Configurer la connexion fédérée pour les appareils Windows
À compter de Windows 11 SE, version 22H2 et Windows 11 Professionnel Edu/Education, version 22H2 avec KB5022913, vous pouvez permettre à vos utilisateurs de se connecter à l’aide d’un fournisseur d’identité fédéré (IdP) via une expérience de connexion web. La connexion avec une identité fédérée peut être un excellent moyen de simplifier le processus de connexion pour vos utilisateurs : au lieu d’avoir à mémoriser un nom d’utilisateur et un mot de passe définis dans Microsoft Entra ID, ils peuvent se connecter à l’aide de leurs informations d’identification existantes à partir du fournisseur d’identité. Par exemple, les étudiants et les enseignants peuvent utiliser des badges de code QR pour se connecter.
Avantages de la connexion fédérée
Une expérience de connexion fédérée permet aux étudiants de se connecter en moins de temps et avec moins de frictions. Avec moins d’informations d’identification à mémoriser et un processus de connexion simplifié, les étudiants sont plus engagés et plus concentrés sur l’apprentissage.
Il existe deux fonctionnalités Windows qui permettent une expérience de connexion fédérée :
- Connexion fédérée, conçue pour les appareils étudiants 1 :1. Pour une expérience optimale, vous ne devez pas activer la connexion fédérée sur les appareils partagés
- La connexion web, qui offre une expérience similaire à la connexion fédérée, et peut être utilisée pour les appareils partagés
Important
La connexion fédérée et la connexion web nécessitent des configurations différentes, qui sont expliquées dans ce document.
Conditions préalables
Pour activer une expérience de connexion fédérée, les conditions préalables suivantes doivent être remplies :
Un locataire Microsoft Entra, avec un ou plusieurs domaines fédérés à un fournisseur d’identité tiers. Pour plus d’informations, consultez Qu’est-ce que la fédération avec Microsoft Entra ID ? et Utiliser un fournisseur d’identité SAML 2.0 pour Authentification unique
Remarque
Si votre organization utilise une solution de fédération tierce, vous pouvez configurer l’authentification unique pour Microsoft Entra ID si la solution est compatible avec Microsoft Entra ID. Pour toute question concernant la compatibilité, contactez votre fournisseur d’identité. Si vous êtes un fournisseur d’identité et que vous souhaitez valider votre solution pour l’interopérabilité, reportez-vous à ces instructions.
- Pour obtenir un guide pas à pas sur la configuration de Google Workspace en tant que fournisseur d’identité pour Microsoft Entra ID, consultez Configurer la fédération entre Google Workspace et Microsoft Entra ID
- Pour obtenir un guide pas à pas sur la configuration de Clever en tant que fournisseur d’identité pour Microsoft Entra ID, consultez Guide d’installation des badges dans Windows et Microsoft Entra ID
Comptes idP individuels créés : chaque utilisateur a besoin d’un compte défini dans la plateforme de fournisseur d’identité tierce
Comptes Microsoft Entra individuels créés : chaque utilisateur a besoin d’un compte correspondant défini dans Microsoft Entra ID. Ces comptes sont généralement créés par le biais de solutions automatisées, par exemple :
- School Data Sync (SDS)
- Microsoft Entra Connect Sync pour l’environnement avec AD DS local
- Scripts PowerShell qui appellent microsoft API Graph
- outils d’approvisionnement proposés par le fournisseur d’identité
Pour plus d’informations sur la correspondance d’identité, consultez Correspondance d’identité dans Microsoft Entra ID.
Licences attribuées aux comptes d’utilisateur Microsoft Entra. Il est recommandé d’attribuer des licences à un groupe dynamique : lorsque de nouveaux utilisateurs sont provisionnés dans Microsoft Entra ID, les licences sont automatiquement attribuées. Pour plus d’informations, consultez Attribuer des licences à des utilisateurs par appartenance à un groupe dans Microsoft Entra ID
Activer la connexion fédérée ou la connexion web sur les appareils Windows, selon que les appareils sont partagés ou attribués à un seul étudiant
Pour utiliser la connexion fédérée ou la connexion web, les appareils doivent disposer d’un accès à Internet. Ces fonctionnalités ne fonctionnent pas sans elles, car l’authentification est effectuée sur Internet.
Important
WS-Fed est le seul protocole fédéré pris en charge pour joindre un appareil à Microsoft Entra ID. Si vous avez un fournisseur d’identité SAML 2.0, il est recommandé d’effectuer le processus de jointure Microsoft Entra à l’aide de l’une des méthodes suivantes :
- Packages d’approvisionnement (PPKG)
- Mode de déploiement automatique Windows Autopilot
Conditions d'octroi de licence d'édition Windows
Le tableau suivant répertorie les éditions de Windows qui prennent en charge la connexion fédérée :
| Windows Pro | Windows Entreprise | Windows Pro Education/SE | Windows Éducation |
|---|---|---|---|
| Non | Non | Oui | Oui |
Les droits de licence de connexion fédérée sont accordés par les licences suivantes :
| Windows Pro Education/SE | Windows Entreprise E3 | Windows Entreprise E5 | Windows Éducation A3 | Windows Éducation A5 |
|---|---|---|---|---|
| Oui | Non | Non | Oui | Oui |
Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.
La connexion fédérée est prise en charge sur les éditions et versions de Windows suivantes :
- Windows 11 SE, version 22H2 et ultérieure
- Windows 11 Professionnel Edu/Education, version 22H2 avec KB5022913
La connexion web est prise en charge à partir de Windows 11 SE/Pro Edu/Education, version 22H2 avec KB5026446.
Configurer une expérience de connexion fédérée
Vous pouvez configurer une expérience de connexion fédérée pour les appareils attribués aux étudiants (1 :1) ou les appareils partagés par les étudiants :
- Lorsque la connexion fédérée est configurée pour les appareils affectés par des étudiants (1 :1), vous utilisez une fonctionnalité Windows appelée Connexion fédérée. Le premier utilisateur qui se connecte à l’appareil avec une identité fédérée devient l’utilisateur principal. L’utilisateur principal s’affiche toujours dans le coin inférieur gauche de l’écran de connexion
- Lorsque la connexion fédérée est configurée pour les appareils partagés des étudiants, vous utilisez une fonctionnalité Windows appelée Connexion web. Avec la connexion Web, il n’y a pas d’utilisateur principal et l’écran de connexion affiche, par défaut, le dernier utilisateur qui s’est connecté à l’appareil
La configuration est différente pour chaque scénario et est décrite dans les sections suivantes.
Configurer la connexion fédérée pour les appareils affectés par des étudiants (1 :1)
Passez en revue les instructions suivantes pour configurer vos appareils à l’aide de Microsoft Intune ou d’un package d’approvisionnement (PPKG).
Intune
PPKGPour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres suivants :
| Catégorie | Nom du paramètre | Valeur |
|---|---|---|
| Éducation | Est-ce que l’environnement d’éducation | Activé |
| Authentification fédérée | Activer la connexion web pour l’utilisateur principal | Activé |
| Authentication | Configurer les URL autorisées de connexion web | Liste de domaines séparés par des points-virgules, par exemple : samlidp.clever.com;clever.com;mobile-redirector.clever.com |
| Authentication | Configurer les noms de domaine d’accès à la webcam | Ce paramètre est facultatif et doit être configuré si vous devez utiliser la webcam pendant le processus de connexion. Spécifiez la liste des domaines autorisés à utiliser la webcam pendant le processus de connexion, séparés par un point-virgule. Par exemple : clever.com |
Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.
Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec les paramètres suivants :
| Paramètre |
|---|
OMA-URI : ./Vendor/MSFT/Policy/Config/Education/IsEducationEnvironmentType de données : int Valeur : 1 |
OMA-URI : ./Vendor/MSFT/Policy/Config/FederatedAuthentication/EnableWebSignInForPrimaryUserType de données : int Valeur : 1 |
OMA-URI : ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrlsType de données : Chaîne Valeur : liste de domaines séparés par des points-virgules, par exemple : samlidp.clever.com;clever.com;mobile-redirector.clever.com |
OMA-URI : ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames** Type de données : Chaîne Valeur : ce paramètre est facultatif et doit être configuré si vous devez utiliser la webcam pendant le processus de connexion. Spécifiez la liste des domaines autorisés à utiliser la webcam pendant le processus de connexion, séparés par un point-virgule. Par exemple : clever.com |
Configurer la connexion Web pour les appareils partagés des étudiants
Passez en revue les instructions suivantes pour configurer vos appareils partagés à l’aide de Microsoft Intune ou d’un package d’approvisionnement (PPKG).
Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres suivants :
| Catégorie | Nom du paramètre | Valeur |
|---|---|---|
| Éducation | Est-ce que l’environnement d’éducation | Activé |
| SharedPC | Activer le mode PC partagé avec la synchronisation OneDrive | Vrai |
| Authentication | Activer la connexion web | Activé |
| Authentication | Configurer les URL autorisées de connexion web | Liste de domaines séparés par des points-virgules, par exemple : samlidp.clever.com;clever.com;mobile-redirector.clever.com |
| Authentication | Configurer les noms de domaine d’accès à la webcam | Ce paramètre est facultatif et doit être configuré si vous devez utiliser la webcam pendant le processus de connexion. Spécifiez la liste des domaines autorisés à utiliser la webcam pendant le processus de connexion, séparés par un point-virgule. Par exemple : clever.com |
Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.
Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec les paramètres suivants :
| Paramètre |
|---|
OMA-URI : ./Vendor/MSFT/Policy/Config/Education/IsEducationEnvironmentType de données : int Valeur : 1 |
OMA-URI : ./Vendor/MSFT/SharedPC/EnableSharedPCModeWithOneDriveSyncType de données : Boolean Valeur : True |
OMA-URI : ./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignInType de données : entier Valeur : 1 |
OMA-URI : ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrlsType de données : Chaîne Valeur : liste de domaines séparés par des points-virgules, par exemple : samlidp.clever.com;clever.com;mobile-redirector.clever.com |
OMA-URI : ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNamesType de données : Chaîne Valeur : ce paramètre est facultatif et doit être configuré si vous devez utiliser la webcam pendant le processus de connexion. Spécifiez la liste des domaines autorisés à utiliser la webcam pendant le processus de connexion, séparés par un point-virgule. Par exemple : clever.com |
Comment utiliser la connexion fédérée
Une fois les appareils configurés, une nouvelle expérience de connexion devient disponible.
Lorsque les utilisateurs entrent leur nom d’utilisateur, ils sont redirigés vers la page de connexion du fournisseur d’identité. Une fois que le fournisseur d’identité authentifie les utilisateurs, ils sont connectés. Dans l’animation suivante, vous pouvez observer le fonctionnement du premier processus de connexion pour un appareil attribué par un étudiant (1 :1) :
Important
Pour les appareils affectés par un étudiant (1 :1), une fois la stratégie activée, le premier utilisateur qui se connecte à l’appareil définit également la page de levée d’ambiguïté sur le domaine du fournisseur d’identité sur l’appareil. Cela signifie que l’appareil sera défini par défaut sur ce fournisseur d’identité. L’utilisateur peut quitter le flux de connexion fédérée en appuyant sur Ctrl+Alt+Suppr pour revenir à l’écran de connexion Windows standard. Le comportement est différent pour les appareils partagés d’étudiants, où la page de levée d’ambiguïté est toujours affichée, sauf si le nom de locataire préféré Microsoft Entra est configuré.
Considérations importantes
Problèmes connus affectant les appareils attribués aux étudiants (1 :1)
La connexion fédérée pour les appareils attribués aux étudiants (1 :1) ne fonctionne pas avec les paramètres suivants activés :
- EnableSharedPCMode ou EnableSharedPCModeWithOneDriveSync, qui font partie du csp SharedPC
- Ouverture de session interactive : ne pas afficher la dernière connexion, qui est une partie de stratégie de sécurité du csp Policy
- Effectuer un test en mode plein écran, car il utilise la stratégie de sécurité ci-dessus
Problèmes connus affectant les appareils partagés des étudiants
Les problèmes suivants sont connus pour affecter les appareils partagés des étudiants :
- Les utilisateurs non fédérés ne peuvent pas se connecter aux appareils, y compris les comptes locaux
- Effectuer un test en mode plein écran, car il utilise un compte invité local pour se connecter
Gestion des comptes
Pour les appareils partagés d’étudiants, il est recommandé de configurer les stratégies de gestion des comptes pour supprimer automatiquement les profils utilisateur après une certaine période d’inactivité ou des niveaux de disque. Pour plus d’informations, consultez Configurer un appareil Windows partagé ou invité.
Nom de locataire Microsoft Entra préféré
Pour améliorer l’expérience utilisateur, vous pouvez configurer la fonctionnalité de nom de locataire de Microsoft Entra par défaut.
Lors de l’utilisation du nom de locataire Microsoft Entra préféré, les utilisateurs contournent la page de levée d’ambiguïté et sont redirigés vers la page de connexion du fournisseur d’identité. Cette configuration peut être particulièrement utile pour les appareils partagés des étudiants, où la page de levée d’ambiguïté est toujours affichée.
Pour plus d’informations sur le nom du locataire préféré, consultez Fournisseur de services de configuration d’authentification - PreferredAadTenantDomainName.
Correspondance d’identité dans Microsoft Entra ID
Lorsqu’un utilisateur Microsoft Entra est fédéré, l’identité de l’utilisateur à partir du fournisseur d’identité doit correspondre à un objet utilisateur existant dans Microsoft Entra ID. Une fois le jeton envoyé par le fournisseur d’identité validé, Microsoft Entra ID recherche un objet utilisateur correspondant dans le locataire à l’aide d’un attribut appelé ImmutableId.
Remarque
ImmutableId est une valeur de chaîne qui doit être unique pour chaque utilisateur du locataire et qui ne doit pas changer au fil du temps. Par exemple, immutableId peut être l’ID d’étudiant ou l’ID SIS. La valeur ImmutableId doit être basée sur la configuration et la configuration de la fédération avec votre fournisseur d’identité. Vérifiez donc auprès de votre fournisseur d’identité avant de la définir.
Si l’objet correspondant est trouvé, l’utilisateur est connecté. Sinon, un message d’erreur s’affiche à l’utilisateur. L’image suivante montre qu’un utilisateur avec l'260051 ImmutableId est introuvable :
Important
La correspondance ImmutableId respecte la casse.
ImmutableId est généralement configuré lorsque l’utilisateur est créé dans Microsoft Entra ID, mais il peut également être mis à jour ultérieurement.
Dans un scénario où un utilisateur est fédéré et que vous souhaitez modifier l’ImmutableId, vous devez :
- Convertir l’utilisateur fédéré en utilisateur cloud uniquement (mettre à jour l’UPN vers un domaine non fédéré)
- Mettre à jour l’ImmutableId
- Reconverti l’utilisateur en utilisateur fédéré
Voici un exemple PowerShell pour mettre à jour l’ImmutableId pour un utilisateur fédéré :
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph
Connect-MgGraph -Scopes 'User.Read.All', 'User.ReadWrite.All'
#1. Convert the user from federated to cloud-only
Update-MgUser -UserId alton@example.com -UserPrincipalName alton@example.onmicrosoft.com
#2. Convert the user back to federated, while setting the immutableId
Update-MgUser -UserId alton@example.onmicrosoft.com -UserPrincipalName alton@example.com -OnPremisesImmutableId '260051'
Résolution des problèmes
- L’utilisateur peut quitter le flux de connexion fédérée en appuyant sur Ctrl+Alt+Suppr pour revenir à l’écran de connexion Windows standard
- Sélectionnez le bouton Autre utilisateur et les informations d’identification de nom d’utilisateur/mot de passe standard sont disponibles pour se connecter à l’appareil
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour