Configurer la connexion fédérée pour les appareils Windows

• S’applique à:

  ✅ Windows 11, ✅ Windows 11 SE

À partir de Windows 11 SE, version 22H2 et Windows 11 Professionnel Edu/Éducation, version 22H2 avec KB5022913, vous pouvez permettre à vos utilisateurs de se connecter à l’aide d’un fournisseur d’identité fédéré (IdP) via une expérience de connexion web. La connexion avec une identité fédérée peut être un excellent moyen de simplifier le processus de connexion pour vos utilisateurs : au lieu d’avoir à mémoriser un nom d’utilisateur et un mot de passe définis dans l’ID Microsoft Entra, ils peuvent se connecter à l’aide de leurs informations d’identification existantes du fournisseur d’identité. Par exemple, les étudiants et les enseignants peuvent utiliser des badges de code QR pour se connecter.

Avantages de la connexion fédérée

Une expérience de connexion fédérée permet aux étudiants de se connecter en moins de temps et avec moins de frictions. Avec moins d’informations d’identification à mémoriser et un processus de connexion simplifié, les étudiants sont plus engagés et plus concentrés sur l’apprentissage.

Il existe deux fonctionnalités Windows qui permettent une expérience de connexion fédérée :

• Connexion fédérée, conçue pour les appareils étudiants 1 :1. Pour une expérience optimale, vous ne devez pas activer la connexion fédérée sur les appareils partagés
• La connexion web, qui offre une expérience similaire à la connexion fédérée, et peut être utilisée pour les appareils partagés

Important

La connexion fédérée et la connexion web nécessitent des configurations différentes, qui sont expliquées dans ce document.

Conditions préalables

Pour activer une expérience de connexion fédérée, les conditions préalables suivantes doivent être remplies :

1. Un locataire Microsoft Entra, avec un ou plusieurs domaines fédérés vers un fournisseur d’identité tiers. Pour plus d’informations, consultez Qu’est-ce que la fédération avec l’ID Microsoft Entra ? et Utiliser un idP SAML 2.0 pour l’authentification unique

   Remarque

   Si votre organisation utilise une solution de fédération tierce, vous pouvez configurer l’authentification unique auprès de Microsoft Entra ID si la solution est compatible avec l’ID Microsoft Entra. Pour toute question concernant la compatibilité, contactez votre fournisseur d’identité. Si vous êtes un fournisseur d’identité et que vous souhaitez valider votre solution pour l’interopérabilité, reportez-vous à ces instructions.

   • Pour obtenir un guide pas à pas sur la configuration de Google Workspace en tant que fournisseur d’identité pour l’ID Microsoft Entra, consultez Configurer la fédération entre Google Workspace et l’ID Microsoft Entra
   • Pour obtenir un guide pas à pas sur la configuration de Clever en tant que fournisseur d’identité pour l’ID Microsoft Entra, consultez Guide d’installation des badges dans Windows et de l’ID Microsoft Entra

2. Comptes idP individuels créés : chaque utilisateur a besoin d’un compte défini dans la plateforme de fournisseur d’identité tierce

3. Comptes Microsoft Entra individuels créés : chaque utilisateur a besoin d’un compte correspondant défini dans l’ID Microsoft Entra. Ces comptes sont généralement créés par le biais de solutions automatisées, par exemple :

   • School Data Sync (SDS)
   • Microsoft Entra Connect Sync pour l’environnement avec AD DS local
   • Scripts PowerShell qui appellent l’API Microsoft Graph
   • outils d’approvisionnement proposés par le fournisseur d’identité

   Pour plus d’informations sur la correspondance d’identité, consultez Correspondance d’identité dans l’ID Microsoft Entra.

4. Licences attribuées aux comptes d’utilisateur Microsoft Entra. Il est recommandé d’attribuer des licences à un groupe dynamique : lorsque de nouveaux utilisateurs sont provisionnés dans l’ID Microsoft Entra, les licences sont automatiquement attribuées. Pour plus d’informations, consultez Attribuer des licences à des utilisateurs par appartenance à un groupe dans l’ID Microsoft Entra

5. Activer la connexion fédérée ou la connexion web sur les appareils Windows, selon que les appareils sont partagés ou attribués à un seul étudiant

Pour utiliser la connexion fédérée ou la connexion web, les appareils doivent disposer d’un accès à Internet. Ces fonctionnalités ne fonctionnent pas sans elles, car l’authentification est effectuée sur Internet.

Important

WS-Fed est le seul protocole fédéré pris en charge pour joindre un appareil à l’ID Microsoft Entra. Si vous avez un fournisseur d’identité SAML 2.0, il est recommandé d’effectuer le processus de jointure Microsoft Entra à l’aide de l’une des méthodes suivantes :

• Packages d’approvisionnement (PPKG)
• Mode de déploiement automatique Windows Autopilot

Conditions d'octroi de licence d'édition Windows

Le tableau suivant répertorie les éditions de Windows qui prennent en charge la connexion fédérée :

Windows Pro	Windows Entreprise	Windows Pro Education/SE	Windows Éducation
Non	Non	Oui	Oui

Les droits de licence de connexion fédérée sont accordés par les licences suivantes :

Windows Pro Education/SE	Windows Entreprise E3	Windows Entreprise E5	Windows Éducation A3	Windows Éducation A5
Oui	Non	Non	Oui	Oui

Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.

La connexion fédérée est prise en charge sur les éditions et versions de Windows suivantes :

• Windows 11 SE, version 22H2 et ultérieure
• Windows 11 Professionnel Edu/Éducation, version 22H2 avec KB5022913

La connexion web est prise en charge à partir de Windows 11 SE/Pro Edu/Education, version 22H2 avec KB5026446.

Configurer une expérience de connexion fédérée

Vous pouvez configurer une expérience de connexion fédérée pour les appareils attribués aux étudiants (1 :1) ou les appareils partagés par les étudiants :

• Lorsque la connexion fédérée est configurée pour les appareils affectés par des étudiants (1 :1), vous utilisez une fonctionnalité Windows appelée Connexion fédérée. Le premier utilisateur qui se connecte à l’appareil avec une identité fédérée devient l’utilisateur principal. L’utilisateur principal s’affiche toujours dans le coin inférieur gauche de l’écran de connexion
• Lorsque la connexion fédérée est configurée pour les appareils partagés des étudiants, vous utilisez une fonctionnalité Windows appelée Connexion web. Avec la connexion Web, il n’y a pas d’utilisateur principal et l’écran de connexion affiche, par défaut, le dernier utilisateur qui s’est connecté à l’appareil

La configuration est différente pour chaque scénario et est décrite dans les sections suivantes.

Configurer la connexion fédérée pour les appareils affectés par des étudiants (1 :1)

Passez en revue les instructions suivantes pour configurer vos appareils à l’aide de Microsoft Intune ou d’un package d’approvisionnement (PPKG).

Intune

Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue paramètres et utilisez les paramètres suivants :

Catégorie	Nom du paramètre	Valeur
Éducation	Est-ce que l’environnement d’éducation	Activé
Authentification fédérée	Activer la connexion web pour l’utilisateur principal	Activé
Authentication	Configurer les URL autorisées de connexion web	Entrez la liste des domaines, avec chaque URL dans une ligne distincte. Exemple : - samlidp.clever.com - clever.com - mobile-redirector.clever.com
Authentication	Configurer les noms de domaine d’accès à la webcam	Ce paramètre est facultatif et doit être configuré si vous devez utiliser la webcam pendant le processus de connexion. Spécifiez la liste des domaines autorisés à utiliser la webcam pendant le processus de connexion, séparés par un point-virgule. Par exemple : clever.com

Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.

Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec les paramètres suivants :

Paramètre
OMA-URI : ./Vendor/MSFT/Policy/Config/Education/IsEducationEnvironment Type de données : int Valeur : 1
OMA-URI : ./Vendor/MSFT/Policy/Config/FederatedAuthentication/EnableWebSignInForPrimaryUser Type de données : int Valeur : 1
OMA-URI : ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls Type de données : Chaîne Valeur : liste de domaines séparés par des points-virgules, par exemple : samlidp.clever.com;clever.com;mobile-redirector.clever.com
OMA-URI : ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames** Type de données : Chaîne Valeur : ce paramètre est facultatif et doit être configuré si vous devez utiliser la webcam pendant le processus de connexion. Spécifiez la liste des domaines autorisés à utiliser la webcam pendant le processus de connexion, séparés par un point-virgule. Par exemple : clever.com

PPKG

Pour configurer la connexion fédérée à l’aide d’un package d’approvisionnement, utilisez les paramètres suivants :

Paramètre
Chemin d’accès : Education/IsEducationEnvironment Valeur : Activé
Chemin d’accès : FederatedAuthentication/EnableWebSignInForPrimaryUser Valeur : Activé
Chemin d’accès : Policies/Authentication/ConfigureWebSignInAllowedUrls Valeur : liste de domaines séparés par des points-virgules, par exemple : samlidp.clever.com;clever.com;mobile-redirector.clever.com
Chemin d’accès : Policies/Authentication/ConfigureWebCamAccessDomainNames Valeur : ce paramètre est facultatif et doit être configuré si vous devez utiliser la webcam pendant le processus de connexion. Spécifiez la liste des domaines autorisés à utiliser la webcam pendant le processus de connexion, séparés par un point-virgule. Par exemple : clever.com

Appliquez le package d’approvisionnement aux appareils 1 :1 qui nécessitent une connexion fédérée.

Important

Un problème affectait Windows 11, version 22H2 lors de l’utilisation de packages d’approvisionnement pendant OOBE. Le problème a été résolu avec la mise à jour KB5020044. Si vous envisagez de configurer la connexion fédérée avec un package d’approvisionnement pendant OOBE, vérifiez que la mise à jour est installée sur les appareils. Pour plus d’informations, consultez KB5020044.

Configurer la connexion Web pour les appareils partagés des étudiants

Passez en revue les instructions suivantes pour configurer vos appareils partagés à l’aide de Microsoft Intune ou d’un package d’approvisionnement (PPKG).

Intune

Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue paramètres et utilisez les paramètres suivants :

Catégorie	Nom du paramètre	Valeur
Éducation	Est-ce que l’environnement d’éducation	Activé
SharedPC	Activer le mode PC partagé avec la synchronisation OneDrive	Vrai
Authentication	Activer la connexion web	Activé
Authentication	Configurer les URL autorisées de connexion web	Entrez la liste des domaines, avec chaque URL dans une ligne distincte. Par exemple : - samlidp.clever.com - clever.com - mobile-redirector.clever.com
Authentication	Configurer les noms de domaine d’accès à la webcam	Ce paramètre est facultatif et doit être configuré si vous devez utiliser la webcam pendant le processus de connexion. Spécifiez la liste des domaines autorisés à utiliser la webcam pendant le processus de connexion, séparés par un point-virgule. Par exemple : clever.com

Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.

Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec les paramètres suivants :

Paramètre
OMA-URI : ./Vendor/MSFT/Policy/Config/Education/IsEducationEnvironment Type de données : int Valeur : 1
OMA-URI : ./Vendor/MSFT/SharedPC/EnableSharedPCModeWithOneDriveSync Type de données : Boolean Valeur : True
OMA-URI : ./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn Type de données : entier Valeur : 1
OMA-URI : ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls Type de données : Chaîne Valeur : liste de domaines séparés par des points-virgules, par exemple : samlidp.clever.com;clever.com;mobile-redirector.clever.com
OMA-URI : ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames Type de données : Chaîne Valeur : ce paramètre est facultatif et doit être configuré si vous devez utiliser la webcam pendant le processus de connexion. Spécifiez la liste des domaines autorisés à utiliser la webcam pendant le processus de connexion, séparés par un point-virgule. Par exemple : clever.com

PPKG

Pour configurer la connexion web à l’aide d’un package d’approvisionnement, utilisez les paramètres suivants :

Paramètre
Chemin: Education/IsEducationEnvironment Valeur : Activé
Chemin: SharedPC/EnableSharedPCModeWithOneDriveSync Valeur : True
Chemin: Policies/Authentication/EnableWebSignIn Valeur : Activé
Chemin: Policies/Authentication/ConfigureWebSignInAllowedUrls Valeur : liste de domaines séparés par des points-virgules, par exemple : samlidp.clever.com;clever.com;mobile-redirector.clever.com
Chemin: Policies/Authentication/ConfigureWebCamAccessDomainNames Valeur : ce paramètre est facultatif et doit être configuré si vous devez utiliser la webcam pendant le processus de connexion. Spécifiez la liste des domaines autorisés à utiliser la webcam pendant le processus de connexion, séparés par un point-virgule. Par exemple : clever.com

Appliquez le package d’approvisionnement aux appareils partagés qui nécessitent une connexion web.

Important

Un problème affectait Windows 11, version 22H2 lors de l’utilisation de packages d’approvisionnement pendant OOBE. Le problème a été résolu avec la mise à jour KB5020044. Si vous envisagez de configurer la connexion fédérée avec un package d’approvisionnement pendant OOBE, vérifiez que la mise à jour est installée sur les appareils. Pour plus d’informations, consultez KB5020044.

Comment utiliser la connexion fédérée

Une fois les appareils configurés, une nouvelle expérience de connexion devient disponible.

Lorsque les utilisateurs entrent leur nom d’utilisateur, ils sont redirigés vers la page de connexion du fournisseur d’identité. Une fois que le fournisseur d’identité authentifie les utilisateurs, ils sont connectés. Dans l’animation suivante, vous pouvez observer le fonctionnement du premier processus de connexion pour un appareil attribué par un étudiant (1 :1) :

Important

Pour les appareils affectés par un étudiant (1 :1), une fois la stratégie activée, le premier utilisateur qui se connecte à l’appareil définit également la page de levée d’ambiguïté sur le domaine du fournisseur d’identité sur l’appareil. Cela signifie que l’appareil sera défini par défaut sur ce fournisseur d’identité. L’utilisateur peut quitter le flux de connexion fédérée en appuyant sur Ctrl+Alt+Suppr pour revenir à l’écran de connexion Windows standard. Le comportement est différent pour les appareils partagés des étudiants, où la page de levée d’ambiguïté est toujours affichée, sauf si le nom de locataire Microsoft Entra préféré est configuré.

Considérations importantes

Problèmes connus affectant les appareils attribués aux étudiants (1 :1)

La connexion fédérée pour les appareils attribués aux étudiants (1 :1) ne fonctionne pas avec les paramètres suivants activés :

• EnableSharedPCMode ou EnableSharedPCModeWithOneDriveSync, qui font partie du csp SharedPC
• Ouverture de session interactive : ne pas afficher la dernière connexion, qui est une partie de stratégie de sécurité du csp Policy
• Effectuer un test en mode plein écran, car il utilise la stratégie de sécurité ci-dessus

Problèmes connus affectant les appareils partagés des étudiants

Les problèmes suivants sont connus pour affecter les appareils partagés des étudiants :

• Les utilisateurs non fédérés ne peuvent pas se connecter aux appareils, y compris les comptes locaux
• Effectuer un test en mode plein écran, car il utilise un compte invité local pour se connecter

Gestion des comptes

Pour les appareils partagés d’étudiants, il est recommandé de configurer les stratégies de gestion des comptes pour supprimer automatiquement les profils utilisateur après une certaine période d’inactivité ou des niveaux de disque. Pour plus d’informations, consultez Configurer un appareil Windows partagé ou invité.

Nom de locataire Microsoft Entra préféré

Pour améliorer l’expérience utilisateur, vous pouvez configurer la fonctionnalité de nom de locataire Microsoft Entra par défaut .
Lors de l’utilisation du nom de locataire Microsoft Entra préféré, les utilisateurs contournent la page de levée d’ambiguïté et sont redirigés vers la page de connexion du fournisseur d’identité. Cette configuration peut être particulièrement utile pour les appareils partagés des étudiants, où la page de levée d’ambiguïté est toujours affichée.

Pour plus d’informations sur le nom du locataire préféré, consultez Fournisseur de services de configuration d’authentification - PreferredAadTenantDomainName.

Correspondance d’identité dans l’ID Microsoft Entra

Lorsqu’un utilisateur Microsoft Entra est fédéré, l’identité de l’utilisateur à partir du fournisseur d’identité doit correspondre à un objet utilisateur existant dans l’ID Microsoft Entra. Une fois le jeton envoyé par le fournisseur d’identité validé, l’ID Microsoft Entra recherche un objet utilisateur correspondant dans le locataire à l’aide d’un attribut appelé ImmutableId.

Remarque

ImmutableId est une valeur de chaîne qui doit être unique pour chaque utilisateur du locataire et qui ne doit pas changer au fil du temps. Par exemple, immutableId peut être l’ID d’étudiant ou l’ID SIS. La valeur ImmutableId doit être basée sur la configuration et la configuration de la fédération avec votre fournisseur d’identité. Vérifiez donc auprès de votre fournisseur d’identité avant de la définir.

Si l’objet correspondant est trouvé, l’utilisateur est connecté. Sinon, un message d’erreur s’affiche à l’utilisateur. L’image suivante montre qu’un utilisateur avec l'260051 ImmutableId est introuvable :

Important

La correspondance ImmutableId respecte la casse.

ImmutableId est généralement configuré lorsque l’utilisateur est créé dans l’ID Microsoft Entra, mais il peut également être mis à jour ultérieurement.
Dans un scénario où un utilisateur est fédéré et que vous souhaitez modifier l’ImmutableId, vous devez :

1. Convertir l’utilisateur fédéré en utilisateur cloud uniquement (mettre à jour l’UPN vers un domaine non fédéré)
2. Mettre à jour l’ImmutableId
3. Reconverti l’utilisateur en utilisateur fédéré

Voici un exemple PowerShell pour mettre à jour l’ImmutableId pour un utilisateur fédéré :

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph
Connect-MgGraph -Scopes 'User.Read.All', 'User.ReadWrite.All'

#1. Convert the user from federated to cloud-only
Update-MgUser -UserId alton@example.com -UserPrincipalName alton@example.onmicrosoft.com

#2. Convert the user back to federated, while setting the immutableId
Update-MgUser -UserId alton@example.onmicrosoft.com -UserPrincipalName alton@example.com -OnPremisesImmutableId '260051'

Résolution des problèmes

• L’utilisateur peut quitter le flux de connexion fédérée en appuyant sur Ctrl+Alt+Suppr pour revenir à l’écran de connexion Windows standard
• Sélectionnez le bouton Autre utilisateur et les informations d’identification de nom d’utilisateur/mot de passe standard sont disponibles pour se connecter à l’appareil