Options de connexion utilisateur Microsoft Entra Connect
Microsoft Entra Connect permet à vos utilisateurs de se connecter aux ressources cloud et locales à l’aide des mêmes mots de passe. Cet article décrit les concepts clés pour chaque modèle d’identité afin de vous aider à choisir l’identité que vous souhaitez utiliser pour vous connecter à Microsoft Entra ID.
Si vous connaissez déjà le modèle d’identité Microsoft Entra et que vous souhaitez en savoir plus sur une méthode spécifique, cliquez sur le lien adéquat :
- Synchronisation de hachage de mot de passe avec authentification unique transparente (SSO)
- Synchronisation directe avec authentification unique transparente (SSO)
- Authentification unique fédérée (avec Active Directory Federation Services (AD FS))
- Fédération avec PingFederate
Remarque
Il est important de vous rappeler qu’en configurant la fédération pour Microsoft Entra ID, vous établissez l’approbation entre votre client Microsoft Entra et vos domaines fédérés. Avec ce domaine d’approbation fédéré, les utilisateurs auront accès aux ressources cloud de Microsoft Entra au sein du client.
Choix de la méthode de connexion utilisateur pour votre organisation
La première décision concernant l’implémentation de Microsoft Entra Connect est le choix de la méthode d’authentification qui sera utilisée par vos utilisateurs pour se connecter. Il est important de choisir la méthode appropriée répondant aux exigences de sécurité et avancées de votre organisation. L’authentification est essentielle, car elle validera les identités de l’utilisateur pour accéder aux applications et aux données dans le cloud. Pour choisir la méthode d’authentification correcte, vous devez prendre en compte l’infrastructure existante, le temps nécessaire à l’implémentation, sa complexité et les coûts associés. Ces facteurs sont différents pour chaque organisation et peuvent varier au fil du temps.
Microsoft Entra ID prend en charge les méthodes d’authentification suivantes :
- Authentification cloud : quand vous choisissez cette méthode d’authentification, Microsoft Entra ID gère le processus d’authentification pour la connexion des utilisateurs. L’authentification cloud propose deux options :
- Synchronisation de hachage du mot de passe : la synchronisation de hachage du mot de passe permet aux utilisateurs d’utiliser les mêmes nom d’utilisateur et mot de passe qu’ils utilisent localement sans avoir à déployer une infrastructure supplémentaire en plus de Microsoft Entra Connect.
- Authentification directe (PTA) : cette option est similaire à la synchronisation de hachage de mot de passe, mais elle permet une validation simple du mot de passe à l’aide d’agents de logiciel sur site pour les organisations disposant de stratégies de conformité et de sécurité renforcées.
- Authentification fédérée : quand vous choisissez cette méthode d’authentification, Microsoft Entra ID délègue le processus d’authentification à un système d’authentification approuvée distinct, par exemple AD FS ou un système de fédération tiers, pour valider la connexion de l’utilisateur.
Pour la plupart des organisations qui souhaitent simplement permettre aux utilisateurs de se connecter à Microsoft 365, aux applications SaaS et à d'autres ressources basées sur Microsoft Entra ID, nous recommandons l'option de synchronisation de hachage de mot de passe par défaut.
Pour plus d’informations sur le choix d’une méthode d’authentification, consultez Choisir la méthode d’authentification adaptée à votre solution d’identité hybride Microsoft Entra
Synchronisation de hachage du mot de passe
Avec la synchronisation de hachage du mot de passe, les hachages des mots de passe utilisateur sont synchronisés de l’Active Directory local vers Microsoft Entra ID. Lorsque les mots de passe sont modifiés ou réinitialisés localement, les hachages des nouveaux mots de passe sont immédiatement synchronisés avec Microsoft Entra ID afin que vos utilisateurs puissent toujours utiliser le même mot de passe pour les ressources cloud comme pour les ressources locales. Les mots de passe ne sont jamais envoyés à Microsoft Entra ID ou stockés dans Microsoft Entra ID en texte clair. Vous pouvez utiliser la synchronisation de hachage de mot de passe avec la réécriture de mot de passe pour permettre la réinitialisation de mot de passe libre-service dans Microsoft Entra ID.
De plus, vous pouvez activer l’authentification unique transparente (SSO) pour des utilisateurs sur des machines jointes à un domaine qui se trouvent sur le réseau d’entreprise. Avec l’authentification unique, les utilisateurs activés doivent seulement entrer un nom d’utilisateur pour accéder en toute sécurité aux ressources cloud.
Pour plus d’informations, consultez l’article sur la synchronisation de hachage de mot de passe.
Authentification directe
Avec l’authentification directe, le mot de passe de l’utilisateur est validé par rapport au contrôleur Active Directory local. Le mot de passe n’a pas besoin d’être présent dans Microsoft Entra ID sous quelque forme que ce soit. Ceci permet d’évaluer les stratégies locales au cours de l’authentification auprès des services cloud, comme pour les restrictions sur les heures d’ouverture de session.
L’authentification directe utilise un agent simple sur un ordinateur Windows Server 2012 R2 joint à un domaine dans l’environnement local. Cet agent écoute les requêtes de validation de mot de passe. Il ne nécessite pas que des ports entrants soient ouverts sur Internet.
En outre, vous pouvez activer également l’authentification unique pour des utilisateurs sur des ordinateurs joints à un domaine qui se trouvent sur le réseau d’entreprise. Avec l’authentification unique, les utilisateurs activés doivent seulement entrer un nom d’utilisateur pour accéder en toute sécurité aux ressources cloud.
Pour en savoir plus, consultez :
Fédération utilisant des services AD FS nouveaux ou existants dans la batterie de serveurs Windows Server 2012 R2
Avec l’authentification fédérée, vos utilisateurs peuvent se connecter aux services basés sur Microsoft Entra ID avec leurs mots de passe locaux. Lorsqu’ils sont sur le réseau d’entreprise, ils n’ont même pas besoin d’entrer leurs mots de passe. En utilisant l’option de fédération avec les services de fédération d’Azure Directory (AD FS), vous pouvez déployer un nouveau service AD FS dans la batterie de serveurs Windows Server 2012 R2 ou en spécifier un existant. Si vous choisissez de spécifier une batterie existante, Microsoft Entra Connect configure l’approbation entre votre batterie et Microsoft Entra ID de manière à ce que vos utilisateurs puissent s’authentifier.
Déploiement d’une fédération avec AD FS dans Windows Server 2012 R2
Si vous déployez une nouvelle batterie, il vous faut :
- Un serveur Windows Server 2012 R2 pour le serveur de fédération.
- Un serveur Windows Server 2012 R2 pour le proxy d’application web.
- Un fichier .pfx avec un certificat TLS/SSL unique pour le nom de votre service de fédération. Par exemple : fs.contoso.com.
Si vous déployez une nouvelle batterie ou si vous utilisez une batterie existante, il vous faut :
- Les informations d’identification de l’administrateur local de vos serveurs de fédération.
- Les informations d’identification de l’administrateur local des serveurs des groupes de travail (ne faisant pas partie d’un domaine) sur lesquels vous avez l’intention de déployer le rôle de proxy d’application web.
- La machine sur laquelle vous exécutez l’Assistant doit être en mesure de se connecter à n’importe quel autre appareil sur lequel vous souhaitez installer AD FS ou un proxy d’application web en utilisant Windows Remote Management.
Pour plus d’informations, consultez Configuration de l’authentification unique avec ADFS.
Fédération avec PingFederate
Avec l’authentification fédérée, vos utilisateurs peuvent se connecter aux services basés sur Microsoft Entra ID avec leurs mots de passe locaux. Lorsqu’ils sont sur le réseau d’entreprise, ils n’ont même pas besoin d’entrer leurs mots de passe.
Pour plus d’informations sur la configuration de PingFederate à utiliser avec Microsoft Entra ID, consultez Intégration de PingFederate à Microsoft Entra ID et Microsoft 365.
Pour plus d’informations sur la configuration de Microsoft Entra Connect à l’aide de PingFederate, consultez installation personnalisée Microsoft Entra Connect
Authentification à l’aide d’une version antérieure d’AD FS ou d’une solution tierce
Si vous avez déjà configuré l’authentification cloud à l’aide d’une version antérieure de AD FS (par exemple, AD FS 2.0) ou à l’aide d’un fournisseur de fédération tiers, vous pouvez choisir d’ignorer la configuration de la connexion utilisateur via Microsoft Entra Connect. Cela vous permet d’obtenir la dernière synchronisation et d’autres fonctionnalités de Microsoft Entra Connect tout en utilisant toujours votre solution d’authentification existante.
Pour plus d’informations, consultez la Liste de compatibilité des fournisseurs de fédération tiers Microsoft Entra.
Connexion de l’utilisateur et nom d’utilisateur principal
Présentation du nom d’utilisateur principal
Dans Active Directory, le suffixe du nom de principal de l’utilisateur (UPN) par défaut est le nom DNS du domaine dans lequel le compte d’utilisateur a été créé. Dans la plupart des cas, il s’agit du nom de domaine enregistré en tant que domaine d’entreprise sur Internet. Toutefois, vous pouvez ajouter d’autres suffixes UPN avec les domaines et approbations Active Directory.
L’UPN de l’utilisateur est au format nom_utilisateur@domaine. Par exemple, pour un domaine Active Directory nommé « contoso.com », un utilisateur nommé John peut avoir l’UPN suivant : « john@contoso.com ». L’UPN de l’utilisateur se base sur RFC 822. Bien que l’UPN et la messagerie partagent le même format, la valeur du nom UPN d’un utilisateur n’est pas forcément identique à l’adresse de messagerie de l’utilisateur.
Nom d’utilisateur principal dans Microsoft Entra ID
L’Assistant Microsoft Entra Connect utilise l’attribut userPrincipalName ou vous laisse spécifier l’attribut (dans une installation personnalisée) à utiliser en local en tant que nom d’utilisateur principal dans Microsoft Entra ID. Il s’agit de la valeur utilisée pour la connexion à Microsoft Entra ID. Si la valeur de l’attribut du nom principal d’utilisateur ne correspond pas à un domaine vérifié dans Microsoft Entra ID, Microsoft Entra ID la remplacera par une valeur .onmicrosoft.com par défaut.
Dans Microsoft Entra ID, chaque annuaire est fourni avec un nom de domaine intégré se présentant sous la forme contoso.onmicrosoft.com qui vous permet de commencer à utiliser Azure ou d’autres services Microsoft. Vous pouvez améliorer et simplifier l’expérience de connexion avec les domaines personnalisés. Pour plus d’informations sur les noms de domaine personnalisés dans Microsoft Entra ID et sur la vérification des domaines, consultez Ajouter votre nom de domaine personnalisé à Microsoft Entra ID.
Configuration de connexion Microsoft Entra
Microsoft Entra configuration de connexion avec Microsoft Entra Connect
L’expérience de connexion Microsoft Entra varie selon que l’ID de Microsoft Entra peut correspondre au suffixe de nom d’utilisateur principal d’un utilisateur synchronisé avec l’un des domaines personnalisés vérifiés dans le répertoire Microsoft Entra. Microsoft Entra Connect fournit une aide lors de la configuration des paramètres de connexion Microsoft Entra, afin que l’expérience de connexion utilisateur sur le cloud soit similaire à l’expérience locale.
Microsoft Entra Connect répertorie les suffixes UPN qui sont définis pour les domaines et essaie de les mettre en correspondance avec un domaine personnalisé dans Microsoft Entra ID. Il vous aide ensuite avec l’action appropriée à entreprendre. La page de connexion Microsoft Entra répertorie les suffixes UPN définis pour Active Directory local et affiche l’état correspondant à chaque suffixe. L’état peut avoir une des valeurs suivantes :
| State | Description | Action requise |
|---|---|---|
| Verified | Microsoft Entra Connect a trouvé un domaine vérifié correspondant dans Microsoft Entra ID. Tous les utilisateurs de ce domaine peuvent se connecter en utilisant leurs informations d’identification locales. | Aucune action n'est nécessaire. |
| Non vérifié | Microsoft Entra Connect a trouvé un domaine personnalisé correspondant dans Microsoft Entra ID, mais il n’est pas vérifié. Si le domaine n’est pas vérifié, le suffixe UPN des utilisateurs de ce domaine sera remplacé par le suffixe .onmicrosoft.com par défaut après la synchronisation. | Vérifiez le domaine personnalisé dans Microsoft Entra ID. |
| Non ajouté | Microsoft Entra Connect n’a pas trouvé de domaine personnalisé correspondant au suffixe UPN. Si le domaine n’est pas ajouté et vérifié dans Azure, le suffixe UPN des utilisateurs de ce domaine sera remplacé par le suffixe .onmicrosoft.com. | Ajouter et vérifier un domaine personnalisé correspondant au suffixe UPN. |
La page de connexion Microsoft Entra répertorie le(s) suffixe(s) UPN défini(s) pour Active Directory local et le domaine personnalisé correspondant dans Microsoft Entra ID avec l’état actuel de la vérification. Dans une installation personnalisée, vous pouvez maintenant sélectionner l’attribut du nom d’utilisateur principal sur la page Connexion à Microsoft Entra .
Vous pouvez cliquer sur le bouton Actualiser pour extraire à nouveau le dernier état des domaines personnalisés à partir de Microsoft Entra ID.
Sélection d’un attribut pour le nom d’utilisateur principal dans Microsoft Entra ID
L'attribut userPrincipalName est utilisé par les utilisateurs lorsqu'ils se connectent à Microsoft Entra ID et Microsoft 365. Vous devez vérifier les domaines (également nommés « Suffixe UPN ») utilisés dans Microsoft Entra ID avant la synchronisation des utilisateurs.
Nous vous recommandons fortement de conserver l’userPrincipalName de l’attribut par défaut. Si cet attribut ne peut pas être acheminé ni vérifié, vous pouvez sélectionner un autre attribut (par exemple une adresse de messagerie électronique) comme attribut contenant l’ID de connexion. Il s’agit de l’ID secondaire. La valeur de l’attribut ID secondaire doit suivre la norme RFC 822. Vous pouvez utiliser un ID secondaire avec l’authentification unique par mot de passe et avec l’authentification unique de fédération comme solution de connexion.
Notes
L'utilisation d'un ID secondaire n'est pas compatible avec certaines charges de travail Microsoft 365. Pour plus d’informations, consultez Configuration d’un ID secondaire de connexion.
Différents états de domaine personnalisé et leur impact sur l’expérience de connexion Azure
Il est très important de comprendre la relation entre les états de domaine personnalisé dans votre annuaire Microsoft Entra et les suffixes UPN définis en local. Passons en revue les différentes expériences de connexion Azure possibles lorsque vous configurez la synchronisation avec Microsoft Entra Connect.
Pour les informations suivantes, supposons que nous nous intéressons au suffixe UPN contoso.com utilisé dans l’annuaire local dans le nom UPN, par exemple user@contoso.com.
Configuration rapide / Synchronisation de hachage de mot de passe
| State | Effet sur l’expérience de connexion utilisateur Azure |
|---|---|
| Non ajouté | Dans ce cas, aucun domaine personnalisé pour contoso.com n’a été ajouté à l’annuaire Microsoft Entra. Les utilisateurs possédant un UPN local avec le suffixe @contoso.com ne pourront pas utiliser leur UPN local pour se connecter à Azure. Ils devront utiliser un nouvel UPN fourni par Microsoft Entra ID en ajoutant le suffixe de l’annuaire Microsoft Entra par défaut. Par exemple, si vous synchronisez des utilisateurs sur l’annuaire Microsoft Entra azurecontoso.onmicrosoft.com, l’utilisateur local user@contoso.com aura un nom UPN user@azurecontoso.onmicrosoft.com. |
| Non vérifié | Dans ce cas, nous avons un domaine personnalisé contoso.com ajouté à l’annuaire Microsoft Entra. Toutefois, la vérification n’est pas encore effectuée. Si vous poursuivez la synchronisation des utilisateurs sans vérifier le domaine, les utilisateurs se verront attribuer un nouvel UPN Microsoft Entra ID, comme dans le scénario « Non ajouté ». |
| Verified | Dans ce cas, nous avons un domaine personnalisé contoso.com déjà ajouté et vérifié dans Microsoft Entra ID pour le suffixe UPN. Les utilisateurs pourront utiliser leur nom d’utilisateur principal local, par exemple, user@contoso.com, pour se connecter à Azure une fois qu’ils seront synchronisés sur Microsoft Entra ID. |
Fédération AD FS
Vous ne pouvez pas créer de fédération avec le domaine .onmicrosoft.com par défaut dans Microsoft Entra ID ou un domaine personnalisé non vérifié dans Microsoft Entra ID. Lorsque vous exécutez l’Assistant Microsoft Entra Connect, si vous sélectionnez un domaine non vérifié pour créer une fédération, Microsoft Entra Connect vous invitera à créer les enregistrements nécessaires à l’endroit où est hébergé votre DNS pour le domaine. Pour plus d’informations, consultez Vérification du domaine Microsoft Entra sélectionné pour la fédération.
Si vous avez sélectionné l’option de connexion utilisateur Fédération avec AD FS, vous devez disposer d’un domaine personnalisé pour poursuivre la création d’une fédération dans Microsoft Entra ID. Dans notre cas de figure, cela signifie que nous devons disposer d’un domaine personnalisé contoso.com ajouté dans l’annuaire Microsoft Entra.
| State | Effet sur l’expérience de connexion utilisateur Azure |
|---|---|
| Non ajouté | Dans ce cas, Microsoft Entra Connect n’a pas trouvé de domaine personnalisé correspondant au suffixe UPN contoso.com dans l’annuaire Microsoft Entra. Vous devez ajouter un domaine personnalisé contoso.com si vous avez besoin que les utilisateurs se connectent à l’aide d’AD FS avec leur UPN local (par exemple user@contoso.com). |
| Non vérifié | Dans ce cas, Microsoft Entra Connect vous fournira les informations appropriées sur les possibilités de vérification de votre domaine à un stade ultérieur. |
| Verified | Dans ce cas, vous pouvez poursuivre la configuration sans autre action. |
Modification de la méthode de connexion utilisateur
Après la configuration initiale de Microsoft Entra Connect dans l’Assistant, vous pouvez changer la méthode de connexion depuis la fédération, le hachage de mot de passe ou l’authentification pass-through à l’aide des tâches disponibles dans Microsoft Entra Connect. Réexécutez l’Assistant Microsoft Entra Connect. La liste des tâches que vous pouvez effectuer s’affiche. Sélectionnez Modifier la connexion utilisateur dans la liste des tâches.
Sur la page suivante, vous devrez fournir les informations d’identification pour Microsoft Entra ID.
Dans la page Connexion de l’utilisateur, sélectionnez la connexion d’utilisateur souhaitée.
Remarque
Si vous passez à la synchronisation de hachage de mot de passe de façon temporaire, cochez la case Ne pas convertir les comptes utilisateurs. Si vous ne cochez pas l’option, chaque utilisateur devient fédéré, et la conversion peut prendre plusieurs heures.
Étapes suivantes
- En savoir plus sur l'intégration de vos identités sur site avec Microsoft Entra ID.
- En savoir plus sur la synchronisation Microsoft Entra Connect.