Prise en charge et configuration des identités Microsoft Edge
Cet article décrit comment Microsoft Edge utilise les identités pour prendre en charge des fonctionnalités telles que la synchronisation et l’authentification unique (SSO). Microsoft Edge prend en charge la connexion avec Active Directory Domain Services (AD DS), l’ID Microsoft Entra et les comptes Microsoft (MSA). Actuellement, Microsoft Edge prend uniquement en charge les comptes Microsoft Entra appartenant au cloud global ou au cloud souverain du GCC. Nous travaillons à l’ajout de la prise en charge d’autres clouds souverains.
Remarque
Il concerne Microsoft Edge version 77 ou ultérieure.
Connexion au navigateur et fonctionnalités basées sur l’authentification
Microsoft Edge prend en charge la connexion à un profil de navigateur avec un ID Microsoft Entra, un COMPTE MSA ou un compte de domaine. Le type de compte utilisé pour la connexion détermine les fonctionnalités basées sur l’authentification disponibles pour l’utilisateur dans Microsoft Edge. Le tableau suivant résume la prise en charge des fonctionnalités pour chaque type de compte.
| Fonctionnalité | Microsoft Entra ID | Id Microsoft Entra gratuit | Services AD DS en local | MSA |
|---|---|---|---|---|
| Synchronisation | Oui | Non | Non | Oui |
| SSO avec jeton d’actualisation principal | Oui | Oui | Non | Oui |
| SSO transparente | Oui | Oui | Oui | Non applicable |
| Authentification Windows intégrée | Oui | Oui | Oui | Non applicable |
| Page de nouvel onglet Entreprise | Nécessite O365 | Nécessite O365 | Non | Non applicable |
| Recherche Microsoft | Nécessite O365 | Nécessite O365 | Non | Non applicable |
Comment les utilisateurs se connectent à Microsoft Edge
Connexion automatique
Microsoft Edge utilise le compte par défaut du système d’exploitation pour se connecter automatiquement au navigateur. En fonction de la configuration de l’appareil, les utilisateurs peuvent se connecter automatiquement à Microsoft Edge en utilisant l’une des approches suivantes.
- L’appareil est hybride/AAD-J : disponible sur Win10, les versions antérieures de Windows et les versions de serveur correspondantes. L’utilisateur est automatiquement connecté avec son compte Microsoft Entra.
- L’appareil est une jonction de domaine : disponible sur Win10, les versions antérieures de Windows et les versions de serveur correspondantes. Par défaut, l’utilisateur n’est pas connecté automatiquement. Si vous souhaitez connecter automatiquement les utilisateurs avec des comptes de domaine, utilisez la stratégie ConfigureOnPremisesAccountAutoSignIn. Si vous souhaitez connecter automatiquement des utilisateurs avec leur compte Microsoft Entra, envisagez de joindre vos appareils hybrides.
- Le compte par défaut du système d’exploitation est MSA : Windows 10 Fall Creators Update (version 1709/build 10.0.16299) et versions ultérieures. Ce cas est peu probable pour les appareils professionnels. Toutefois, si le compte de système d’exploitation par défaut est MSA, Microsoft Edge se connecte automatiquement avec le compte MSA.
Connexion manuelle
Si l’utilisateur n’est pas automatiquement connecté à Microsoft Edge, il peut se connecter manuellement lors de la première utilisation, dans les paramètres du navigateur ou en ouvrant le menu volant identité.
Gestion de la connexion au navigateur
Si vous souhaitez gérer la connexion au navigateur, vous pouvez utiliser les stratégies suivantes :
- vérifier que les utilisateurs disposent toujours d’un profil professionnel sur Microsoft Edge. Consulter NonRemovableProfileEnabled
- limiter la connexion à un ensemble de comptes approuvés. consulter RestrictSigninToPattern
- désactiver ou forcez la connexion au navigateur. Consulter BrowserSignin
Authentification unique (SSO) du navigateur vers le web
Sur certaines plateformes, vous pouvez configurer Microsoft Edge afin que la connexion aux sites web des utilisateurs soit automatique. Cette option leur évite d’avoir à ressaisir leurs informations d’identification pour accéder à leurs sites web professionnels et augmente ainsi leur productivité.
SSO avec jeton d’actualisation principal (PRT)
Microsoft Edge a une prise en charge native de l’authentification unique basée sur un PRT, et vous n’avez pas besoin d’une extension. Sur Windows 10 Fall Creators Update et versions ultérieures, si un utilisateur est connecté à son profil de navigateur, il obtient l’authentification unique avec le mécanisme PRT pour les sites web qui prennent en charge l’authentification unique basée sur PRT.
Un jeton d’actualisation principal (PRT) est une clé d’ID Microsoft Entra utilisée pour l’authentification sur les appareils Windows 10/11, iOS et Android. Il permet d’activer l’authentification unique (SSO) dans les applications utilisées sur ces appareils. Pour plus d’informations, consultez Qu’est-ce qu’un jeton d’actualisation principal ?.
SSO transparente
Tout comme l’authentification unique avec un PRT, Microsoft Edge dispose d’une prise en charge native de l’authentification unique transparente, sans avoir besoin d’une extension. Sur Windows 10 Fall Creators Update et versions ultérieures, si un utilisateur est connecté à son profil de navigateur, il obtient l’authentification unique avec le mécanisme PRT pour les sites web qui prennent en charge l’authentification unique basée sur PRT.
L’authentification unique transparente connecte automatiquement les utilisateurs lorsqu’ils utilisent des appareils d’entreprise connectés à un réseau d’entreprise. Quand cette option est activée, les utilisateurs n’ont pas besoin de taper leur mot de passe pour se connecter à l’ID Microsoft Entra. En règle générale, ils n’ont pas non plus besoin de taper leur nom d’utilisateur. Pour plus d’informations, consultez Authentification unique Active Directory transparente.
Authentification Windows intégrée (WIA)
Microsoft Edge prend également en charge l’authentification Windows intégrée pour les demandes d’authentification au sein du réseau interne d’une organisation pour les applications qui utilisent un navigateur pour leur authentification. Cette option est prise en charge sur toutes les versions de Windows 10/11 et windows de bas niveau. Par défaut, Microsoft Edge utilise la zone intranet comme liste d’autorisation pour WIA. Vous pouvez également personnaliser la liste des serveurs activés pour l’authentification intégrée à l’aide de la stratégie AuthServerAllowlist . Sur macOS, cette stratégie est nécessaire pour activer l’authentification intégrée.
Pour prendre en charge l’authentification unique basée sur WIA sur Microsoft Edge (version 77 et ultérieure), vous devrez également effectuer une configuration côté serveur. Vous devrez probablement configurer la propriété Active Directory Federation Services (AD FS) WiaSupportedUserAgents pour ajouter la prise en charge de la nouvelle chaîne d’agent utilisateur Microsoft Edge. Si vous souhaitez obtenir des instructions concernant la configuration de la propriété, consultez Afficher les paramètre WIASupportedUserAgent et Modifier les paramètres WIASupportedUserAgent. Un exemple de la chaîne d’agent utilisateur Microsoft Edge sur Windows 10 est illustré ci-dessous. Si vous souhaitez en savoir plus, consultez l’article sur la chaine de l’agent utilisateur Microsoft Edge.
L’exemple suivant de chaîne UA est destiné à la build du canal Dev la plus récente au moment de la publication de cet article :
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3951.0 Safari/537.36 Edg/80.0.334.2"
Pour les services qui nécessitent la délégation des informations d’identification de négociation, Microsoft Edge prend en charge la délégation contrainte à l’aide de la stratégie AuthNegotiateDelegateAllowlist .
Concepts d’authentification supplémentaires
Authentification proactive
L’authentification proactive est une optimisation de l’authentification unique du navigateur vers le site web qui charge l’authentification sur certains sites web propriétaires. Les performances de la barre d’adresses sont ainsi améliorées si l’utilisateur utilise Bing comme moteur de recherche. Ainsi, les utilisateurs ont des résultats personnalisés et des résultats de recherche Microsoft pour les entreprises(MSB). Il permet également d’autoriser l’authentification auprès de services clés tels que la page Nouvel onglet Office, MSN et Microsoft Copilot.
Remarque
Vous pouvez contrôler ce service à l’aide de la stratégie ProactiveAuthWorkflowEnabled pour Microsoft Edge version 126 ou ultérieure . ou à l’aide de la stratégie ProactiveAuthEnabled pour Microsoft Edge version 90 ou antérieure. Pour entre les versions, si vous souhaitez configurer la connexion au navigateur, utilisez la stratégie BrowserSignin .
Windows Hello CredUI pour l’authentification NTLM
Lorsqu’un site Web essaie de connecter des utilisateurs à l’aide des mécanismes NTLM ou Negotiate et que l’authentification unique n’est pas disponible, nous offrons aux utilisateurs une expérience dans laquelle ils peuvent partager leurs informations d’identification de système d’exploitation avec le site web pour répondre au test d’authentification à l’aide de Windows Hello Cred UI. Ce flux de connexion s’affiche uniquement pour les utilisateurs sur Windows 10/11 qui n’obtiennent pas l’authentification unique pendant un défi NTLM ou Negotiate.
Se connecter automatiquement en utilisant des mots de passe enregistrés
Si un utilisateur enregistre des mots de passe dans Microsoft Edge, il peut activer une fonctionnalité qui le connecte automatiquement aux sites web dans lesquels ses informations d’identification sont enregistrées. Les utilisateurs peuvent activer et désactiver cette fonctionnalité en se rendant sur edge://settings/passwords. Si vous souhaitez configurer cette fonctionnalité, vous pouvez utiliser les stratégies du gestionnaire de mot de passe.