Dans cet article, nous répondons au forum aux questions sur l’authentification unique et transparente de Microsoft Entra (SSO transparente). N’hésitez pas à le consulter régulièrement, du contenu nouveau y est fréquemment ajouté.
Avec quelles méthodes de connexion l’authentification unique transparente est-elle compatible ?
L’authentification unique transparente peut être combinée avec la synchronisation de hachage de mot de passe et l’authentification directe. Toutefois, cette fonctionnalité ne peut pas être utilisée avec les services de fédération Active Directory (AD FS).
La fonctionnalité d’authentification unique transparente est-elle gratuite ?
L’authentification unique transparente est une fonctionnalité gratuite et il n’est pas utile de disposer des éditions payantes de Microsoft Entra ID pour l’utiliser.
L'authentification unique transparente est-elle disponible dans le cloud Microsoft Azure Allemagne et dans le cloud Microsoft Azure Government ?
L’authentification unique fluide est disponible pour le cloud Azure Government. Pour plus d’informations, consultez Considérations sur les identités hybrides pour Azure Government.
Quelles applications tirent parti de la fonctionnalité de paramètre « domain_hint » ou « login_hint » de l’authentification unique fluide ?
Le tableau contient une liste d’applications qui peuvent envoyer ces paramètres à Microsoft Entra ID. Cette action offre aux utilisateurs une expérience d’authentification silencieuse à l’aide de l’authentification unique transparente.
Nom de l'application | URL de l’application |
---|---|
Panneau d’accès | https://myapps.microsoft.com/contoso.com |
Outlook sur le Web | https://outlook.office365.com/contoso.com |
Portails Office 365 | https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com |
De plus, les utilisateurs obtiennent une expérience de connexion silencieuse si une application envoie des requêtes de connexion aux points de terminaison de Microsoft Entra définis en tant que locataires (c’est-à-dire https://login.microsoftonline.com/contoso.com/<..> ou https://login.microsoftonline.com/<ID_locataire>/<..>) au lieu du point de terminaison commun de Microsoft Entra (c’est-à-dire, https://login.microsoftonline.com/common/<...>). Le tableau présente une liste d’applications qui font ces types de requêtes de connexion.
Nom de l'application | URL de l’application |
---|---|
SharePoint Online | https://contoso.sharepoint.com |
Centre d'administration Microsoft Entra | https://portal.azure.com/contoso.com |
Dans les tables ci-dessus, remplacez « contoso.com » par votre nom de domaine pour obtenir les URL d’application de votre abonné.
Si vous souhaitez que d’autres applications utilisent notre expérience d’authentification en mode silencieux, faites-le nous savoir dans la section des commentaires.
L’authentification unique fluide prend-elle en charge l’« ID secondaire » comme nom d’utilisateur, au lieu de « userPrincipalName » ?
Oui. L’authentification unique transparente prend en charge Alternate ID
comme nom d’utilisateur dans Microsoft Entra Connect comme indiqué ici. Toutes les applications Microsoft 365 ne prennent pas en charge Alternate ID
. Reportez-vous à la documentation de l’application qui vous intéresse pour avoir des précisions sur sa prise en charge.
Quelle est la différence entre l'expérience d'authentification unique fournie par la jonction Microsoft Entra et l'authentification unique transparente ?
La jointure Microsoft Entra fournit l’authentification unique aux utilisateurs si leurs appareils sont inscrits auprès de Microsoft Entra ID. Ces appareils ne doivent pas nécessairement être joints au domaine. L’authentification unique est fournie à l’aide de jetons d’actualisation principaux ou PRTs, et non Kerberos. L’expérience utilisateur est optimale sur des appareils Windows 10. L’authentification unique s’effectue automatiquement sur le navigateur Microsoft Edge. Elle fonctionne également sur Chrome avec une extension de navigateur.
Vous pouvez utiliser l’authentification unique Microsoft Entra et l’authentification unique transparente sur votre locataire. Ces deux fonctionnalités sont complémentaires. Si les deux fonctionnalités sont activées, l’authentification unique à partir de la jonction Microsoft Entra est prioritaire sur l’authentification unique transparente.
Je souhaite inscrire des appareils non Windows 10 auprès de Microsoft Entra ID sans utiliser les services AD FS. Puis-je à la place utiliser l’authentification unique transparente ?
Oui, ce scénario nécessite la version 2.1 ou ultérieure du client workplace-join.
Comment puis-je substituer la clé de déchiffrement Kerberos du compte d’ordinateur « AZUREADSSO » ?
Vous devez veiller à remplacer fréquemment la clé de déchiffrement Kerberos du compte d’ordinateur AZUREADSSO
(qui représente Microsoft Entra ID) créé dans votre forêt AD locale.
Important
Nous vous recommandons vivement de remplacer la clé de déchiffrement Kerberos au moins tous les 30 jours à l’aide du cmdlet Update-AzureADSSOForest
. Lorsque vous utilisez le cmdlet Update-AzureADSSOForest
, assurez-vous de ne pas exécuter la commande Update-AzureADSSOForest
plusieurs fois par forêt. Dans le cas contraire, la fonctionnalité cesse de fonctionner jusqu’à ce que les tickets Kerberos de vos utilisateurs expirent et soient régénérés par votre annuaire Active Directory local.
Procédez comme suit sur le serveur sur site où vous exécutez Microsoft Entra Connect :
Remarque
Vous avez besoin des informations d’identification d’administrateur de domaine et d’administrateur d’identité hybride pour les étapes.
Si vous n’êtes pas administrateur de domaine et que vous avez reçu des autorisations par l’administrateur de domaine, vous devez appeler Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount
Étape 1. Obtenir la liste des forêts AD dans lesquelles l’authentification unique transparente est activée
- Commencez par télécharger et installer Azure AD PowerShell.
- Accédez au dossier
$env:programfiles"\Microsoft Azure Active Directory Connect"
. - Importez le module PowerShell Authentification unique (SSO) transparente à l’aide de la commande suivante :
Import-Module .\AzureADSSO.psd1
. - Exécutez PowerShell ISE en tant qu’administrateur. Dans PowerShell, appelez
New-AzureADSSOAuthenticationContext
. Cette commande doit afficher une fenêtre contextuelle dans laquelle vous devez entrer vos informations d’identification d’administrateur d’identité hybride de locataire. - Appelez
Get-AzureADSSOStatus | ConvertFrom-Json
. Cette commande vous fournit une liste des forêts AD (examinez la liste « Domaines ») dans lesquelles cette fonctionnalité a été activée.
Étape 2. Mettre à jour la clé de déchiffrement Kerberos sur chaque forêt AD sur laquelle elle a été configurée
- Appelez
$creds = Get-Credential
. Quand vous y êtes invité, entrez les informations d’identification d’administrateur de domaine pour la forêt AD souhaitée.
Notes
Le nom d’utilisateur des informations d’identification de l’administrateur de domaine doit être entré au format de nom de compte SAM (contoso\johndoe ou contoso.com\johndoe). Nous utilisons la partie domaine du nom d’utilisateur pour localiser le contrôleur de domaine de l’administrateur de domaine à l’aide de DNS.
Notes
Le compte administrateur de domaine utilisé ne doit pas être membre du groupe Utilisateurs protégés. Dans ce cas, l’opération échoue.
Appelez
Update-AzureADSSOForest -OnPremCredentials $creds
. Cette commande met à jour la clé de déchiffrement de Kerberos pour le compte d’ordinateurAZUREADSSO
et la forêt AD spécifique et dans Microsoft Entra ID.Répétez les étapes précédentes pour chaque forêt AD dans laquelle vous avez configuré la fonctionnalité.
Remarque
Si vous mettez à jour une forêt autre que celle de Microsoft Entra Connect, assurez-vous que la connectivité au serveur du catalogue global (TCP 3268 et TCP 3269) est disponible.
Important
Cette opération n’est pas nécessaire sur les serveurs exécutant Microsoft Entra Connect en mode de préproduction.
Comment désactiver l’authentification unique transparente ?
Étape 1. Désactiver la fonctionnalité pour votre locataire
Option A : Désactiver à l’aide de Microsoft Entra Connect
- Exécutez Microsoft Entra Connect, cliquez sur la page Modifier la connexion utilisateur puis sur Suivant.
- Désactivez l’option Activer l’authentification unique. Suivez les instructions de l’Assistant.
À la fin de l’Assistant, l’authentification unique transparente est désactivée pour votre locataire. Toutefois, le message suivant s’affiche :
L’authentification unique est maintenant désactivée, mais d’autres étapes manuelles sont à accomplir pour effectuer le nettoyage. En savoir plus"
Pour effectuer le processus de nettoyage, suivez les étapes 2 et 3 sur le serveur local où vous exécutez Microsoft Entra Connect.
Option B : Désactiver à l’aide de PowerShell
Exécutez les étapes suivantes sur le serveur local où vous exécutez Microsoft Entra Connect :
- Commencez par télécharger et installer Azure AD PowerShell.
- Accédez au dossier
$env:ProgramFiles"\Microsoft Azure Active Directory Connect"
. - Importez le module PowerShell Authentification unique (SSO) transparente à l’aide de la commande suivante :
Import-Module .\AzureADSSO.psd1
. - Exécutez PowerShell ISE en tant qu’administrateur. Dans PowerShell, appelez
New-AzureADSSOAuthenticationContext
. Cette commande doit afficher une fenêtre contextuelle dans laquelle vous devez entrer vos informations d’identification d’administrateur d’identité hybride de locataire. - Appelez
Enable-AzureADSSO -Enable $false
.
À ce stade, l’authentification unique fluide est désactivée, mais les domaines restent configurés au cas où vous souhaiteriez réactiver l’authentification unique fluide. Si vous souhaitez supprimer complètement les domaines de la configuration de l’authentification unique fluide, appelez l’applet de commande suivante après avoir terminé l’étape 5 ci-dessus : Disable-AzureADSSOForest -DomainFqdn <fqdn>
.
Important
La désactivation de l’authentification unique transparente à l’aide de PowerShell ne change pas l’état dans Microsoft Entra Connect. L’authentification unique fluide apparaît comme étant activée dans la page Modifier la connexion utilisateur.
Remarque
Si vous n’avez pas de serveur de synchronisation Microsoft Entra Connect, vous pouvez en télécharger un et exécuter l’installation initiale. Cela ne permet pas de configurer le serveur, juste de décompresser les fichiers nécessaires pour désactiver l’authentification unique. Une fois l’installation MSI terminée, fermez l’Assistant Microsoft Entra Connect et exécutez les étapes pour désactiver l’authentification unique transparente à l’aide de PowerShell.
Étape 2. Obtenez la liste des forêts AD dans lesquelles l’authentification unique transparente a été activée.
Suivez les tâches 1 à 4 si vous avez désactivé l’authentification unique transparente avec Microsoft Entra Connect. Si vous avez désactivé l’authentification unique transparente à l’aide de PowerShell, passez directement à la tâche 5.
- Commencez par télécharger et installer Azure AD PowerShell.
- Accédez au dossier
$env:ProgramFiles"\Microsoft Azure Active Directory Connect"
. - Importez le module PowerShell Authentification unique (SSO) transparente à l’aide de la commande suivante :
Import-Module .\AzureADSSO.psd1
. - Exécutez PowerShell ISE en tant qu’administrateur. Dans PowerShell, appelez
New-AzureADSSOAuthenticationContext
. Cette commande doit afficher une fenêtre contextuelle dans laquelle vous devez entrer vos informations d’identification d’administrateur d’identité hybride de locataire. - Appelez
Get-AzureADSSOStatus | ConvertFrom-Json
. Cette commande vous fournit la liste des forêts AD (examinez la liste « Domaines ») dans lesquelles cette fonctionnalité a été activée.
Étape 3. Supprimez manuellement le compte d’ordinateur AZUREADSSO
de chaque forêt AD répertoriée.
Étapes suivantes
- Démarrage rapide : soyez opérationnel et exécutez l’authentification unique transparente Microsoft Entra.
- Immersion technique : découvrez comment fonctionne cette fonctionnalité.
- Résolution des problèmes : découvrez comment résoudre les problèmes courants susceptibles de survenir avec cette fonctionnalité.
- UserVoice : pour le dépôt de nouvelles demandes de fonctionnalités.