Authentification directe Azure Active Directory : Démarrage rapideAzure Active Directory Pass-through Authentication: Quickstart

Déployer l’authentification directe Azure ADDeploy Azure AD Pass-through Authentication

L’authentification directe Azure Active Directory (Azure AD) permet à vos utilisateurs de se connecter aux applications sur site et aux applications cloud à l’aide des mêmes mots de passe.Azure Active Directory (Azure AD) Pass-through Authentication allows your users to sign in to both on-premises and cloud-based applications by using the same passwords. L'authentification directe connecte les utilisateurs en validant leurs mots de passe directement par rapport à l'annuaire Active Directory sur site.Pass-through Authentication signs users in by validating their passwords directly against on-premises Active Directory.

Importante

Si vous procédez à une migration depuis AD FS (ou d’autres technologies de fédération) vers l’authentification directe, nous vous recommandons vivement de vous référer à notre guide de déploiement détaillé, publié ici.If you are migrating from AD FS (or other federation technologies) to Pass-through Authentication, we highly recommend that you follow our detailed deployment guide published here.

Nota

Si vous déployez l’authentification directe avec le cloud Azure Government, consultez Considérations sur les identités hybrides pour Azure Government.If you deploying Pass Through Authentication with the Azure Government cloud, view Hybrid Identity Considerations for Azure Government.

Suivez ces instructions pour déployer l’authentification directe sur votre locataire :Follow these instructions to deploy Pass-through Authentication on your tenant:

Étape 1 : Vérifier les prérequisStep 1: Check the prerequisites

Vérifiez que les prérequis suivants sont remplis.Ensure that the following prerequisites are in place.

Importante

Du point de vue de la sécurité, les administrateurs doivent traiter le serveur exécutant l’agent PTA comme s’il s’agissait d’un contrôleur de domaine.From a security standpoint, administrators should treat the server running the PTA agent as if it were a domain controller. Les serveurs d’agent PTA doivent être renforcés de la même manière que décrit dans Sécurisation des contrôleurs de domaine contre les attaquesThe PTA agent servers should be hardened along the same lines as outlined in Securing Domain Controllers Against Attack

Dans le Centre d’administration Azure Active DirectoryIn the Azure Active Directory admin center

  1. Créez un compte d’administrateur général « cloud uniquement » dans votre locataire Azure AD.Create a cloud-only global administrator account on your Azure AD tenant. De cette façon, vous pouvez gérer la configuration de votre locataire si vos services locaux venaient à échouer ou ne plus être disponibles.This way, you can manage the configuration of your tenant should your on-premises services fail or become unavailable. Découvrez comment ajouter un compte d’administrateur général de type cloud uniquement.Learn about adding a cloud-only global administrator account. Cette étape est essentielle si vous voulez éviter de vous retrouver en dehors de votre locataire.Completing this step is critical to ensure that you don't get locked out of your tenant.
  2. Ajoutez un ou plusieurs noms de domaine personnalisés à votre locataire Azure AD.Add one or more custom domain names to your Azure AD tenant. Vos utilisateurs peuvent se connecter à l’aide de l’un de ces noms de domaine.Your users can sign in with one of these domain names.

Dans votre environnement localIn your on-premises environment

  1. Identifiez un serveur Windows Server 2012 R2 ou ultérieur sur lequel exécuter Azure AD Connect.Identify a server running Windows Server 2012 R2 or later to run Azure AD Connect. Le cas échéant, activez TLS 1.2 sur le serveur.If not enabled already, enable TLS 1.2 on the server. Ajoutez ce serveur à la même forêt Active Directory que celle des utilisateurs dont vous devez valider les mots de passe.Add the server to the same Active Directory forest as the users whose passwords you need to validate. Notez que l’installation de l’agent d’authentification directe sur les versions Windows Server Core n’est pas prise en charge.It should be noted that installation of Pass-Through Authentication agent on Windows Server Core versions is not supported.

  2. Installez la version la plus récente d’Azure AD Connect sur le serveur identifié à l’étape précédente.Install the latest version of Azure AD Connect on the server identified in the preceding step. Si vous exécutez déjà Azure AD Connect, vérifiez qu’il s’agit de la version 1.1.750.0 ou d’une version ultérieure.If you already have Azure AD Connect running, ensure that the version is 1.1.750.0 or later.

    Nota

    Les versions 1.1.557.0, 1.1.558.0, 1.1.561.0 et 1.1.614.0 d’Azure AD Connect comportent un problème lié à la synchronisation de hachage de mot de passe.Azure AD Connect versions 1.1.557.0, 1.1.558.0, 1.1.561.0, and 1.1.614.0 have a problem related to password hash synchronization. Si vous ne prévoyez pas d’utiliser la synchronisation de hachage de mot de passe en même temps que l’authentification directe, lisez les Notes de publication Azure AD Connect.If you don't intend to use password hash synchronization in conjunction with Pass-through Authentication, read the Azure AD Connect release notes.

  3. Identifiez un ou plusieurs serveurs supplémentaires (exécutant Windows Server 2012 R2 ou version ultérieure, avec TLS 1.2 activé) sur lesquels vous pouvez exécuter des agents d’authentification autonomes.Identify one or more additional servers (running Windows Server 2012 R2 or later, with TLS 1.2 enabled) where you can run standalone Authentication Agents. Ces serveurs supplémentaires sont nécessaires pour garantir une haute disponibilité des requêtes de connexion.These additional servers are needed to ensure the high availability of requests to sign in. Ajoutez ces serveurs à la même forêt Active Directory que celle des utilisateurs dont vous devez valider les mots de passe.Add the servers to the same Active Directory forest as the users whose passwords you need to validate.

    Importante

    Dans les environnements de production, nous vous recommandons l’utilisation d’au moins 3 agents d’authentification s’exécutant sur votre locataire.In production environments, we recommend that you have a minimum of 3 Authentication Agents running on your tenant. Il existe une limite système de 40 agents d’authentification par client.There is a system limit of 40 Authentication Agents per tenant. En tant que bonne pratique, traitez tous les serveurs exécutant des agents d’authentification comme des systèmes de niveau 0 (voir référence).And as best practice, treat all servers running Authentication Agents as Tier 0 systems (see reference).

  4. S’il existe un pare-feu entre vos serveurs et Azure AD, configurez les éléments suivants :If there is a firewall between your servers and Azure AD, configure the following items:

    • Assurez-vous que les agents d’authentification peuvent effectuer des requêtes sortantes vers Azure AD sur les ports suivants :Ensure that Authentication Agents can make outbound requests to Azure AD over the following ports:

      Numéro de portPort number UtilisationHow it's used
      8080 Télécharge les listes de révocation de certificats lors de la validation du certificat TLS/SSLDownloads the certificate revocation lists (CRLs) while validating the TLS/SSL certificate
      443443 Gère toutes les communications sortantes avec le serviceHandles all outbound communication with the service
      8080 (facultatif)8080 (optional) Les agents d’authentification signalent leur état toutes les dix minutes sur le port 8080 (si le port 443 n’est pas disponible).Authentication Agents report their status every ten minutes over port 8080, if port 443 is unavailable. Cet état est affiché sur le portail Azure AD.This status is displayed on the Azure AD portal. Le port 8080 n’est pas utilisé pour les connexions utilisateur.Port 8080 is not used for user sign-ins.

      Si votre pare-feu applique les règles en fonction des utilisateurs d’origine, ouvrez ces ports au trafic provenant des services Windows exécutés en tant que service réseau.If your firewall enforces rules according to the originating users, open these ports for traffic from Windows services that run as a network service.

    • Si votre pare-feu ou proxy vous permet d’ajouter des entrées DNS à une liste d’autorisation, ajoutez des connexions à *.msappproxy.net et *.servicebus.windows.net.If your firewall or proxy lets you add DNS entries to an allowlist, add connections to *.msappproxy.net and *.servicebus.windows.net. Dans le cas contraire, autorisez l’accès aux plages d’adresses IP du centre de données Azure, qui sont mises à jour chaque semaine.If not, allow access to the Azure datacenter IP ranges, which are updated weekly.

    • Vos agents d’authentification doivent accéder à login.windows.net et à login.microsoftonline.net pour l’inscription initiale.Your Authentication Agents need access to login.windows.net and login.microsoftonline.com for initial registration. Par conséquent, ouvrez également votre pare-feu pour ces URL.Open your firewall for those URLs as well.

    • Pour la validation des certificats, débloquez les URL suivantes : crl3.digicert.com:80, crl4.digicert.com:80, ocsp.digicert.com:80, www.d-trust.net:80, root-c3-ca2-2009.ocsp.d-trust.net:80, crl.microsoft.com:80, oneocsp.microsoft.com:80 et ocsp.msocsp.com:80.For certificate validation, unblock the following URLs: crl3.digicert.com:80, crl4.digicert.com:80, ocsp.digicert.com:80, www.d-trust.net:80, root-c3-ca2-2009.ocsp.d-trust.net:80, crl.microsoft.com:80, oneocsp.microsoft.com:80, and ocsp.msocsp.com:80. Ces URL étant utilisées pour la validation de certificat avec d’autres produits Microsoft, elles sont peut-être déjà débloquées.Since these URLs are used for certificate validation with other Microsoft products you may already have these URLs unblocked.

Cloud Azure Government - PrérequisAzure Government cloud prerequisite

Avant d'activer l'authentification directe via Azure AD Connect à l'étape 2, téléchargez la dernière version de l'agent PTA à partir du portail Azure.Prior to enabling Pass-through Authentication through Azure AD Connect with Step 2, download the latest release of the PTA agent from the Azure portal. Vous devez vous assurer que vous disposez de la version 1.5.1742.0.You need to ensure that your agent is versions 1.5.1742.0. ou version ultérieure.or later. Pour vérifier votre agent, consultez Mettre à niveau les agents d'authentification.To verify your agent see Upgrade authentication agents

Après avoir téléchargé la dernière version de l'agent, suivez les instructions ci-dessous pour configurer l'authentification directe via Azure AD Connect.After downloading the latest release of the agent, proceed with the below instructions to configure Pass-Through Authentication through Azure AD Connect.

Étape 2 : Activer la fonctionnalitéStep 2: Enable the feature

Activez l’authentification directe via Azure AD Connect.Enable Pass-through Authentication through Azure AD Connect.

Importante

Vous pouvez activer l’authentification directe sur le serveur principal ou sur un serveur intermédiaire Azure AD Connect.You can enable Pass-through Authentication on the Azure AD Connect primary or staging server. Nous vous recommandons vivement de l’activer à partir du serveur principal.It is highly recommended that you enable it from the primary server. Si vous installez un serveur intermédiaire Azure AD Connect plus tard, vous devez continuer à choisir l’authentification directe comme option de connexion. Le choix d’une autre option désactivera l’authentification directe sur le client et remplacera le paramètre dans le serveur principal.If you are setting up an Azure AD Connect staging server in the future, you must continue to choose Pass-through Authentication as the sign-in option; choosing another option will disable Pass-through Authentication on the tenant and override the setting in the primary server.

Si vous installez Azure AD Connect pour la première fois, choisissez le chemin d’installation personnalisé.If you're installing Azure AD Connect for the first time, choose the custom installation path. Dans la page Connexion utilisateur, choisissez Authentification directe comme méthode d’authentification.At the User sign-in page, choose Pass-through Authentication as the Sign On method. Si l’opération réussit, un agent d’authentification directe est installé sur le même serveur qu’Azure AD Connect.On successful completion, a Pass-through Authentication Agent is installed on the same server as Azure AD Connect. La fonctionnalité d’authentification directe est également activée sur votre locataire.In addition, the Pass-through Authentication feature is enabled on your tenant.

Azure AD Connect : Connexion de l’utilisateur

Si vous avez déjà installé Azure AD Connect à l’aide du chemin d’installation rapide ou d’installation personnalisée, sélectionnez la tâche Modifier la connexion utilisateur dans Azure AD Connect, puis cliquez sur Suivant.If you have already installed Azure AD Connect by using the express installation or the custom installation path, select the Change user sign-in task on Azure AD Connect, and then select Next. Ensuite, sélectionnez Authentification directe comme mode d’authentification.Then select Pass-through Authentication as the sign-in method. Si l’opération réussit, un agent d’authentification directe est installé sur le même serveur qu’Azure AD Connect et la fonctionnalité est activée sur votre locataire.On successful completion, a Pass-through Authentication Agent is installed on the same server as Azure AD Connect and the feature is enabled on your tenant.

Azure AD Connect : Modifier la connexion de l’utilisateur

Importante

L’authentification directe est une fonctionnalité au niveau du locataire.Pass-through Authentication is a tenant-level feature. Son activation affecte la connexion des utilisateurs dans tous les domaines gérés dans votre locataire.Turning it on affects the sign-in for users across all the managed domains in your tenant. Si vous passez d'Active Directory Federation Services (ADFS) à l'authentification directe, vous devez attendre au moins 12 heures avant de fermer votre infrastructure AD FS.If you're switching from Active Directory Federation Services (AD FS) to Pass-through Authentication, you should wait at least 12 hours before shutting down your AD FS infrastructure. Ce délai d'attente permet aux utilisateurs de continuer à se connecter à Exchange ActiveSync pendant la transition.This wait time is to ensure that users can keep signing in to Exchange ActiveSync during the transition. Pour obtenir plus d’informations sur la migration d’AD FS vers l’authentification directe, consultez notre plan de déploiement détaillé publié ici.For more help on migrating from AD FS to Pass-through Authentication, check out our detailed deployment plan published here.

Étape 3 : Tester la fonctionnalitéStep 3: Test the feature

Suivez ces instructions pour vérifier que vous avez activé correctement l’authentification directe :Follow these instructions to verify that you have enabled Pass-through Authentication correctly:

  1. Connectez-vous au Centre d’administration Azure Active Directory à l’aide des informations d’identification d’administrateur général de votre locataire.Sign in to the Azure Active Directory admin center with the global administrator credentials for your tenant.
  2. Sélectionnez Active Directory dans le volet de gauche.Select Azure Active Directory in the left pane.
  3. Sélectionnez ensuite Azure AD Connect.Select Azure AD Connect.
  4. Vérifiez que la fonctionnalité Authentification directe est activée.Verify that the Pass-through authentication feature appears as Enabled.
  5. Sélectionnez Authentification directe.Select Pass-through authentication. Le volet Authentification directe répertorie les serveurs sur lesquels vos agents d’authentification sont installés.The Pass-through authentication pane lists the servers where your Authentication Agents are installed.

Centre d'administration Azure Active Directory : Volet Azure AD Connect

Centre d'administration Azure Active Directory : Volet Authentification directe

À ce stade, les utilisateurs de tous les domaines gérés de votre locataire peuvent se connecter à l’aide de l’authentification directe.At this stage, users from all the managed domains in your tenant can sign in by using Pass-through Authentication. Toutefois, les utilisateurs des domaines fédérés continuent à se connecter à l’aide d'AD FS ou d’un autre fournisseur de fédération précédemment configuré.However, users from federated domains continue to sign in by using AD FS or another federation provider that you have previously configured. Si vous convertissez un domaine fédéré en domaine géré, tous les utilisateurs de ce domaine se connectent alors automatiquement à l’aide de l’authentification directe.If you convert a domain from federated to managed, all users from that domain automatically start signing in by using Pass-through Authentication. La fonctionnalité Authentification directe n’a pas d’incidence sur les utilisateurs cloud uniquement.The Pass-through Authentication feature does not affect cloud-only users.

Étape 4 : Garantir une haute disponibilitéStep 4: Ensure high availability

Si vous envisagez de déployer l’authentification directe dans un environnement de production, vous devez installer des agents d’authentification autonomes supplémentaires.If you plan to deploy Pass-through Authentication in a production environment, you should install additional standalone Authentication Agents. Installez ces agents d’authentification sur des serveurs autres que celui qui exécute Azure AD Connect.Install these Authentication Agent(s) on server(s) other than the one running Azure AD Connect. Cette configuration fournit une haute disponibilité pour les requêtes de connexion des utilisateurs.This setup provides you with high availability for user sign-in requests.

Importante

Dans les environnements de production, nous vous recommandons l’utilisation d’au moins 3 agents d’authentification s’exécutant sur votre locataire.In production environments, we recommend that you have a minimum of 3 Authentication Agents running on your tenant. Il existe une limite système de 40 agents d’authentification par client.There is a system limit of 40 Authentication Agents per tenant. En tant que bonne pratique, traitez tous les serveurs exécutant des agents d’authentification comme des systèmes de niveau 0 (voir référence).And as best practice, treat all servers running Authentication Agents as Tier 0 systems (see reference).

L’installation de plusieurs agents d’authentification directe assure une haute disponibilité, mais pas d’équilibrage de charge entre les agents d’authentification.Installing multiple Pass-through Authentication Agents ensures high availability, but not deterministic load balancing between the Authentication Agents. Pour savoir combien d’agents d’authentification sont nécessaires pour votre client, tenez compte des pics et de la charge moyenne des demandes de connexion que vous attendez sur votre client.To determine how many Authentication Agents you need for your tenant, consider the peak and average load of sign-in requests that you expect to see on your tenant. À titre de référence, un seul agent d’authentification peut gérer entre 300 et 400 authentifications par seconde sur un serveur doté d’un CPU à 4 cœurs et de 16 Go de RAM.As a benchmark, a single Authentication Agent can handle 300 to 400 authentications per second on a standard 4-core CPU, 16-GB RAM server.

Pour estimer le trafic réseau, suivez les instructions de dimensionnement suivantes :To estimate network traffic, use the following sizing guidance:

  • La taille de la charge utile de chaque requête est de (0,5 K + 1 K x num_of_agents) octets. Cela correspond aux données envoyées entre Azure AD et l'agent d'authentification.Each request has a payload size of (0.5K + 1K * num_of_agents) bytes, that is, data from Azure AD to the Authentication Agent. Ici, « num_of_agents » indique le nombre d’agents d’authentification inscrit sur votre abonné.Here, "num_of_agents" indicates the number of Authentication Agents registered on your tenant.
  • La taille de la charge utile de chaque réponse est de 1 kilooctet. Cela correspond aux données envoyées entre l'agent d'authentification et Azure AD.Each response has a payload size of 1K bytes, that is, data from the Authentication Agent to Azure AD.

Pour la plupart des clients, trois agents d’authentification au total suffisent à offrir la haute disponibilité et suffisamment de capacité.For most customers, three Authentication Agents in total are sufficient for high availability and capacity. Vous devriez installer des agents d’authentification près de vos contrôleurs de domaine pour améliorer la latence de connexion.You should install Authentication Agents close to your domain controllers to improve sign-in latency.

Pour commencer, suivez ces instructions pour télécharger l’agent d’authentification :To begin, follow these instructions to download the Authentication Agent software:

  1. Pour télécharger la dernière version de l’agent d’authentification (version 1.5.193.0 ou ultérieure), connectez-vous au Centre d’administration Azure Active Directory avec les droits d’administrateur général de votre locataire.To download the latest version of the Authentication Agent (version 1.5.193.0 or later), sign in to the Azure Active Directory admin center with your tenant's global administrator credentials.
  2. Sélectionnez Active Directory dans le volet de gauche.Select Azure Active Directory in the left pane.
  3. Sélectionnez Azure AD Connect, Authentification directe, puis Télécharger l'agent.Select Azure AD Connect, select Pass-through authentication, and then select Download Agent.
  4. Cliquez sur le bouton Accepter les conditions et télécharger.Select the Accept terms & download button.

Centre d'administration Azure Active Directory : Bouton de téléchargement de l'Agent d'authentification

Centre d'administration Azure Active Directory : Volet Télécharger l'Agent

Nota

Vous pouvez aussi directement télécharger le logiciel de l’agent d’authentification.You can also directly download the Authentication Agent software. Passez en revue et acceptez les conditions de service de l’agent d’authentification avant de l’installer.Review and accept the Authentication Agent's Terms of Service before installing it.

Il existe deux méthodes pour déployer un agent d’authentification autonome :There are two ways to deploy a standalone Authentication Agent:

Tout d’abord, vous pouvez le faire interactivement en exécutant le fichier exécutable de l’agent d’authentification téléchargé et en fournissant les informations d’identification d’administrateur général de votre locataire lorsque vous y êtes invité.First, you can do it interactively by just running the downloaded Authentication Agent executable and providing your tenant's global administrator credentials when prompted.

La deuxième solution consiste à créer et à exécuter un script de déploiement sans assistance.Second, you can create and run an unattended deployment script. C’est utile lorsque vous souhaitez déployer plusieurs agents d’authentification à la fois, ou installer des agents d’authentification sur des serveurs Windows qui ne disposent pas d’une interface utilisateur, ou auxquels vous ne pouvez pas accéder avec le Bureau à distance.This is useful when you want to deploy multiple Authentication Agents at once, or install Authentication Agents on Windows servers that don't have user interface enabled, or that you can't access with Remote Desktop. Voici des instructions pour utiliser cette méthode :Here are the instructions on how to use this approach:

  1. Exécutez la commande suivante pour installer un agent d’authentification : AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q.Run the following command to install an Authentication Agent: AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q.
  2. Vous pouvez inscrire l’agent d’authentification auprès de notre service à l’aide de Windows PowerShell.You can register the Authentication Agent with our service using Windows PowerShell. Créez un objet d’informations d’identification PowerShell $cred qui contient un nom d’utilisateur et un mot de passe d’administrateur général pour votre locataire.Create a PowerShell Credentials object $cred that contains a global administrator username and password for your tenant. Exécutez la commande suivante, en remplaçant <username> et <password> :Run the following command, replacing <username> and <password>:
$User = "<username>"
$PlainPassword = '<password>'
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
$cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, $SecurePassword
  1. Accédez à C:\Program Files\Microsoft Azure AD Connect Authentication Agent et exécutez le script suivant en utilisant l’objet $cred que vous venez de créer :Go to C:\Program Files\Microsoft Azure AD Connect Authentication Agent and run the following script using the $cred object that you created:
RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -moduleName "PassthroughAuthPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature PassthroughAuthentication

Importante

Si un agent d’authentification est installé sur une machine virtuelle, vous ne pouvez pas cloner cette machine virtuelle pour installer un autre agent d’authentification.If an Authentication Agent is installed on a Virtual Machine, you can't clone the Virtual Machine to setup another Authentication Agent. Cette méthode n’est pas prise en charge.This method is unsupported.

Étape 5 : Configurer la fonctionnalité de verrouillage intelligentStep 5: Configure Smart Lockout capability

Le verrouillage intelligent empêche les personnes malveillantes de deviner vos mots de passe ou d’utiliser des méthodes de force brute pour rentrer dans vos systèmes.Smart Lockout assists in locking out bad actors who are trying to guess your users’ passwords or using brute-force methods to get in. En configurant les paramètres de verrouillage intelligent dans Azure AD et/ou les paramètres de verrouillage appropriés dans l’Active Directory local, les attaques peuvent être filtrées avant qu’elles n’atteignent Active Directory.By configuring Smart Lockout settings in Azure AD and / or appropriate lockout settings in on-premises Active Directory, attacks can be filtered out before they reach Active Directory. Lisez cet article pour en savoir plus sur la configuration des paramètres de verrouillage intelligent sur votre locataire pour protéger vos comptes d’utilisateur.Read this article to learn more on how to configure Smart Lockout settings on your tenant to protect your user accounts.

Étapes suivantesNext steps