Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Entra Connect permet à vos utilisateurs de se connecter aux ressources cloud et locales à l’aide des mêmes mots de passe. Cet article décrit les concepts clés de chaque modèle d’identité pour vous aider à choisir l’identité que vous souhaitez utiliser pour vous connecter à Microsoft Entra ID.
Si vous connaissez déjà le modèle d’identité Microsoft Entra et que vous souhaitez en savoir plus sur une méthode spécifique, consultez le lien approprié :
- Synchronisation de hachage de mot de passe avec l’authentification unique transparente (SSO)
- Authentification directe avec l’authentification unique transparente (SSO)
- Authentification unique fédérée (avec Services de fédération Active Directory (AD FS))
- Fédération avec PingFederate
Remarque
Il est important de se rappeler qu’en configurant la fédération pour l’ID Microsoft Entra, vous établissez une confiance entre votre locataire Microsoft Entra et vos domaines fédérés. Avec ce domaine fédéré d’approbation, les utilisateurs auront accès aux ressources cloud de Microsoft Entra au sein du locataire.
Choix de la méthode de connexion utilisateur pour votre organisation
La première décision d’implémenter Microsoft Entra Connect consiste à choisir la méthode d’authentification que vos utilisateurs utiliseront pour se connecter. Il est important de vous assurer que vous choisissez la méthode appropriée qui répond aux exigences avancées et de sécurité de votre organisation. L’authentification est essentielle, car elle valide les identités de l’utilisateur pour accéder aux applications et aux données dans le cloud. Pour choisir la méthode d’authentification appropriée, vous devez prendre en compte le temps, l’infrastructure existante, la complexité et le coût d’implémentation de votre choix. Ces facteurs sont différents pour chaque organisation et peuvent varier au fil du temps.
Microsoft Entra ID prend en charge les méthodes d’authentification suivantes :
- Authentification cloud : lorsque vous choisissez cette méthode d’authentification, Microsoft Entra ID gère le processus d’authentification pour la connexion de l’utilisateur. Avec l’authentification cloud, vous pouvez choisir parmi deux options :
- Synchronisation de hachage de mot de passe (PHS) : la synchronisation de hachage de mot de passe permet aux utilisateurs d’utiliser le même nom d’utilisateur et le même mot de passe qu’ils utilisent localement sans avoir à déployer d’infrastructure supplémentaire en plus de Microsoft Entra Connect.
- Authentification directe (PTA) : cette option est similaire à la synchronisation de hachage de mot de passe, mais fournit une validation de mot de passe simple à l’aide d’agents logiciels locaux pour les organisations avec des stratégies de sécurité et de conformité fortes.
- Authentification fédérée : lorsque vous choisissez cette méthode d’authentification, Microsoft Entra ID permet de remettre le processus d’authentification à un système d’authentification approuvé distinct, tel qu’AD FS ou un système de fédération tiers, pour valider la connexion de l’utilisateur.
Pour la plupart des organisations qui souhaitent simplement activer la connexion utilisateur à Microsoft 365, aux applications SaaS et à d’autres ressources basées sur l’ID Microsoft Entra, nous vous recommandons l’option de synchronisation de hachage de mot de passe par défaut.
Pour plus d’informations sur le choix d’une méthode d’authentification, consultez Choisir la méthode d’authentification appropriée pour votre solution d’identité hybride Microsoft Entra
Synchronisation de hachage de mot de passe
Avec la synchronisation de hachage du mot de passe, les hachages des mots de passe utilisateur sont synchronisés de l’Active Directory local vers Microsoft Entra ID. Lorsque les mots de passe sont modifiés ou réinitialisés localement, les nouveaux hachages de mot de passe sont synchronisés immédiatement avec l’ID Microsoft Entra afin que vos utilisateurs puissent toujours utiliser le même mot de passe pour les ressources cloud et les ressources locales. Les mots de passe ne sont jamais envoyés à Microsoft Entra ID ou stockés dans Microsoft Entra ID en texte clair. Vous pouvez utiliser la synchronisation de hachage de mot de passe avec la réécriture du mot de passe pour activer la réinitialisation de mot de passe en libre-service dans l’ID Microsoft Entra.
En outre, vous pouvez activer l’authentification unique transparente pour les utilisateurs sur des machines jointes à un domaine qui se trouvent sur le réseau d’entreprise. Avec l’authentification unique, les utilisateurs activés doivent uniquement entrer un nom d’utilisateur pour les aider à accéder en toute sécurité aux ressources cloud.
Pour plus d’informations, consultez l’article de synchronisation de hachage de mot de passe .
Authentification directe
Avec l’authentification directe, le mot de passe de l’utilisateur est validé par rapport au contrôleur Active Directory local. Le mot de passe n’a pas besoin d’être présent dans Microsoft Entra ID dans un formulaire quelconque. Cela permet d’évaluer les stratégies locales, telles que les restrictions d’heure de connexion, lors de l’authentification auprès des services cloud.
L’authentification directe utilise un agent simple sur une machine jointe à un domaine Windows Server dans l’environnement local. Cet agent écoute les demandes de validation de mot de passe. Il ne nécessite pas d’ouverture de ports entrants sur Internet.
En outre, vous pouvez également activer l’authentification unique pour les utilisateurs sur des machines jointes à un domaine qui se trouvent sur le réseau d’entreprise. Avec l’authentification unique, les utilisateurs activés doivent uniquement entrer un nom d’utilisateur pour les aider à accéder en toute sécurité aux ressources cloud.
Pour plus d’informations, consultez :
Fédération qui utilise une ferme nouvelle ou existante avec AD FS dans Windows Server
Avec la connexion fédérée, vos utilisateurs peuvent se connecter aux services Basés sur l’ID Microsoft Entra avec leurs mots de passe locaux. Bien qu’ils soient sur le réseau d’entreprise, ils n’ont même pas besoin d’entrer leurs mots de passe. En utilisant l’option de fédération avec AD FS, vous pouvez déployer une batterie de serveurs nouvelle ou existante avec AD FS dans Windows Server 2022. Si vous choisissez de spécifier une batterie de serveurs existante, Microsoft Entra Connect configure l’approbation entre votre batterie de serveurs et l’ID Microsoft Entra afin que vos utilisateurs puissent se connecter.
Déployer la fédération avec AD FS dans Windows Server 2022
Si vous déployez une nouvelle batterie de serveurs, il vous faut :
Serveur Windows Server 2022 pour le serveur de fédération.
Serveur Windows Server 2022 pour le proxy d’application web.
Fichier .pfx avec un certificat TLS/SSL pour votre nom de service de fédération prévu. Par exemple : fs.contoso.com.
Si vous déployez une nouvelle batterie de serveurs ou que vous utilisez une batterie de serveurs existante, vous avez besoin des éléments suivants :
- Informations d’identification de l’administrateur local sur vos serveurs de fédération.
- Informations d’identification de l’administrateur local sur tous les serveurs de groupe de travail (et non joints à un domaine) sur lesquels vous envisagez de déployer le rôle proxy d’application web.
- Ordinateur sur lequel vous exécutez l’Assistant pour pouvoir vous connecter à d’autres machines sur lesquelles vous souhaitez installer AD FS ou proxy d’application web à l’aide de la gestion à distance de Windows.
Pour plus d’informations, consultez Configuration de l’authentification unique avec AD FS.
Fédération avec PingFederate
Avec la connexion fédérée, vos utilisateurs peuvent se connecter aux services Basés sur l’ID Microsoft Entra avec leurs mots de passe locaux. Bien qu’ils soient sur le réseau d’entreprise, ils n’ont même pas besoin d’entrer leurs mots de passe.
Pour plus d’informations sur la configuration de PingFederate à utiliser avec l’ID Microsoft Entra, consultez Ping Identity Support.
Pour plus d’informations sur la configuration de Microsoft Entra Connect à l’aide de PingFederate, consultez l’installation personnalisée de Microsoft Entra Connect
Connectez-vous à l’aide d’une version antérieure d’AD FS ou d’une solution tierce
Si vous avez déjà configuré la connexion cloud à l’aide d’une version antérieure d’AD FS (par exemple, AD FS 2.0) ou d’un fournisseur de fédération tiers, vous pouvez choisir d’ignorer la configuration de connexion utilisateur via Microsoft Entra Connect. Cela vous permet d’obtenir la dernière synchronisation et d’autres fonctionnalités de Microsoft Entra Connect tout en utilisant votre solution existante pour la connexion.
Pour plus d’informations, consultez la liste de compatibilité de fédération tierce partie de Microsoft Entra.
Connexion utilisateur et UserPrincipalName
Présentation de UserPrincipalName
Dans Active Directory, le suffixe UserPrincipalName (UPN) par défaut est le nom DNS du domaine où le compte d’utilisateur a été créé. Dans la plupart des cas, il s’agit du nom de domaine inscrit en tant que domaine d’entreprise sur Internet. Toutefois, vous pouvez ajouter d’autres suffixes UPN à l’aide des domaines et approbations Active Directory.
L’UPN de l’utilisateur a le format username@domain. Par exemple, pour un domaine Active Directory nommé « contoso.com », un utilisateur nommé John peut avoir l’UPN «john@contoso.com ». L’UPN de l’utilisateur est basé sur RFC 822. Bien que l’UPN et l’e-mail partagent le même format, la valeur de l’UPN pour un utilisateur peut ou non être identique à l’adresse e-mail de l’utilisateur.
UserPrincipalName dans Microsoft Entra ID
L’Assistant Microsoft Entra Connect utilise l’attribut userPrincipalName ou vous laisse spécifier l’attribut (dans une installation personnalisée) à utiliser en local en tant que UserPrincipalName dans Microsoft Entra ID. Il s’agit de la valeur utilisée pour la connexion à l’ID Microsoft Entra. Si la valeur de l’attribut userPrincipalName ne correspond pas à un domaine vérifié dans l’ID Microsoft Entra, l’ID Microsoft Entra le remplace par une valeur .onmicrosoft.com par défaut.
Chaque répertoire de Microsoft Entra ID est fourni avec un nom de domaine intégré, avec le format contoso.onmicrosoft.com, qui vous permet de commencer à utiliser Microsoft Entra ou d’autres services en ligne Microsoft. Vous pouvez améliorer et simplifier l’expérience de connexion à l’aide de domaines personnalisés. Pour plus d’informations sur les noms de domaine personnalisés dans l’ID Microsoft Entra et sur la vérification d’un domaine, consultez Ajouter votre nom de domaine personnalisé à l’ID Microsoft Entra.
Configuration de connexion Microsoft Entra
Configuration de connexion Microsoft Entra avec Microsoft Entra Connect
L’expérience de connexion Microsoft Entra dépend du fait que l’ID Microsoft Entra peut correspondre au suffixe UserPrincipalName d’un utilisateur qui est synchronisé avec l’un des domaines personnalisés vérifiés dans le répertoire Microsoft Entra. Microsoft Entra Connect fournit de l’aide pendant que vous configurez les paramètres de connexion Microsoft Entra, afin que l’expérience de connexion utilisateur dans le cloud soit similaire à l’expérience locale.
Microsoft Entra Connect répertorie les suffixes UPN définis pour les domaines et tente de les mettre en correspondance avec un domaine personnalisé dans l’ID Microsoft Entra. Ensuite, il vous aide à prendre les mesures appropriées. La page de connexion Microsoft Entra répertorie les suffixes UPN définis pour Active Directory local et affiche l’état correspondant à chaque suffixe. Les valeurs d’état peuvent être l’une des suivantes :
| État | Descriptif | Action nécessaire |
|---|---|---|
| Vérifié | Microsoft Entra Connect a trouvé un domaine vérifié correspondant dans l’ID Microsoft Entra. Tous les utilisateurs de ce domaine peuvent se connecter à l’aide de leurs informations d’identification locales. | Aucune action n’est nécessaire. |
| Non vérifié | Microsoft Entra Connect a trouvé un domaine personnalisé correspondant dans l’ID Microsoft Entra, mais il n’est pas vérifié. Le suffixe UPN des utilisateurs de ce domaine est remplacé par le suffixe .onmicrosoft.com par défaut après la synchronisation si le domaine n’est pas vérifié. | Vérifiez le domaine personnalisé dans l’ID Microsoft Entra. |
| Non ajouté | Microsoft Entra Connect n’a pas trouvé de domaine personnalisé correspondant au suffixe UPN. Le suffixe UPN des utilisateurs de ce domaine est remplacé par le suffixe .onmicrosoft.com par défaut si le domaine n’est pas ajouté et vérifié dans l’ID Entra. | Ajoutez et vérifiez un domaine personnalisé qui correspond au suffixe UPN. |
La page de connexion Microsoft Entra répertorie les suffixes UPN définis pour Active Directory local et le domaine personnalisé correspondant dans Microsoft Entra ID avec l’état de vérification actuel. Dans une installation personnalisée, vous pouvez maintenant sélectionner l’attribut pour le nom principal de l'utilisateur sur la page de connexion Microsoft Entra.
Vous pouvez cliquer sur le bouton Actualiser pour récupérer à nouveau l’état le plus récent des domaines personnalisés à partir de l’ID Microsoft Entra.
Sélection de l’attribut pour UserPrincipalName dans Microsoft Entra ID
L’attribut userPrincipalName est l’attribut que les utilisateurs utilisent lorsqu’ils se connectent à Microsoft Entra ID et Microsoft 365. Vous devez vérifier les domaines (également appelés suffixes UPN) utilisés dans l’ID Microsoft Entra avant la synchronisation des utilisateurs.
Nous vous recommandons vivement de conserver l’attribut par défaut userPrincipalName. Si cet attribut n’est pas modifiable et ne peut pas être vérifié, il est possible de sélectionner un autre attribut (e-mail, par exemple) comme attribut qui contient l’ID de connexion. Il s’agit de l’ID secondaire. La valeur de l’attribut d’ID secondaire doit suivre la norme RFC 822. Vous pouvez utiliser un ID alternatif avec le SSO par mot de passe et le SSO par fédération en tant que solution de connexion.
Remarque
L’utilisation d’un AUTRE ID n’est pas compatible avec toutes les charges de travail Microsoft 365. Pour plus d’informations, consultez Configuration d’un ID secondaire de connexion.
Différents états de domaine personnalisés et leur effet sur l’expérience de connexion à l’ID Entra
Il est très important de comprendre la relation entre les états de domaine personnalisés dans votre répertoire Microsoft Entra et les suffixes UPN définis localement. Passons en revue les différentes expériences de connexion d’ID Entra possibles lorsque vous configurez la synchronisation à l’aide de Microsoft Entra Connect.
Pour les informations suivantes, supposons que nous sommes préoccupés par le suffixe UPN contoso.com, qui est utilisé dans le répertoire local dans le cadre de l’UPN- par exemple user@contoso.com.
Paramètres Express/Synchronisation du hachage de mot de passe
| État | Effet sur l’expérience de connexion à l’ID d’utilisateur Entra |
|---|---|
| Non ajouté | Dans ce cas, aucun domaine personnalisé pour contoso.com n’a été ajouté dans le répertoire Microsoft Entra. Les utilisateurs disposant d’UPN local avec le suffixe @contoso.com ne pourront pas utiliser leur UPN local pour se connecter à Entra ID. Ils devront plutôt utiliser un nouvel UPN qui leur est fourni par l’ID Microsoft Entra en ajoutant le suffixe pour le répertoire Microsoft Entra par défaut. Par exemple, si vous synchronisez des utilisateurs vers le répertoire Microsoft Entra contoso.onmicrosoft.com, l’utilisateur user@contoso.com local reçoit un UPN de user@contoso.onmicrosoft.com. |
| Non vérifié | Dans ce cas, nous avons un domaine personnalisé contoso.com ajouté dans le répertoire Microsoft Entra. Toutefois, elle n’est pas encore vérifiée. Si vous poursuivez avec la synchronisation des utilisateurs sans vérifier le domaine, les utilisateurs reçoivent un nouvel UPN par l’ID Microsoft Entra, comme dans le scénario « Non ajouté ». |
| Vérifié | Dans ce cas, nous avons un domaine personnalisé contoso.com déjà ajouté et vérifié dans Microsoft Entra ID pour le suffixe UPN. Les utilisateurs pourront utiliser leur UserPrincipalName local, par exemple user@contoso.com, pour se connecter à Entra après leur synchronisation avec l’ID Microsoft Entra. |
Fédération AD FS
Vous ne pouvez pas créer de fédération avec le domaine .onmicrosoft.com par défaut dans l’ID Microsoft Entra ou un domaine personnalisé non vérifié dans l’ID Microsoft Entra. Lorsque vous exécutez l’Assistant Microsoft Entra Connect, si vous sélectionnez un domaine non vérifié avec lequel créer une fédération, Microsoft Entra Connect vous fournit les enregistrements nécessaires à créer sur l'hôte de votre DNS pour le domaine. Pour plus d’informations, consultez Vérifier le domaine Microsoft Entra sélectionné pour la fédération.
Si vous avez sélectionné l’option de connexion utilisateur fédération avec AD FS, vous devez disposer d’un domaine personnalisé pour continuer à créer une fédération dans Microsoft Entra ID. Pour notre discussion, cela signifie que nous devrions avoir un domaine personnalisé contoso.com ajouté dans le répertoire Microsoft Entra.
| État | Effet sur l'expérience de connexion utilisateur à Entra ID |
|---|---|
| Non ajouté | Dans ce cas, Microsoft Entra Connect n’a pas trouvé de domaine personnalisé correspondant pour le suffixe UPN contoso.com dans le répertoire Microsoft Entra. Vous devez ajouter un domaine personnalisé contoso.com si vous avez besoin que les utilisateurs se connectent à l’aide d’AD FS avec leur UPN local (par exemple user@contoso.com). |
| Non vérifié | Dans ce cas, Microsoft Entra Connect vous invite à obtenir des détails appropriés sur la façon dont vous pouvez vérifier votre domaine à une étape ultérieure. |
| Vérifié | Dans ce cas, vous pouvez poursuivre la configuration sans aucune action supplémentaire. |
Modification de la méthode de connexion utilisateur
Après la configuration initiale de Microsoft Entra Connect avec l’Assistant, vous pouvez changer la méthode de connexion à partir de la fédération, la synchronisation de hachage du mot de passe ou l’authentification directe en utilisant les tâches disponibles dans Microsoft Entra Connect. Réexécutez l’Assistant Microsoft Entra Connect et vous verrez une liste de tâches que vous pouvez effectuer. Sélectionnez Modifier la connexion de l’utilisateur dans la liste des tâches.
Dans la page suivante, vous êtes invité à fournir les informations d’identification de Microsoft Entra ID.
Dans la page de connexion utilisateur , sélectionnez la connexion de l’utilisateur souhaitée.
Remarque
Si vous effectuez uniquement un changement temporaire vers la synchronisation de hachage de mot de passe, activez la case à cocher Ne pas convertir les comptes d’utilisateur . Ne pas cocher l'option convertira chaque utilisateur en fédéré, ce qui peut prendre plusieurs heures.
Étapes suivantes
- Découvrez-en plus sur l’intégration de vos identités locales avec Microsoft Entra ID.
- En savoir plus sur les concepts de conception de Microsoft Entra Connect.