Partager via


Serveur de fédération Active Directory à Microsoft Entra

Microsoft Entra ID fournit une expérience simple de connexion basée sur le cloud à l'ensemble de vos ressources et applications, avec une authentification stricte et des stratégies d'accès adaptatif en temps réel basées sur les risques pour permettre d'accéder aux ressources, en réduisant les coûts opérationnels de gestion et de maintenance d'un environnement AD FS et en augmentant l'efficacité informatique.

Pour plus d'informations sur la raison pour laquelle vous devez effectuer une mise à niveau d'AD FS à Microsoft Entra ID, visitez passage d'AD FS à Microsoft Entra ID. Consultez Migrer de la fédération vers l’authentification cloud pour comprendre comment effectuer une mise à niveau à partir d’AD FS.

Questions générales

Ce document répond aux questions fréquentes sur la migration d'AD FS vers Microsoft Entra ID.

Est-il possible d’exécuter AD FS côte à côte avec la synchronisation du hachage de mot de passe ou l’authentification directe ?

Oui, vous pouvez. C’est assez fréquent. Le déploiement par étapes permet de vérifier qu'un sous-ensemble des utilisateurs est en mesure de s'authentifier auprès Microsoft Entra ID directement tandis que le domaine reste fédéré. Ce document Effectuer une migration de la fédération vers l’authentification cloud vous guide tout au long du processus.

Lors de l’accès aux sites via AD FS en interne, les utilisateurs bénéficient d’une expérience d’authentification unique. Comment conserver la même expérience en passant à Microsoft Entra ID ?

Il existe plusieurs façons de procéder. La première méthode recommandée consiste à effectuer une jonction Microsoft Entra Hybride à vos machines jointes à un domaine Windows 10 ou 11 existantes ou à utiliser la jonction Microsoft Entra. Vous obtenez ainsi la même expérience de connexion fluide. La deuxième méthode consiste à tirer parti de l'authentification unique fluide pour permettre aux machines sans jonction hybride Microsoft Entra ou aux clients Windows de niveau inférieur de bénéficier de cette même expérience.

J'enregistre des appareils avec jonction hyride Microsoft Entra à l'aide de revendications de périphérique AD FS. Comment faire pour autoriser des appareils à effectuer leur processus AADJ hybride avec AD FS ?

Vous pouvez suivre le processus configurer la jonction hybride Microsoft Entra pour que les appareils effectuent le processus d'inscription sans AD FS.

Je dispose de règles d’autorisation dans AD FS. Quelle est la façon équivalente de procéder dans Microsoft Entra ID ?

Ces stratégies se traduisent en stratégies d'accès conditionnel Microsoft Entra. Il existe plusieurs stratégies de modèles prédéfinis pour démarrer.

Quand vous placez des utilisateurs dans un groupe de déploiement intermédiaire, leurs sessions actuelles sont-elles affectées et une nouvelle authentification est-elle forcée ?

Non, la session actuelle reste valide. La prochaine fois que les utilisateurs devront s’authentifier, ils s’authentifieront à l’aide de l’authentification managée au lieu de la fédération.

Je dispose d’une approbation de fournisseur de revendications auprès d’une autre entreprise pour accéder aux ressources. Comment déplacer cette relation d’approbation ?

Vous devez essayer de bénéficier de Microsoft Entra B2B pour obtenir le même accès d'authentification.

Nous avons des règles de revendication personnalisées. Microsoft Entra ID peut-il les prendre en charge ?

Oui, en fonction des règles nécessaires. Pour examiner la situation, la meilleure solution consiste à utiliser le rapport d’activité d’application AD FS, puis à déterminer la manière de personnaliser les revendications SAML

Quand vous passez d’un domaine fédéré à un domaine géré, combien de temps faut-il pour que la modification s’applique ?

Le basculement complet peut durer jusqu’à 4 heures. Planifiez donc votre fenêtre de maintenance en conséquence

AD FS est-il obligatoire pour utiliser O365 ?

Non, O365 peut vous authentifier directement sans ADFS.

Une fois que la configuration de l'application est passée à Microsoft Entra ID, d'autres actions sont-elles nécessaires pour terminer la migration ?

Oui. La migration d'une application vers Microsoft Entra ID est terminée uniquement une fois que vous avez reconfiguré l'application elle-même (basculement) en vue d'utiliser Microsoft Entra ID.

ADFS est-il obligatoire pour que les utilisateurs puissent se connecter avec leur adresse e-mail ou leur nom d’utilisateur principal (UPN) ?

Non. Microsoft Entra ID prend en charge la connexion via une adresse e-mail ou un nom d'utilisateur principal.

Étapes suivantes