Authentification unique avec les déploiements hybridesSingle sign-on with hybrid deployments

L'authentification unique permet aux utilisateurs d'accéder à la fois à l'organisation locale et à l'organisation Office 365 avec un nom d'utilisateur et un mot de passe uniques. Elle offre aux utilisateurs une expérience d'authentification familière et permet aux administrateurs de contrôler facilement les stratégies de compte pour les boîtes aux lettres de l'organisation Exchange Online à l'aide des outils de gestion Active Directory locaux. Bien que vous ne soyez pas obligé de configurer un déploiement hybride avec l'authentification unique activée, nous vous recommandons vivement de le faire. Sans l'authentification unique, les utilisateurs doivent se souvenir de deux ensembles d'informations d'identification, un pour votre organisation locale et un pour Office 365. L'authentification unique présente d'autres avantages :Single sign-on enables users to access both the on-premises and Office 365 organizations with a single user name and password. It provides users with a familiar sign-on experience and can allow administrators to easily control account policies for Exchange Online organization mailboxes by using on-premises Active Directory management tools. While you don't have to configure a hybrid deployment with single sign-on enabled, we strongly recommend that you do. Without single sign-on, users will need to remember two different sets of credentials, one for your on-premises organization, and one for Office 365. Here are a few other advantages to single sign-on:

  • Archivage Exchange Online Lorsque l'authentification unique est déployée, les utilisateurs Outlook locaux sont invités à saisir leurs informations d'identification quand ils accèdent au contenu archivé de l'organisation Exchange Online pour la première fois. Un utilisateur peut temporairement éviter les futures invites de saisie des informations d'identification en choisissant « Enregistrer le mot de passe ». Toutefois, il devra à nouveau saisir ces informations si son mot de passe de compte local est modifié. Si l'authentification unique n'est pas déployée dans des organisations Exchange et que l'archivage Exchange Online est activé, le nom d'utilisateur principal (UPN) local doit correspondre au compte Exchange Online et les utilisateurs seront toujours invités à indiquer leurs informations d'identification locales lors de l'accès à leur archive.Exchange Online Archiving When single sign-on is deployed, on-premises Outlook users are prompted for their credentials when accessing archived content in the Exchange Online organization for the first time. However, users can then temporarily avoid future credential prompting by choosing "save password" and then will only be prompted for credentials again when their on-premises account password is changed. If single sign-on isn't deployed in Exchange organizations and Exchange Online Archiving is enabled, the on-premises user principal name (UPN) must match their Exchange Online account and users will always be prompted for their on-premises credentials when accessing their archive.

  • Contrôle de stratégies Vous pouvez contrôler les stratégies de compte via Active Directory, ce qui lui donne la possibilité de gérer des stratégies de mot de passe, des restrictions de station de travail, des contrôles de verrouillage, et bien plus encore, sans avoir à effectuer de tâches supplémentaires dans votre organisation Office 365.Policy control You can control account policies through Active Directory, which gives you the ability to manage password policies, workstation restrictions, lock-out controls, and more, without having to perform additional tasks in your Office 365 organization.

  • Nombre réduit d'appels au support technique L'oubli de mot de passe est une source courante d'appels au support technique dans toutes les sociétés. Si les utilisateurs ont moins de mots de passe à mémoriser, ils seront moins susceptibles de les oublier.Reduced support calls Forgotten passwords are a common source of support calls in all companies. If users have fewer passwords to remember, they are less likely to forget them.

Vous disposez de deux options lors du déploiement de l'authentification unique : la synchronisation de mot de passe et les services AD FS (Active Directory Federation Services). Les deux options sont fournies par Azure Active Directory Connect. Nous vous recommandons vivement d'utiliser la méthode de synchronisation de mot de passe, sauf si vous devez spécifiquement utiliser AD FS. La synchronisation de mot de passe fournit en grande partie les mêmes avantages qu'AD FS, mais avec un déploiement moins complexe. Le tableau suivant répertorie quelques avantages et inconvénients courants pour chaque option.You have a couple of options when deploying single sign-on: password synchronization and Active Directory Federation Services (AD FS). Both options are provided by Azure Active Directory Connect. We strongly recommend using the password synchronization method unless you have a specific need that requires AD FS. Password synchronization provides many of the same benefits of AD FS without the complexity of its deployment. The following table provides some common advantages and disadvantages for each option.

Note

Par défaut, si vous déployez AD FS et que vos serveurs AD FS locaux ne sont pas accessibles à partir d'Internet pour quelque raison que ce soit, Office 365 revient à la synchronisation de mot de passe pour authentifier les utilisateurs. Cela permet aux utilisateurs disposant de boîtes aux lettres Office 365 de poursuivre leur travail sans interruption, même si vos serveurs locaux ne sont pas disponibles.By default, if you deploy AD FS and your on-premises AD FS servers aren't reachable from the Internet for any reason, Office 365 will fall back to password synchronization to authenticate users. This allows users with Office 365 mailboxes to continue working uninterrupted even if your on-premises servers aren't available.

Pour plus d’informations sur chaque option, voir options Azure AD utilisateur de se connecter Sign-on.To learn more about each option, see Azure AD Connect User Sign-on options.

| |

Méthode d'authentification uniqueSingle sign-on method AvantagesAdvantages InconvénientsDisadvantages
Synchronisation de mot de passe (recommandé)Password synchronization (recommended)
Beaucoup moins complexe qu'AD FSSignificantly less complex than AD FS
Les utilisateurs peuvent se connecter à Office 365 même si votre système Active Directory local n'est pas disponible.Users can log in to Office 365 even if your on-premises Active Directory is unavailable.
Moins de serveurs supplémentaires sont requis pour déployer la synchronisation de mot de passe.Fewer additional servers are required to deploy password synchronization.
Aucun certificat tiers n'est nécessaire.No third-party certificates are required.
L'accès externe à votre serveur Active Directory local via AD FS n'est pas requis.Doesn't require external access to your on-premises Active Directory via AD FS.
Le déploiement peut souvent être effectué en quelques heures seulement.Deployment can often be completed in just a few hours.
La désactivation d’un compte utilisateur dans votre système Active Directory local ne le désactive pas dans Office 365. Vous devez désactiver manuellement le compte dans le portail d’administration Office 365.Disabling a user account in your on-premises Active Directory doesn't disable it in Office 365. You need to manually disable the account in the Office 365 Admin portal.
Un système Active Directory local est exigé. Les autres services d’annuaire ne sont pas pris en charge.Requires on-premises Active Directory. Other directory services aren't supported.
AD FSAD FS
Les modifications de mot de passe sont immédiates.Password changes are immediate.
La désactivation d'un utilisateur dans votre système Active Directory local désactive son accès au réseau local et son compte Office 365.Disabling a user in your on-premises Active Directory disables both their on-premises network access and their Office 365 account.
Prise en charge des services d'annuaire autres qu'Active Directory.Supports directory services other than Active Directory.
Prise en charge d'une grande variété de déploiements, ainsi que de ceux très volumineux.Supports very large and diverse deployments.
Prise en charge de l'authentification à deux facteurs.Support for two-factor authentication.
Davantage de serveurs requis, sachant qu'au moins l'un d'entre eux doit se trouver sur votre réseau de périmètre.Requires more servers, at least one of which needs to reside in your perimeter network.
L'adresse IP publique et le port TCP 443 doivent être ouverts sur votre pare-feu.Requires a public IP address and TCP port 443 to be opened on your firewall.
La connectivité avec votre système Active Directory local est requise pour détecter les modifications apportées aux mots de passe de compte avec un compte récemment activé ou désactivé.Connectivity with your on-premises Active Directory is required to detect changes to account passwords and with an account has recently been enabled or disabled.