes de connexion aux points de terminaison d’Azure AD définis en tant que locataires (c’est-à-dire https://login.microsoftonline.com/contoso.com/<..> ou https://login.microsoftonline.com/<ID_locataire>/<..>) au lieu du point de terminaison commun d’Azure AD (c’est-à-dire, https://login.microsoftonline.com/common/<...>). Le tableau présente une liste d’applications qui font ces types de requêtes de connexion.
| Nom de l'application | URL d’application à utiliser |
|---|---|
| SharePoint Online | https://contoso.sharepoint.com |
| Portail Azure | https://portal.azure.com/contoso.com |
Dans les tables ci-dessus, remplacez « contoso.com » par votre nom de domaine pour obtenir les URL d’application de votre abonné.
Si vous souhaitez que d’autres applications utilisent notre expérience d’authentification en mode silencieux, faites-le nous savoir dans la section des commentaires.
L’authentification unique fluide prend-elle en charge l’« ID secondaire » comme nom d’utilisateur, au lieu de « userPrincipalName » ?
Oui. L’authentification unique transparente prend en charge Alternate ID comme nom d’utilisateur dans Azure AD Connect comme indiqué ici. Toutes les applications Microsoft 365 ne prennent pas en charge Alternate ID. Reportez-vous à la documentation de l’application qui vous intéresse pour avoir des précisions sur sa prise en charge.
Quelle est la différence entre l'expérience d'authentification unique fournie par Azure AD Join et l'authentification unique transparente ?
Azure AD Join fournit l’authentification unique aux utilisateurs si leurs appareils sont inscrits auprès d’Azure AD. Ces appareils ne doivent pas nécessairement être joints au domaine. L’authentification unique est fournie à l’aide de jetons d’actualisation principaux ou PRTs, et non Kerberos. L’expérience utilisateur est optimale sur des appareils Windows 10. L’authentification unique s’effectue automatiquement sur le navigateur Microsoft Edge. Elle fonctionne également sur Chrome avec une extension de navigateur.
Vous pouvez utiliser la jonction Azure AD et l’authentification unique transparente sur votre locataire. Ces deux fonctionnalités sont complémentaires. Si les deux fonctionnalités sont activées, l’authentification unique à partir d’Azure AD Join est prioritaire sur l’authentification unique transparente.
Je souhaite inscrire des appareils non Windows 10 auprès d’Azure AD sans utiliser les services AD FS. Puis-je à la place utiliser l’authentification unique transparente ?
Oui, ce scénario nécessite la version 2.1 ou ultérieure du client workplace-join.
Comment remplacer la clé de déchiffrement Kerberos du compte d’ordinateur `AZUREADSSO` ?
Il est important de remplacer fréquemment la clé de déchiffrement Kerberos du compte d’ordinateur AZUREADSSO (qui représente Azure AD) créé dans votre forêt AD locale.
Important
Nous vous recommandons vivement de remplacer la clé de déchiffrement Kerberos au moins tous les 30 jours.
Suivez ces étapes sur le serveur local où vous exécutez Azure AD Connect :
Notes
Vous aurez besoin des informations d’identification d’administrateur de domaine et d’administrateur général/administrateur d’identité hybride pour les étapes.
Si vous n’êtes pas administrateur de domaine et que vous avez reçu des autorisations par l’administrateur de domaine, vous devez appeler Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount
Étape 1. Obtenez la liste des forêts AD dans lesquelles l’authentification unique transparente a été activée.
- Commencez par télécharger et installer Azure AD PowerShell.
- Accédez au dossier
$env:programfiles"\Microsoft Azure Active Directory Connect". - Importez le module PowerShell Authentification unique (SSO) transparente à l’aide de la commande suivante :
Import-Module .\AzureADSSO.psd1. - Exécutez PowerShell ISE en tant qu’administrateur. Dans PowerShell, appelez
New-AzureADSSOAuthenticationContext. Cette commande doit afficher une fenêtre contextuelle dans laquelle vous devez entrer vos informations d’identification d’administrateur général ou d’administrateur d’identités hybrides de locataire. - Appelez
Get-AzureADSSOStatus | ConvertFrom-Json. Cette commande vous fournit la liste des forêts AD (examinez la liste « Domaines ») dans lesquelles cette fonctionnalité a été activée.
Étape 2. Mettre à jour la clé de déchiffrement Kerberos sur chaque forêt AD à laquelle elle a été attribuée.
- Appelez
$creds = Get-Credential. Quand vous y êtes invité, entrez les informations d’identification d’administrateur de domaine pour la forêt AD souhaitée.
Notes
Le nom d’utilisateur des informations d’identification de l’administrateur de domaine doit être entré au format de nom de compte SAM (contoso\johndoe ou contoso.com\johndoe). Nous utilisons la partie domaine du nom d’utilisateur pour localiser le contrôleur de domaine de l’administrateur de domaine à l’aide de DNS.
Notes
Le compte administrateur de domaine utilisé ne doit pas être membre du groupe Utilisateurs protégés. Sinon, l’opération échoue.
Appelez
Update-AzureADSSOForest -OnPremCredentials $creds. Cette commande met à jour la clé de déchiffrement de Kerberos pour leAZUREADSSOcompte de l’ordinateur et la forêt AD spécifique et dans Azure AD.Répétez les étapes précédentes pour chaque forêt AD dans laquelle vous avez configuré la fonctionnalité.
Notes
Si vous mettez à jour une forêt autre que celle d’Azure AD Connect, assurez-vous que la connectivité au serveur du catalogue global (TCP 3268 et TCP 3269) est disponible.
Important
Cette opération n’est pas nécessaire sur les serveurs exécutant Azure AD Connect en mode de préproduction.
Assurez-vous de ne pas exécuter la Update-AzureADSSOForest commande plusieurs fois par forêt. Dans le cas contraire, la fonctionnalité cesse de fonctionner jusqu’à ce que les tickets Kerberos de vos utilisateurs expirent et soient régénérés par votre annuaire Active Directory local.
Comment désactiver l’authentification unique transparente ?
Étape 1. Désactiver la fonctionnalité pour votre locataire
Option A : Désactiver à l’aide d’Azure AD Connect
- Exécutez Azure AD Connect, cliquez sur la page Modifier la connexion utilisateur puis sur Suivant.
- Désactivez l’option Activer l’authentification unique. Suivez les instructions de l’Assistant.
À la fin de l’Assistant, l’authentification unique fluide sera désactivée pour votre locataire. Toutefois, le message suivant s’affichera :
L’authentification unique est maintenant désactivée, mais d’autres étapes manuelles sont à accomplir pour effectuer le nettoyage. En savoir plus"
Pour effectuer le processus de nettoyage, suivez les étapes 2 et 3 sur le serveur local où vous exécutez Azure AD Connect.
Option B : Désactiver à l’aide de PowerShell
Exécutez les étapes suivantes sur le serveur local où vous exécutez Azure AD Connect :
- Commencez par télécharger et installer Azure AD PowerShell.
- Accédez au dossier
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Importez le module PowerShell Authentification unique (SSO) transparente à l’aide de la commande suivante :
Import-Module .\AzureADSSO.psd1. - Exécutez PowerShell ISE en tant qu’administrateur. Dans PowerShell, appelez
New-AzureADSSOAuthenticationContext. Cette commande doit afficher une fenêtre contextuelle dans laquelle vous devez entrer vos informations d’identification d’administrateur général ou d’administrateur d’identités hybrides de locataire. - Appelez
Enable-AzureADSSO -Enable $false.
À ce stade, l’authentification unique fluide est désactivée, mais les domaines restent configurés au cas où vous souhaiteriez réactiver l’authentification unique fluide. Si vous souhaitez supprimer complètement les domaines de la configuration de l’authentification unique fluide, appelez l’applet de commande suivante après avoir terminé l’étape 5 ci-dessus : Disable-AzureADSSOForest -DomainFqdn <fqdn>.
Important
La désactivation de l’authentification unique transparente à l’aide de PowerShell ne change pas l’état dans Azure AD Connect. L’authentification unique fluide apparaîtra comme étant activée dans la page Modifier la connexion utilisateur.
Étape 2. Obtenez la liste des forêts AD dans lesquelles l’authentification unique transparente a été activée.
Suivez les tâches 1 à 4 si vous avez désactivé l’authentification unique transparente avec Azure AD Connect. Si vous avez désactivé l’authentification unique transparente à l’aide de PowerShell, passez directement à la tâche 5.
- Commencez par télécharger et installer Azure AD PowerShell.
- Accédez au dossier
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Importez le module PowerShell Authentification unique (SSO) transparente à l’aide de la commande suivante :
Import-Module .\AzureADSSO.psd1. - Exécutez PowerShell ISE en tant qu’administrateur. Dans PowerShell, appelez
New-AzureADSSOAuthenticationContext. Cette commande doit afficher une fenêtre contextuelle dans laquelle vous devez entrer vos informations d’identification d’administrateur général ou d’administrateur d’identités hybrides de locataire. - Appelez
Get-AzureADSSOStatus | ConvertFrom-Json. Cette commande vous fournit la liste des forêts AD (examinez la liste « Domaines ») dans lesquelles cette fonctionnalité a été activée.
Étape 3. Supprimez manuellement le compte d’ordinateur AZUREADSSO de chaque forêt AD répertoriée.
Étapes suivantes
- Démarrage rapide : Découvrez l’authentification unique transparente Azure AD.
- Immersion technique : découvrez comment fonctionne cette fonctionnalité.
- Résolution des problèmes : découvrez comment résoudre les problèmes courants susceptibles de survenir avec cette fonctionnalité.
- UserVoice : pour le dépôt de nouvelles demandes de fonctionnalités.