Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique les conditions requises pour activer l’authentification unique (SSO) sur les ressources de domaine locales via des connexions Wi-Fi ou VPN. Les scénarios suivants sont généralement utilisés :
- Connexion à un réseau à l’aide d’un Wi-Fi ou d’un VPN
- Utiliser des informations d’identification pour Wi-Fi ou l’authentification VPN pour authentifier également les demandes d’accès aux ressources de domaine, sans être invité à entrer des informations d’identification de domaine
Par exemple, vous souhaitez vous connecter à un réseau d’entreprise et accéder à un site web interne qui nécessite l’authentification intégrée Windows.
Les informations d’identification utilisées pour l’authentification de connexion sont placées dans le Gestionnaire d’informations d’identification comme informations d’identification par défaut pour la session de connexion. Le Gestionnaire d’informations d’identification stocke les informations d’identification qui peuvent être utilisées pour des ressources de domaine spécifiques. Celles-ci sont basées sur le nom cible de la ressource :
- Pour LE VPN, la pile VPN enregistre ses informations d’identification en tant que session par défaut
- Pour le Wi-Fi, le protocole EAP (Extensible Authentication Protocol) prend en charge
Les informations d’identification sont placées dans le Gestionnaire d’informations d’identification en tant qu’informations d’identification de session :
- Les informations d’identification de session impliquent qu’elles sont valides pour la session utilisateur actuelle.
- Les informations d’identification sont nettoyées lorsque la connexion Wi-Fi ou VPN est déconnectée
Remarque
Dans Windows 10 version 21H2 et ultérieures, les informations d’identification de session ne sont pas visibles dans le Gestionnaire d’informations d’identification.
Par exemple, si une personne qui utilise Microsoft Edge tente d’accéder à une ressource de domaine, Microsoft Edge dispose de la fonctionnalité d’authentification entreprise appropriée. Cela permet à WinInet de libérer les informations d’identification qu’il obtient du Gestionnaire d’informations d’identification vers le fournisseur de services partagé qui en fait la demande. Pour plus d’informations sur la fonctionnalité Enterprise Authentication, consultez Déclarations des fonctionnalités d’application.
L’autorité de sécurité locale examine l’application de l’appareil pour déterminer si elle dispose de la fonctionnalité appropriée. Cela inclut des éléments tels qu’une application plateforme Windows universelle (UWP). Si l’application n’est pas un UWP, cela n’a pas d’importance. Toutefois, si l’application est une application UWP, elle évalue la capacité de l’appareil pour l’authentification d’entreprise. S’il dispose de cette fonctionnalité et si la ressource à laquelle vous essayez d’accéder se trouve dans la zone Intranet dans les options Internet (ZoneMap), les informations d’identification sont libérées. Ce comportement permet d’empêcher les informations d’identification d’être utilisées à mauvais escient par des tiers non approuvés.
Zone Intranet
Pour la zone Intranet, par défaut, elle autorise uniquement les noms en une seule étiquette, tels que http://finance
.
Si la ressource qui doit être consultée a plusieurs étiquettes de domaine, la solution de contournement consiste à utiliser le fournisseur de services de configuration du Registre.
Définition du ZoneMap
ZoneMap est contrôlé à l’aide d’un registre qui peut être défini via GPM.
Par défaut, les noms à étiquette unique tels que http://finance
sont déjà dans la zone intranet.
Pour les noms à plusieurs étiquettes, tels que http://finance.net
, le ZoneMap doit être mis à jour.
Stratégie GPM
Exemple d’URI OMA :
./Vendor/MSFT/Registry/HKU/S-1-5-21-2702878673-795188819-444038987-2781/Software/Microsoft/Windows/CurrentVersion/Internet%20Settings/ZoneMap/Domains/<domain name>
Integer
comme valeur de 1
pour chacun des domaines dans lesquels vous souhaitez effectuer l’authentification unique à partir de votre appareil. Cela ajoute les domaines spécifiés à la zone Intranet du navigateur Microsoft Edge.
Configuration requise pour les informations d’identification
Pour vpn, les types d’informations d’identification suivants sont ajoutés au gestionnaire d’informations d’identification après l’authentification :
- Nom d’utilisateur et mot de passe
- Authentification basée sur les certificats :
- Certificat du fournisseur de stockage de clés (KSP) TPM
- Certificats du fournisseur de stockage de clés logicielles (KSP)
- Certificat de carte à puce
- certificat Windows Hello Entreprise
Le nom d’utilisateur doit également inclure un domaine accessible via la connexion (VPN ou Wi-Fi).
Modèles de certificat utilisateur
Si les informations d’identification sont basées sur un certificat, les éléments du tableau suivant doivent être configurés pour les modèles de certificat afin de s’assurer qu’ils peuvent également être utilisés pour l’authentification du client Kerberos.
Élément Template | Configuration |
---|---|
Subjectname | Le nom unique (DN) de l’utilisateur où les composants de domaine du nom unique reflètent l’espace de noms DNS interne lorsque SubjectAlternativeName n’a pas l’UPN complet requis pour rechercher le contrôleur de domaine.
Cette exigence est pertinente dans les environnements à forêts multiples, car elle garantit qu’un contrôleur de domaine peut être localisé. |
SubjectAlternativeName | UPN complet de l’utilisateur où un composant de nom de domaine de l’UPN de l’utilisateur correspond à l’espace de noms DNS du domaine interne de l’organisation.
Cette exigence est pertinente dans les environnements à forêts multiples, car elle garantit qu’un contrôleur de domaine peut être localisé lorsque subjectName n’a pas le nom DN requis pour rechercher le contrôleur de domaine. |
Fournisseur de stockage de clés (KSP) | Si l’appareil est joint à Microsoft Entra ID, un certificat d’authentification unique discret est utilisé. |
EnhancedKeyUsage | Une ou plusieurs des EKU suivantes sont requises :
|
Configuration du serveur NDES
Le serveur NDES doit être configuré afin que les demandes SCEP entrantes puissent être mappées au modèle approprié à utiliser. Pour plus d’informations, consultez Configurer l’infrastructure de certificats pour SCEP.
Configuration requise d’Active Directory
Vous avez besoin d’une connectivité IP à un serveur DNS et à un contrôleur de domaine via l’interface réseau pour que l’authentification puisse également réussir.
Les contrôleurs de domaine doivent disposer de certificats KDC appropriés pour que le client les approuve en tant que contrôleurs de domaine. Étant donné que les téléphones ne sont pas joints à un domaine, l’autorité de certification racine du certificat du KDC doit se trouver dans l’autorité de certification racine tierce ou le magasin racines de confiance de carte à puce.
Les contrôleurs de domaine doivent utiliser des certificats basés sur le modèle de certificat KDC mis à jour authentification Kerberos.