Démarrage rapide : authentification unique transparente Azure Active Directory

  • Article
  • 11 minutes de lecture

L’authentification unique transparente (Seamless SSO) Azure Active Directory (Azure AD) connecte automatiquement les utilisateurs lorsqu’ils utilisent leurs appareils de bureau de l’entreprise connectés au réseau de l’entreprise. L’authentification unique transparente offre à vos utilisateurs un accès aisé à vos applications cloud sans utiliser d’autres composants locaux.

Pour déployer l’authentification unique transparente pour Azure AD en utilisant Azure AD Connect, effectuez les étapes décrites dans les sections suivantes.

Vérifier les prérequis

Vérifiez que les prérequis suivants sont remplis :

  • Configurez votre serveur Azure AD Connect : si vous utilisez l’authentification directe comme méthode de connexion, aucune vérification préalable n’est nécessaire. Si vous utilisez la synchronisation de hachage du mot de passe comme méthode de connexion et qu’ existe un pare-feu entre Azure AD Connect et Azure AD, vérifiez les points suivants :

    • Vous utilisez Azure AD Connect, version 1.1.644.0 ou ultérieure.

    • Si votre pare-feu ou votre proxy le permet, ajoutez les connexions à votre liste verte pour les URL *.msappproxy.net via le port 443. Si vous avez besoin d’une URL spécifique plutôt que d’un caractère générique pour la configuration du proxy, vous pouvez configurer tenantid.registration.msappproxy.net, où tenantid est le GUID du locataire pour lequel vous configurez la fonctionnalité. Si les exceptions de proxy basées sur les URL ne sont pas possibles dans votre organisation, vous pouvez autoriser à la place l’accès aux Plages IP de centres de données Azure qui sont mises à jour chaque semaine. Cette condition préalable est applicable uniquement lorsque vous activez la fonctionnalité d’authentification unique transparente. Elle n’est pas obligatoire pour les connexions utilisateur directes.

      Notes

      • Les versions 1.1.557.0, 1.1.558.0, 1.1.561.0 et 1.1.614.0 Azure AD Connect présentent un problème lié à la synchronisation du hachage de mot de passe. Si vous n’avez pas l’intention d’utiliser la synchronisation de hachage de mot de passe conjointement avec l’authentification directe, examinez les Notes de publication d’Azure AD Connect pour en savoir plus.
      • Si vous disposez d’un proxy HTTP sortant, vérifiez que l’URL autologon.microsoftazuread-sso.com figure sur votre liste verte. Vous devez spécifier cette URL explicitement parce que les caractères génériques peuvent ne pas être acceptés.

  • Utilisez une topologie Azure AD Connect prise en charge . Veillez à utiliser l’une des topologies Azure Connect AD prises en charge.

    Notes

    L’authentification unique transparente prend en charge plusieurs forêts Windows Server Active Directory (Windows Server AD) locales, qu’il existe ou non des approbations Windows Server AD entre elles.

  • Définissez les informations d’identification de l’administrateur de domaine : vous devez disposer des informations d’identification de l’administrateur de domaine pour chaque forêt Windows Server AD pour laquelle vous :

    • Synchronisez avec Azure AD via Azure AD Connect.
    • Certains utilisateurs pour lesquels vous souhaitez activer l’authentification unique transparente.

  • Activez l’authentification moderne : pour utiliser cette fonctionnalité, vous devez activer l’authentification moderne sur votre locataire.

  • Utilisez les dernières versions de clients Microsoft 365 : pour obtenir une utilisation de l’authentification unique sans assistance avec les clients Microsoft 365 (par exemple, Outlook, Word ou Excel), vos utilisateurs doivent utiliser la version 16.0.8730.xxxx ou une version ultérieure.

Activer la fonctionnalité

Activez Seamless SSO via Azure AD Connect.

Notes

Si Azure AD Connect ne répond pas aux conditions requises, vous pouvez activer l’authentification unique transparente à l’aide de PowerShell. Utilisez cette option si vous disposez de plusieurs domaines par forêt Windows Server AD et que vous voulez cibler le domaine pour lequel vous voulez activer l’authentification unique transparente.

Si vous procédez à une nouvelle installation d’Azure AD Connect, choisissez le chemin d’installation personnalisé. Sur la page Connexion utilisateur, cochez l’option Activer l’authentification unique.

Capture d’écran montrant la page Connexion utilisateur dans Azure AD Connect, avec l’option Activer l’authentification unique sélectionnée.

Notes

L’option est uniquement disponible si la méthode d’authentification sélectionnée est Synchronisation de hachage du mot de passe ou Authentification directe.

Si vous disposez déjà d’une installation Azure AD Connect, dans la page Tâches supplémentaires, sélectionnez Modifier la connexion utilisateur, puis cliquez sur Suivant. Si vous utilisez Azure AD Connect version 1.1.880.0 ou ultérieure, l’option Activer l’authentification unique est sélectionnée par défaut. Si vous utilisez une version antérieure d’Azure AD Connect, sélectionnez l’option Activer l’authentification unique.

Capture d’écran montrant la page Tâches supplémentaires avec l’option Modifier la connexion utilisateur sélectionnée.

Suivez les instructions de l’Assistant jusqu’à ce que vous accédiez à la page Activer l’authentification unique. Fournissez les informations d’identification de l’administrateur de domaine pour chaque forêt Windows Server AD, dans les scénarios suivants :

  • Synchronisez avec Azure AD via Azure AD Connect.
  • Certains utilisateurs pour lesquels vous souhaitez activer l’authentification unique transparente.

Lorsque vous terminez l’Assistant, l’authentification unique transparente est activée sur votre locataire.

Notes

Les informations d’identification de l’administrateur de domaine ne sont pas stockées dans Azure AD Connect ni dans Azure AD. Elles sont uniquement utilisées pour activer la fonctionnalité.

Pour vérifier que vous avez correctement activé l’authentification unique transparente :

  1. Connectez-vous au portail Azure avec les informations d’identification de compte Administrateur d’identité hybride de votre locataire.
  2. Dans le menu de gauche, sélectionnez Azure Active Directory.
  3. Sélectionnez ensuite Azure AD Connect.
  4. Vérifiez que l’Authentification unique transparente est définie sur Activé.

Capture d’écran montrant le volet Azure AD Connect dans le portail d’administration.

Important

L’authentification unique transparente crée un compte d’ordinateur nommé AZUREADSSOACC dans chaque forêt Windows Server AD de votre répertoire Windows Server AD local. Le compte d’ordinateur AZUREADSSOACC doit être fortement protégé pour des raisons de sécurité. Seuls des comptes d’administrateurs de domaine doivent être autorisés à gérer le compte d’ordinateur. Vérifiez que la délégation Kerberos sur le compte d’ordinateur est désactivée et qu’aucun autre compte dans Windows Server AD ne dispose d’autorisations de délégation sur le compte d’ordinateur AZUREADSSOACC. Stockez les comptes d’ordinateur dans une unité d’organisation afin qu’ils soient à l’abri des suppressions accidentelles et que seuls les administrateurs de domaine puissent y accéder.

Notes

Si vous utilisez des architectures de type « Pass-The-Hash » et Atténuation des vols d’informations d’identification dans votre environnement local, apportez les changements qui conviennent pour veiller à ce que le compte d’ordinateur AZUREADSSOACC ne se retrouve pas dans le conteneur Quarantaine.

Déployer la fonctionnalité

Vous pouvez déployer progressivement l’authentification unique transparente pour vos utilisateurs en suivant les instructions fournies dans les sections suivantes. Vous commencez par ajouter l’URL Azure AD suivante aux paramètres de la zone intranet de tous les utilisateurs ou des utilisateurs sélectionnés via la stratégie de groupe dans Windows Server AD :

https://autologon.microsoftazuread-sso.com

Vous devez également activer un paramètre de stratégie de zone intranet appelé Autoriser les mises à jour de la barre d’état via le script via la stratégie de groupe.

Notes

Les instructions suivantes ne valent que pour les navigateurs Internet Explorer, Microsoft Edge et Google Chrome sur Windows (si Google Chrome partage un ensemble d’URL de sites de confiance avec Internet Explorer). Découvrez comment configurer Mozilla Firefox et Google Chrome sur macOS.

Pourquoi vous devez modifier les paramètres de la zone intranet des utilisateurs

Par défaut, un navigateur calcule automatiquement la zone appropriée, Internet ou intranet, à partir d’une URL spécifique. Par exemple, l’adresse http://contoso/ est mappée à la zone intranet et l’adresse http://intranet.contoso.com/ est mappée à la zone Internet (car l’URL contient un point). Les navigateurs n’envoient pas de tickets Kerberos à un point de terminaison cloud, comme l’URL Azure AD, sauf si vous ajoutez explicitement l’URL à la zone intranet du navigateur.

Il y existe deux façons de modifier les paramètres de la zone intranet des utilisateurs :

Option Considération de l’administrateur Expérience utilisateur
Stratégie de groupe L’administrateur verrouille la modification des paramètres de la zone intranet Les utilisateurs peuvent modifier leurs propres paramètres
Préférences de stratégie de groupe L’administrateur autorise la modification des paramètres de la zone intranet Les utilisateurs peuvent modifier leurs propres paramètres

Étapes détaillées de la stratégie de groupe

  1. Ouvrez l’outil Éditeur de gestion des stratégies de groupe.

  2. Modifiez la stratégie de groupe qui est appliquée à certains ou à l’ensemble de vos utilisateurs. Cette exemple utilise la stratégie de domaine par défaut.

  3. Accédez à Configuration utilisateur>Stratégies>Modèles d’administration>Composants Windows>Internet Explorer>Panneau de configuration Internet>Page Sécurité. Sélectionnez Liste des attributions de sites aux zones.

    Capture d’écran montrant la Page Sécurité avec l’option Liste des attributions de sites aux zones sélectionnée.

  4. Activez la stratégie, puis entrez les valeurs suivantes dans la boîte de dialogue :

    • Nom de la valeur : URL Azure AD vers laquelle les tickets Kerberos sont transférés.

    • Valeur (données) : 1 indique la zone intranet.

      Le résultat ressemble à cet exemple :

      Nom de la valeur : https://autologon.microsoftazuread-sso.com

      Valeur (données) : 1

    Notes

    Si vous souhaitez empêcher certains utilisateurs d’utiliser l’authentification unique transparente (par exemple, si ces utilisateurs se connectent sur des kiosques partagés), définissez les valeurs précédentes sur 4. Cette opération ajoute l’URL Azure AD à la zone restreinte et l’authentification unique transparente échoue en permanence pour les utilisateurs.

  5. Sélectionnez OK, puis de nouveau OK.

    Capture d’écran montrant la fenêtre Afficher le contenu avec une attribution de zone sélectionnée.

  6. Accédez à Configuration utilisateur>Stratégies>Modèles d’administration>Composants Windows>Internet Explorer>Panneau de configuration Internet>Page Sécurité>Zone intranet. Sélectionnez Autoriser les mises à jour de la barre d’état via le script.

    Capture d’écran montrant la page Zone intranet avec l’option Autoriser les mises à jour de la barre d’état via le script sélectionnée.

  7. Activez le paramètre de stratégie, puis sélectionnez OK.

    Capture d’écran montrant la fenêtre Autoriser les mises à jour de la barre d’état via le script avec le paramètre de stratégie activé.

Étapes détaillée de préférences de stratégie de groupe

  1. Ouvrez l’outil Éditeur de gestion des stratégies de groupe.

  2. Modifiez la stratégie de groupe qui est appliquée à certains ou à l’ensemble de vos utilisateurs. Cette exemple utilise la stratégie de domaine par défaut.

  3. Accédez à Configuration utilisateur>Préférences>Paramètres Windows>Registre>Nouveau>Élément de Registre.

    Capture d’écran montrant Registre et Élément de Registre sélectionnés.

  4. Entrez ou sélectionnez les valeurs suivantes comme illustré, puis sélectionnez OK.

    • Chemin de la clé : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon

    • Nom de la valeur : https

    • Type de valeur : REG_DWORD

    • Données de la valeur : 00000001

      Capture d’écran montrant la fenêtre Nouvelles propriétés de Registre.

      Capture d’écran montrant les nouvelles valeurs répertoriées dans l’Éditeur du Registre.

Considérations sur le navigateur

Les sections suivantes contiennent des informations sur l’authentification unique transparente qui sont spécifiques à différents types de navigateurs.

Mozilla Firefox (toutes les plateformes)

Si vous utilisez les paramètres de stratégie d’Authentification dans votre environnement, veillez à ajouter l’URL d’Azure AD (https://autologon.microsoftazuread-sso.com) à la section SPNEGO. Vous pouvez également définir l’option PrivateBrowsing sur vrai pour autoriser l’authentification unique transparente en mode de navigation privée.

Safari (macOS)

Assurez-vous que la machine utilisant le système macOS est jointe à Windows Server AD.

Les instructions pour joindre votre appareil macOS à Windows Server AD ne sont pas décrites dans cet article.

Microsoft Edge basé sur Chromium (toutes les plateformes)

Si vous avez remplacé les paramètres de stratégie AuthNegotiateDelegateAllowlist ou AuthServerAllowlist dans votre environnement, veillez à ajouter également l’URL d’Azure AD (https://autologon.microsoftazuread-sso.com) à ces paramètres de stratégie.

Microsoft Edge basé sur Chromium (macOS et autres plateformes non-Windows)

En ce qui concerne Microsoft Edge basé sur Chromium sur macOS et d’autres plateformes non-Windows, voir Liste de stratégies du site Microsoft Edge basé sur Chromium afin d’obtenir des informations sur l’ajout de l’URL Azure AD pour l’authentification intégrée à votre liste verte.

Google Chrome (toutes les plateformes)

Si vous avez remplacé les paramètres de stratégie AuthNegotiateDelegateAllowlist ou AuthServerAllowlist dans votre environnement, veillez à ajouter également l’URL d’Azure AD (https://autologon.microsoftazuread-sso.com) à ces paramètres de stratégie.

macOS

L’utilisation d’extensions de stratégie de groupe tierces Active Directory afin de déployer l’URL Azure AD sur Firefox et Google Chrome pour les utilisateurs MacOS n’est pas couverte par cet article.

Limitations connues du navigateur

L’authentification unique transparente ne fonctionne pas sur Internet Explorer si le navigateur en cours d’utilisation est en mode Protection améliorée. L’authentification unique transparente prend en charge la prochaine version de Microsoft Edge basée sur Chromium et est conçue par défaut pour fonctionner en modes InPrivate et Invité. Microsoft Edge (hérité) n'est plus pris en charge.

Vous devez peut-être configurer AmbientAuthenticationInPrivateModesEnabled pour les utilisateurs InPrivate ou invités en fonction de la documentation correspondante :

Tester l’authentification unique transparente

Pour tester la fonctionnalité d’un utilisateur spécifique, assurez-vous que toutes les conditions suivantes sont en place :

  • L’utilisateur se connecte à un appareil d’entreprise.
  • L’appareil est joint à votre domaine Windows Server AD. L’appareil n’a pas besoin d’être joint à Azure AD.
  • L’appareil dispose d’une connexion directe à votre contrôleur de domaine, soit sur le réseau câblé ou sans fil de l’entreprise, soit via une connexion d’accès à distance, comme une connexion VPN.
  • Vous avez déployé la fonctionnalité pour cet utilisateur via la stratégie de groupe.

Pour tester un scénario dans lequel l’utilisateur entre un nom d’utilisateur, mais pas un mot de passe :

  • Connectez-vous à https://myapps.microsoft.com. Veillez à vider le cache du navigateur ou à utiliser une nouvelle session de navigation privée avec l’un des navigateurs pris en charge en mode privé.

Pour tester un scénario dans lequel l’utilisateur n’a pas à entrer le nom d’utilisateur ou le mot de passe, effectuez l’une des étapes suivantes :

  • Connectez-vous à https://myapps.microsoft.com/contoso.onmicrosoft.com. Veillez à vider le cache du navigateur ou à utiliser une nouvelle session de navigation privée avec l’un des navigateurs pris en charge en mode privé. Remplacez contoso par votre nom de locataire.
  • Connectez-vous à https://myapps.microsoft.com/contoso.com dans une nouvelle session de navigateur privée. Remplacez contoso.com par un domaine vérifié (pas un domaine fédéré) dans votre locataire.

Substituer les clés

Dans Active la fonctionnalité, Azure AD Connect crée des comptes d’ordinateurs (représentant Azure AD) dans toutes les forêts Windows Server AD sur lesquelles vous avez activé l’authentification unique transparente. Pour en savoir plus, consultez Authentification unique transparente Azure Active Directory : immersion technique.

Important

Si elle est divulguée, la clé de déchiffrement Kerberos d’un compte d’ordinateur peut être utilisée pour générer des tickets Kerberos à l’attention de n’importe quel utilisateur dans sa forêt Windows Server AD. Les personnes malveillantes peuvent emprunter l’identité de connexions Azure AD pour des utilisateurs compromis. Nous vous recommandons vivement de substituer ces clés de déchiffrement Kerberos périodiquement, ou au moins tous les 30 jours.

Pour obtenir des instructions sur la substitution des clés, voir Authentification unique transparente Azure Active Directory : questions fréquentes.

Important

Vous n’avez pas besoin d’effectuer cette étape immédiatement après avoir activé la fonctionnalité. Substituez les clés de déchiffrement Kerberos au moins une fois tous les 30 jours.

Étapes suivantes

  • Immersion technique : découvrez comment fonctionne la fonctionnalité d’authentification unique transparente.
  • Forum aux questions : obtenez des réponses aux questions fréquentes sur l’authentification unique transparente.
  • Résoudre les problèmes : découvrez comment résoudre les problèmes courants liés à la fonctionnalité d’authentification unique transparente.
  • UserVoice : utilisez le Forum Azure Active Directory pour consigner de nouvelles demandes de fonctionnalités.