Tutoriel : configurer la synchronisation de hachage du mot de passe en tant que sauvegarde pour Azure Directory Federation Services

  • Article

Ce didacticiel vous guide à travers les étapes de configuration de la synchronisation du hachage de mot de passe en tant que sauvegarde et basculement pour Azure Directory Federation Services (AD FS) dans Microsoft Entra Connect. Le tutoriel montre également comment définir la synchronisation de hachage du mot de passe comme méthode d’authentification principale si AD FS échoue ou devient indisponible.

Notes

Bien que ces étapes soient généralement effectuées en cas d’urgence ou de panne, nous vous recommandons de les tester et de vérifier vos procédures avant qu’une panne ne se produise.

Prérequis

Ce didacticiel s’appuie sur Tutoriel : utiliser la fédération pour l’identité hybride dans une seule forêt Active Directory. L’exécution du didacticiel est une condition préalable à l’exécution des étapes décrites dans ce tutoriel.

Remarque

Si vous n'avez pas accès à un serveur Microsoft Entra Connect ou si le serveur n'a pas accès à Internet, vous pouvez contacter le Support Microsoft pour vous aider à modifier l'ID Microsoft Entra.

Activer la synchronisation du hachage du mot de passe dans Microsoft Entra Connect

Dans Didacticiel : Utiliser la fédération pour une identité hybride dans une seule forêt Active Directory, vous avez créé un environnement Microsoft Entra Connect qui utilise la fédération.

Votre première étape dans la configuration de votre sauvegarde pour la fédération consiste à activer la synchronisation du hachage de mot de passe et à configurer Microsoft Entra Connect pour synchroniser les hachages :

  1. Double-cliquez sur l'icône Microsoft Entra Connect créée sur le bureau lors de l'installation.

  2. Sélectionnez Configurer.

  3. Dans Tâches supplémentaires, sélectionnez Personnalisation des options de synchronisation, puis cliquez sur Suivant.

    Screenshot that shows the Additional tasks pane, with Customize synchronization options selected.

  4. Entrez le nom d’utilisateur et le mot de passe du Compte d’administrateur d’identité hybride que vous avez créé dans le didacticiel pour configurer la fédération.

  5. Dans Connecter vos répertoires, sélectionnez Suivant.

  6. Dans Filtrage par domaine ou unité d’organisation, sélectionnez Suivant.

  7. Dans Fonctionnalités facultatives, sélectionnez Synchronisation de hachage du mot de passe, puis cliquez sur Suivant.

    Screenshot that shows the Optional features pane, with Password hash synchronization selected.

  8. Dans Prêt pour la configuration, sélectionnez Configurer.

  9. Une fois la configuration terminée, sélectionnez Quitter.

Et voilà ! Vous avez terminé. La synchronisation de hachage du mot de passe intervient et elle peut être utilisée en tant que sauvegarde si AD FS n’est plus disponible.

Basculer vers la synchronisation de hachage du mot de passe

Important

  • Avant de passer à la synchronisation de hachage du mot de passe, créez une sauvegarde de votre environnement AD FS. Vous pouvez créer une sauvegarde en utilisant l’outil de restauration rapide AD FS.

  • La synchronisation des hachages de mot de passe avec Microsoft Entra ID prend un certain temps. Il peut s’agir d’un maximum de trois heures avant la fin de la synchronisation et vous pouvez commencer à vous authentifier à l’aide des hachages du mot de passe.

Ensuite, basculez vers la synchronisation de hachage du mot de passe. Avant de commencer, réfléchissez aux conditions dans lesquelles vous devez effectuer le basculement. N’effectuez pas le basculement pour des raisons temporaires, par exemple en cas de panne du réseau, de problème mineur lié à AD FS ou de problème qui affecte un sous-ensemble de vos utilisateurs.

Si vous décidez d’effectuer le basculement car la résolution du problème va prendre trop de temps, effectuez les étapes suivantes :

  1. Dans Microsoft Entra Connect, sélectionnez Configurer.
  2. Sélectionnez Modifier la connexion utilisateur, puis sélectionnez Suivant.
  3. Entrez le nom d’utilisateur et le mot de passe du Compte d’administrateur d’identité hybride que vous avez créé dans le didacticiel pour configurer la fédération.
  4. Dans Connexion de l’utilisateur, sélectionnez Synchronisation de hachage du mot de passe, puis cochez la case Ne pas convertir les comptes d’utilisateur .
  5. Vérifiez que l’option par défaut Activer l’authentification unique est bien sélectionnée, puis cliquez sur Suivant.
  6. Dans Activer l’authentification unique, sélectionnez Suivant.
  7. Dans Prêt pour la configuration, sélectionnez Configurer.
  8. Une fois la configuration terminée, sélectionnez Quitter.

Les utilisateurs peuvent désormais utiliser leurs mots de passe pour se connecter à Azure et aux services Azure.

Se connecter avec un compte d’utilisateur pour tester la synchronisation

  1. Dans une nouvelle fenêtre web du navigateur, accédez à https://myapps.microsoft.com.

  2. Connectez-vous avec un compte d’utilisateur créé dans votre nouveau locataire.

    Pour le nom d’utilisateur, utilisez le format user@domain.onmicrosoft.com. Utilisez le même mot de passe que celui utilisé par l’utilisateur pour se connecter à Active Directory local.

    Screenshot that shows a successful message when testing the sign-in.

Revenir à la fédération

Revenez maintenant à la fédération :

  1. Dans Microsoft Entra Connect, sélectionnez Configurer.

  2. Sélectionnez Modifier la connexion utilisateur, puis sélectionnez Suivant.

  3. Entrez le nom d’utilisateur et le mot de passe de votre compte d’Administrateur d’identité hybride.

  4. Dans Connexion de l’utilisateur, sélectionnez Fédération avec AD FS, puis sélectionnez Suivant.

  5. Dans Informations d’identification de l’administrateur de domaine, saisissez le nom d’utilisateur et le mot de passe contoso\Administrator, puis sélectionnez Suivant.

  6. Dans la Batterie de serveurs AD FS, sélectionnez Suivant.

  7. Dans le domaine Microsoft Entra, sélectionnez le domaine et sélectionnez Suivant.

  8. Dans Prêt pour la configuration, sélectionnez Configurer.

  9. Une fois la configuration terminée, sélectionnez Suivant.

    Screenshot that shows the Configuration complete pane.

  10. Dans Vérifier la connectivité de fédération, sélectionnez Vérifier. Vous devrez peut-être configurer des enregistrements DNS (ajouter des enregistrements A et AAAA) pour que cette vérification se termine correctement.

    Screenshot that shows the Verify federation connectivity dialog and the Verify button.

  11. Sélectionnez Quitter.

Réinitialiser la confiance entre AD FS et Azure

La tâche finale consiste à réinitialiser la confiance entre AD FS et Azure :

  1. Dans Microsoft Entra Connect, sélectionnez Configurer.

  2. Sélectionnez Gérer la fédération, puis Suivant.

  3. Sélectionnez Réinitialiser la confiance Microsoft Entra ID, puis sélectionnez Suivant.

    Screenshot that shows the Manage federation pane, with Reset Microsoft Entra ID selected.

  4. Dans Se connecter à Microsoft Entra ID, saisissez le nom d'utilisateur et le mot de passe de votre compte Administrateur global ou de votre compte Administrateur d'identité hybride.

  5. Dans Se connecter à AD FS, saisissez le nom d’utilisateur et le mot de passe contoso\Administrator, puis sélectionnez Suivant.

  6. Dans Certificats, sélectionnez Suivant.

  7. Répétez les étapes décrites dans Se connecter avec un compte d’utilisateur pour tester la synchronisation.

Vous avez configuré un environnement d’identité hybride que vous pouvez utiliser à des fins de test et pour vous familiariser avec les fonctionnalités offertes par Azure.

Étapes suivantes