Nouveautés des services de fédération Active Directory (AD FS)What's new in Active Directory Federation Services

Quelles sont les nouveautés dans Active Directory Federation Services pour Windows Server 2019What's new in Active Directory Federation Services for Windows Server 2019

Connexions d’accès protégéesProtected Logins

Voici un bref résumé des mises à jour des connexions protégées disponibles dans AD FS 2019 :The following is a brief summary of updates to protected logins available in AD FS 2019:

  • Fournisseurs d’authentification externe en tant que principal -les clients peuvent désormais utiliser 3e produits d’authentification tiers en tant que le premier facteur et expose pas les mots de passe en tant que le premier facteur.External Auth Providers as Primary - Customers can now use 3rd party authentication products as the first factor and not expose passwords as the first factor. Dans les cas où un fournisseur d’authentification externe peut s’avérer à 2 facteurs, il peut réclamer MFA.In the cases where an external auth provider can prove 2 factors it can claim MFA.
  • Authentification de mot de passe comme authentification supplémentaire -les clients ont une option entièrement prise en charge de boîte de réception à utiliser le mot de passe uniquement pour les facteurs supplémentaires après un mot de passe moins option est utilisée en tant que le premier facteur.Password Authentication as additional Authentication - Customers have a fully supported inbox option to use password only for the additional factor after a password less option is used as the first factor. Cela améliore l’expérience du client à partir de 2016 ADFS où les clients devaient télécharger une carte de github, qui est prise en charge est.This improves the customer experience from ADFS 2016 where customers had to download a github adapter which is supported as is.
  • Module d’évaluation des risques enfichables -clients peuvent désormais créer leur propres plug-in modules pour bloquer certains types de demandes au cours de l’étape de pré-authentification.Pluggable Risk Assessment Module - Customers can now build their own plug in modules to block certain types of requests during pre-authentication stage. Cela rend plus facile pour les clients à utiliser l’intelligence cloud telles que la protection d’identité pour bloquer les connexions pour les utilisateurs à risque ou les transactions à risque.This makes it easier for customers to use cloud intelligence such as Identity protection to block logins for risky users or risky transactions. Pour plus d’informations, consultez Plug-ins avec un modèle d’évaluation AD FS 2019 risque de générerFor more information see Build Plug-ins with AD FS 2019 Risk Assessment Model
  • Améliorations de ESL -améliore le correctif QFE ESL dans 2016 en ajoutant les fonctionnalités suivantesESL improvements - Improves on the ESL QFE in 2016 by adding the following capabilities
    • Permet aux clients d’être en mode audit tout protégées par la fonctionnalité de verrouillage extranet « classiques » disponible à partir de 2012 R2 AD FS.Enables customers to be in audit mode while being protected by 'classic' extranet lockout functionality available since ADFS 2012R2. Actuellement, les clients 2016 n’aurait aucune protection en mode audit.Currently 2016 customers would have no protection while in audit mode.
    • Permet le seuil de verrouillage indépendants pour les emplacements connus.Enables independent lockout threshold for familiar locations. Cela rend possible pour plusieurs instances d’applications en cours d’exécution avec un compte de service courants de mots de passe avec le moins d’impact.This makes it possible for multiple instances of apps running with a common service account to roll over passwords with the least amount of impact.

Améliorations de sécurité supplémentairesAdditional security improvements

Les améliorations de sécurité supplémentaires suivantes sont disponibles dans AD FS 2019 :The following additional security improvements are available in AD FS 2019:

  • À distance PSH à l’aide de la connexion de la carte à puce : les clients peuvent désormais utiliser cartes à puce à distance se connecter à AD FS via PSH et utilisation que pour gérer tous les PSH les fonctions inclut des applets de commande PSH plusieurs nœuds.Remote PSH using SmartCard Login - Customers can now use smartcards to remote connect to ADFS via PSH and use that to manage all PSH functions include multi-node PSH cmdlets.
  • Personnalisation de l’en-tête HTTP -les clients peuvent maintenant personnaliser des en-têtes HTTP émis au cours des réponses d’ADFS.HTTP Header customization - Customers can now customize HTTP headers emitted during ADFS responses. Cela inclut les en-têtes suivantsThis includes the following headers
    • HSTS : Pour indiquer que les points de terminaison ADFS utilisable uniquement sur les points de terminaison HTTPS pour un navigateur compatible à appliquerHSTS: This conveys that ADFS endpoints can only be used on HTTPS endpoints for a compliant browser to enforce
    • x-frame-options : Autorise les administrateurs d’ADFS autoriser les parties de confiance spécifiques incorporer des iFrames pour les pages de connexion interactive ADFS.x-frame-options: Allows ADFS admins to allow specific relying parties to embed iFrames for ADFS interactive login pages. Cela doit être utilisé avec précaution et uniquement sur les ordinateurs hôtes HTTPS.This should be used with care and only on HTTPS hosts.
    • En-tête futures : En-têtes futures supplémentaires peuvent aussi être configurés.Future header: Additional future headers can be configured as well.

Pour plus d’informations, consultez en-têtes de réponse de sécurité HTTP personnaliser avec AD FS 2019For more information see Customize HTTP security response headers with AD FS 2019

Fonctionnalités de la stratégie d’authentificationAuthentication/Policy capabilities

Les fonctionnalités suivantes de la stratégie d’authentification sont dans AD FS 2019 :The following authentication/policy capabilities are in AD FS 2019:

  • Spécifiez la méthode d’authentification pour l’authentification par le fournisseur de ressources supplémentaire -les clients peuvent maintenant utiliser des règles pour déterminer le fournisseur d’authentification supplémentaires à appeler pour le fournisseur d’authentification supplémentaires de revendications.Specify auth method for additional auth per RP - Customers can now use claims rules to decide which additional authentication provider to invoke for additional authentication provider. Cela est utile pour les cas d’utilisation 2This is useful for 2 use cases
    • Les clients sont en cours de transition vers un autre à partir du fournisseur d’une authentification supplémentaire.Customers are transitioning from one additional authentication provider to another. Cette façon dès leur intégration des utilisateurs à un fournisseur d’authentification plus récente, ils peuvent utiliser les groupes de contrôle d’authentification supplémentaire fournisseur est appelé.This way as they onboard users to a newer authentication provider they can use groups to control which additional authentication provider is called.
    • Les clients ont des besoins pour un fournisseur d’authentification supplémentaires spécifiques (par exemple, certificat) pour certaines applications.Customers have needs for a specific additional authentication provider (e.g. certificate) for certain applications.
  • Restreindre l’authentification d’appareil TLS en fonction uniquement aux applications qui en ont besoin -les clients peuvent désormais restreindre le client TLS en fonction des authentifications d’appareil sur uniquement l’accès conditionnel basé sur les applications effectuant des appareils.Restrict TLS based device auth only to applications that require it - Customers can now restrict client TLS based device authentications to only applications performing device based conditional access. Cela empêche les invites inutiles pour l’authentification de l’appareil (ou les échecs si l’application cliente ne peut pas gérer) pour les applications qui ne nécessitent pas l’authentification TLS en fonction des appareils.This prevents any unwanted prompts for device authentication (or failures if the client application cannot handle) for applications that do not require TLS based device authentication.
  • Prise en charge MFA fraîcheur -AD FS prend désormais en charge la capacité à refaire 2e facteur d’informations d’identification basées sur l’actualisation de l’information d’identification facteur 2nd.MFA freshness support - AD FS now supports the ability to re-do 2nd factor credential based on the freshness of the 2nd factor credential. Cela permet aux clients d’effectuer une transaction initiale avec 2 facteurs et uniquement une invite pour le facteur 2nd sur une base périodique.This allows customers to do an initial transaction with 2 factors and only prompt for the 2nd factor on a periodic basis. Cela est uniquement disponible pour les applications qui peuvent fournir un paramètre supplémentaire dans la demande et n’est pas un paramètre configurable dans ADFS.This is only available to applications that can provide an additional parameter in the request and is not a configurable setting in ADFS. Ce paramètre est pris en charge par Azure AD lorsque « N’oubliez pas mon authentification Multifacteur pour les X jours » est configuré et que l’indicateur 'supportsMFA' est défini sur true sur les paramètres d’approbation de domaine fédéré dans Azure AD.This parameter is supported by Azure AD when "Remember my MFA for X days" is configured and the 'supportsMFA' flag is set to true on the federated domain trust settings in Azure AD.

Amélioration de la connexion SSOSign-in SSO improvements

Les améliorations de l’authentification unique de connexion suivantes ont été apportées dans AD FS 2019 :The following sign-in SSO improvements have been made in AD FS 2019:

  • Paginé l’expérience utilisateur avec le thème centré -ADFS a été déplacées à un flux de l’expérience utilisateur paginé qui permet à ADFS valider et fournir une expérience de connexion plus plus lisse.Paginated UX with Centered Theme - ADFS now has moved to a paginated UX flow that allows ADFS to validate and provide a more smoother sign-in experience. ADFS utilise désormais une interface utilisateur centrée (au lieu du côté droit de l’écran).ADFS now uses a centered UI (instead of the right side of the screen). Vous pouvez avoir besoin de nouvelles images de logo et d’arrière-plan pour se conformer à cette expérience.You may require newer logo and background images to align with this experience. Cela reflète également les fonctionnalités offertes dans Azure AD.This also mirrors functionality offered in Azure AD.
  • Correctif de bogue : État persistant de l’authentification unique pour les appareils Windows 10 lors de la PRT auth cela résout un problème où MFA pas persistance de l’état lors de l’utilisation de l’authentification PRT pour les appareils Windows 10.Bug fix: Persistent SSO state for Win10 devices when doing PRT auth This addresses an issue where MFA state was not persisted when using PRT authentication for Windows 10 devices. Le résultat du problème était que les utilisateurs finaux est invité à entrer 2e facteur d’informations d’identification (MFA) fréquemment.The result of the issue was that end users would get prompted for 2nd factor credential (MFA) frequently. Le correctif rend également l’expérience cohérente lors de l’authentification de l’appareil est effectuée avec succès par le biais de client TLS et via le mécanisme PRT.The fix also makes the experience consistent when device auth is successfully performed via client TLS and via PRT mechanism.

Prise en charge pour la création d’applications line of business modernesSuppport for building modern line-of-business apps

La prise en charge suivant pour la création d’applications métier modernes a été ajouté à AD FS 2019 :The following support for building modern LOB apps has been added to AD FS 2019:

  • Flux OAuth appareil/profil -AD FS prend désormais en charge le profil de flux OAuth appareil pour effectuer des connexions sur les appareils qui n’ont pas d’une interface utilisateur surface d’exposition pour prendre en charge des expériences de connexion riches.Oauth Device flow/profile - AD FS now supports the OAuth device flow profile to perform logins on devices that do not have a UI surface area to support rich login experiences. Cela permet à l’utilisateur terminer l’expérience de connexion sur un autre appareil.This allows the user to complete the login experience on a different device. Cette fonctionnalité est requise pour une expérience d’Azure CLI dans Azure Stack et peut être utilisée dans d’autres cas.This functionality is required for Azure CLI experience in Azure Stack and can be used in other cases.
  • Suppression du paramètre de 'Resource' -AD FS a supprimé la nécessité de spécifier un paramètre de ressource qui est conforme aux spécifications Oauth en cours.Removal of 'Resource' parameter - AD FS has now removed the requirement to specify a resource parameter which is in line with current Oauth specifications. Les clients peuvent désormais fournir l’identificateur d’approbation de partie de confiance en tant que le paramètre d’étendue de plus pour les autorisations demandées.Clients can now provide the Relying Party trust identifier as the scope parameter in addition to permissions requested.
  • Les en-têtes CORS dans les réponses d’AD FS -clients peuvent désormais créer des Applications à Page unique qui permettent à client bibliothèques JS valider la signature du jeton id_token en recherchant les clés de signature à partir du document de découverte OIDC sur AD FS.CORS headers in AD FS responses - Customers can now build Single Page Applications that allow client side JS libraries to validate the signature of the id_token by querying for the signing keys from the OIDC discovery document on AD FS.
  • Prise en charge PKCE -AD FS ajoute la prise en charge PKCE pour fournir un flux de code d’authentification sécurisée dans OAuth.PKCE support - AD FS adds PKCE support to provide a secure auth code flow within OAuth. Cela ajoute une couche supplémentaire de sécurité à ce flux pour empêcher le code de piratage et de le relire à partir d’un autre client.This adds an additional layer of security to this flow to prevent hijacking the code and replaying it from a different client.
  • Correctif de bogue : Envoi de revendication x5t et kid -il s’agit d’un bogue mineur.Bug fix: Send x5t and kid claim - This is a minor bug fix. AD FS envoie désormais en outre la revendication « kid » pour désigner l’indicateur de l’id de clé pour vérifier la signature.AD FS now additionally sends the 'kid' claim to denote the key id hint for verifying the signature. Déjà AD FS uniquement envoyés cela comme revendication « x5t ».Previously AD FS only sent this as 'x5t' claim.

Améliorations de la prise en chargeSupportability improvements

Les améliorations suivantes de la prise en charge ne font pas partie d’AD FS 2019 :The following supportability improvements are not part of AD FS 2019:

  • Envoyer les détails de l’erreur pour les administrateurs d’AD FS -permet aux administrateurs de configurer les utilisateurs finaux pour envoyer des journaux de débogage relatives à un échec de l’authentification utilisateur final à stocker comme archivé un compressé pour faciliter leur utilisation.Send error details to AD FS admins - Allows admins to configure end users to send debug logs relating to a failure in end user authentication to be stored as a zipped filed for easy consumption. Administrateurs peuvent également configurer une connexion SMTP à automail le fichier compressé à un compte de messagerie de triage ou automatiquement créer un ticket basé sur le courrier électronique.Admins can also configure an SMTP connection to automail the zipped file to a triage email account or to auto create a ticket based on the email.

Déploiement des mises à jourDeployment updates

Les mises à jour de déploiement suivantes sont désormais incluses dans AD FS 2019 :The following deployment updates are now included in AD FS 2019:

  • 2019 de niveau de comportement de batterie de serveurs : comme avec AD FS 2016, il existe une nouvelle version de niveau de comportement de batterie de serveurs est nécessaire pour activer les nouvelles fonctionnalités abordées ci-dessus.Farm Behavior Level 2019 - As with AD FS 2016, there is a new Farm Behavior Level version that is required to enable new functionality discussed above. Cela permet la transition de :This allows going from:
    • 2012 R2-> 20192012 R2-> 2019
    • 2016 -> 20192016 -> 2019

Mises à jour SAMLSAML updates

La mise à jour suivante SAML est dans AD FS 2019 :The following SAML update is in AD FS 2019:

  • Correctif de bogue : Corriger les bogues dans la fédération agrégée -prise en charge de la fédération agrégées des nombreux correctifs de bogues ont été (par exemple, InCommon).Bug fix: Fix bugs in aggregated federation - There have been numerous bug fixes around aggregated federation support (e.g. InCommon). Les correctifs ont été autour de ce qui suit :The fixes have been around the following:
    • Amélioration de mise à l’échelle pour un grand nombre d’entités dans le document de métadonnées de fédération agrégées. Auparavant, ce code échouerait avec une erreur de « ADMIN0017 ».Improved scaling for large # of entities in the aggregated federation metadata doc. Previously, this would fail with "ADMIN0017" error.
    • Requête à l’aide du paramètre « ScopeGroupID » via l’applet de commande Get-AdfsRelyingPartyTrustsGroup PSH.Query using 'ScopeGroupID' parameter via Get-AdfsRelyingPartyTrustsGroup PSH cmdlet.
    • Gestion des conditions d’erreur autour entityID en doubleHandling error conditions around duplicate entityID

Spécification de ressource Azure AD style dans le paramètre d’étendueAzure AD style resource specification in scope parameter

AD FS nécessitaient auparavant, la ressource souhaitée et la portée se trouver dans un paramètre distinct dans toute demande d’authentification.Previously, AD FS required the desired resource and scope to be in a separate parameter in any authentication request. Par exemple, une demande oauth typique ressemblerait à ci-dessous : 7 https ://fs.contoso.com/adfs/oauth2/authorize ?
response_type = code & client_id = claimsxrayclient & ressource = urn : microsoft :
adfs:claimsxray & scope = oauth & redirect_uri = https ://adfshelp.microsoft.com/
ClaimsXray / TokenResponse & prompt = login
For example, a typical oauth request would look like below: 7 https://fs.contoso.com/adfs/oauth2/authorize?
response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:
adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

Avec AD FS sur 2019 de serveur, vous pouvez maintenant passer la valeur de la ressource incorporée dans le paramètre d’étendue.With AD FS on Server 2019, you can now pass the resource value embedded in the scope parameter. Cela est cohérent avec comment vous pouvez également effectuer l’authentification auprès d’Azure AD.This is consistent with how one can do authentication against Azure AD also.

Le paramètre d’étendue peut maintenant être organisé comme une liste séparée par des espaces où chaque entrée a une structure en tant que portée de la ressource.The scope parameter can now be organized as a space separated list where each entry is structure as resource/scope. Exemple :For example

< créer une demande d’exemple valide >< create a valid sample request>

Notes

Une seule ressource peut être spécifiée dans la demande d’authentification.Only one resource can be specified in the authentication request. Si plus d’une ressource est incluse dans la demande, AD FS retournera qu'une erreur et l’authentification ne réussiront pas.If more than one resource is included in the request, AD FS will return an error and authentication will not succeed.

Clé de vérification pour la prise en charge de Code Exchange (PKCE) pour oAuthProof Key for Code Exchange (PKCE) support for oAuth

Les clients publics OAuth à l’aide de l’octroi de Code d’autorisation sont vulnérables à l’attaque de l’interception de code d’autorisation.OAuth public clients using the Authorization Code Grant are susceptible to the authorization code interception attack. L’attaque est également décrite dans RFC 7636.The attack is well described in RFC 7636. Pour atténuer ce type d’attaque, AD FS dans Server 2019 prend en charge clé de preuve pour le Code Exchange (PKCE) pour les flux d’octroi de Code d’autorisation OAuth.To mitigate this attack, AD FS in Server 2019 supports Proof Key for Code Exchange (PKCE) for OAuth Authorization Code Grant flow.

Pour tirer parti de la prise en charge PKCE, cette spécification ajoute des paramètres supplémentaires pour les demandes de jeton d’accès OAuth 2.0 Authorization.To leverage the PKCE support, This specification adds additional parameters to the OAuth 2.0 Authorization and Access Token Requests.

Proofkey

A.A. Le client crée et enregistre un secret nommé le « code_verifier » et est dérivée d’une version transformée « t(code_verifier) » (également appelé le « au code_challenge »), qui est envoyée dans la demande d’autorisation de 2.0 de OAuth, ainsi que la méthode de transformation « t_m ».The client creates and records a secret named the "code_verifier" and derives a transformed version "t(code_verifier)" (referred to as the "code_challenge"), which is sent in the OAuth 2.0 Authorization Request along with the transformation method "t_m".

B.B. Le point de terminaison d’autorisation répond comme d’habitude, mais les enregistrements « t(code_verifier) » et la méthode de transformation.The Authorization Endpoint responds as usual but records "t(code_verifier)" and the transformation method.

C.C. Ensuite, le client envoie le code d’autorisation dans l’accès demande de jeton, comme d’habitude mais inclut le secret « code_verifier » généré à (A).The client then sends the authorization code in the Access Token Request as usual but includes the "code_verifier" secret generated at (A).

D.D. Les services AD FS transforme « code_verifier » et le compare à « t(code_verifier) » à partir de (B).The AD FS transforms "code_verifier" and compares it to "t(code_verifier)" from (B). L’accès est refusé s’ils ne sont pas égaux.Access is denied if they are not equal.

Forum Aux QuestionsFAQ

Q.Q. Puis-je passer la valeur de ressource dans le cadre de la valeur d’étendue, comme la façon dont les demandes sont effectuées auprès d’Azure AD ?Can I pass resource value as part of the scope value like how requests are done against Azure AD?
A.A. Avec AD FS sur 2019 de serveur, vous pouvez maintenant passer la valeur de la ressource incorporée dans le paramètre d’étendue.With AD FS on Server 2019, you can now pass the resource value embedded in the scope parameter. Le paramètre d’étendue peut maintenant être organisé comme une liste séparée par des espaces où chaque entrée a une structure en tant que portée de la ressource.The scope parameter can now be organized as a space separated list where each entry is structure as resource/scope. Exemple :For example
< créer une demande d’exemple valide >< create a valid sample request>

Q.Q. AD FS prend-elle en charge l’extension PKCE ?Does AD FS support PKCE extension?
A.A. AD FS dans Server 2019 prend en charge la clé de preuve pour Code Exchange (PKCE) pour les flux d’octroi de Code d’autorisation OAuthAD FS in Server 2019 supports Proof Key for Code Exchange (PKCE) for OAuth Authorization Code Grant flow

Nouveautés des services de fédération Active Directory (AD FS) pour Windows Server 2016What's new in Active Directory Federation Services for Windows Server 2016

Si vous recherchez plus d’informations sur les versions antérieures d’AD FS, consultez les articles suivants :If you are looking for information on earlier versions of AD FS, see the following articles:
AD FS dans Windows Server 2012 ou 2012 R2 et AD FS 2.0ADFS in Windows Server 2012 or 2012 R2 and AD FS 2.0

Active Directory Federation Services fournit le contrôle d’accès et l’authentification unique dans une vaste gamme d’applications, notamment Office 365, cloud basée sur les applications SaaS et applications sur le réseau d’entreprise.Active Directory Federation Services provides access control and single sign on across a wide variety of applications including Office 365, cloud based SaaS applications, and applications on the corporate network.

  • Pour l’organisation informatique, il vous permet de fournir authentification et contrôle d’accès aux applications modernes et héritées, en local et dans le cloud, basé sur le même ensemble de stratégies et les informations d’identification.For the IT organization, it enables you to provide sign on and access control to both modern and legacy applications, on premises and in the cloud, based on the same set of credentials and policies.
  • Pour l’utilisateur, il fournit une authentification transparente à l’aide des informations d’identification de compte familière, même.For the user, it provides seamless sign on using the same, familiar account credentials.
  • Pour les développeurs, il fournit un moyen simple pour authentifier les utilisateurs dont les identités résident dans le répertoire d’organisation afin que vous pouvez concentrer vos efforts sur votre application, pas d’authentification ou d’identité.For the developer, it provides an easy way to authenticate users whose identities live in the organizational directory so that you can focus your efforts on your application, not authentication or identity.

Cet article décrit quelles sont les nouveautés dans AD FS dans Windows Server 2016 (AD FS 2016).This article describes what is new in AD FS in Windows Server 2016 (AD FS 2016).

Éliminer les mots de passe à partir de l’ExtranetEliminate Passwords from the Extranet

AD FS 2016 permet trois nouvelles options pour l’authentification sans mot de passe, qui permet aux organisations éviter le risque de réseau compromettent de piratage, volées ou le volés de mots de passe.AD FS 2016 enables three new options for sign on without passwords, enabling organizations to avoid risk of network compromise from phished, leaked or stolen passwords.

Connectez-vous à Azure multi-factor AuthenticationSign in with Azure Multi-factor Authentication

AD FS 2016 s’appuie sur l’authentification multifacteur fonctionnalités (MFA) d’AD FS dans Windows Server 2012 R2 en autorisant l’authentification à l’aide d’un code d’authentification Multifacteur Azure uniquement, sans entrer d’abord dans un nom d’utilisateur et le mot de passe.AD FS 2016 builds upon the multi-factor authentication (MFA) capabilities of AD FS in Windows Server 2012 R2 by allowing sign on using only an Azure MFA code, without first entering a username and password.

  • Avec Azure MFA en tant que la méthode d’authentification principale, l’utilisateur est invité à entrer son nom d’utilisateur et le code secret à usage unique à partir de l’application Azure Authenticator.With Azure MFA as the primary authentication method, the user is prompted for their username and the OTP code from the Azure Authenticator app.
  • Avec Azure MFA comme méthode d’authentification secondaires ou supplémentaires, l’utilisateur fournit des informations d’identification (à l’aide de l’authentification intégrée de Windows, nom d’utilisateur et mot de passe, carte à puce ou certificat utilisateur ou périphérique) de l’authentification principale, puis voit une invite pour le texte, connexion d’Azure MFA basée sur un voix ou secret à usage unique.With Azure MFA as the secondary or additional authentication method, the user provides primary authentication credentials (using Windows Integrated Authentication, username and password, smart card, or user or device certificate), then sees a prompt for text, voice, or OTP based Azure MFA login.
  • Avec le nouvel adaptateur Azure MFA intégré, le programme d’installation et configuration pour Azure MFA avec AD FS a jamais été plus simple.With the new built-in Azure MFA adapter, setup and configuration for Azure MFA with AD FS has never been simpler.
  • Les organisations peuvent tirer parti de l’authentification Multifacteur Azure sans recourir à un serveur Azure MFA local.Organizations can take advantage of Azure MFA without the need for an on premises Azure MFA server.
  • Azure MFA peut être configuré pour l’intranet ou extranet ou dans le cadre d’une stratégie de contrôle d’accès.Azure MFA can be configured for intranet or extranet, or as part of any access control policy.

Pour plus d’informations sur Azure MFA avec AD FSFor more information about Azure MFA with AD FS

Accès sans mot de passe à partir d’appareils conformesPassword-less Access from Compliant Devices

AD FS 2016 s’appuie sur les fonctionnalités d’inscription précédente pour activer l’authentification et contrôle d’accès en fonction de l’état de conformité d’appareil.AD FS 2016 builds on previous device registration capabilities to enable sign on and access control based the device compliance status. Les utilisateurs peuvent se connecter à l’aide de l’information d’identification de l’appareil et ré-évaluation de la conformité lors de la modification d’attributs de l’appareil, afin que vous pouvez toujours vous assurer les stratégies sont appliquées.Users can sign on using the device credential, and compliance is re-evaluated when device attributes change, so that you can always ensure policies are being enforced. Cela permet des stratégies telles queThis enables policies such as

  • Activer l’accès uniquement à partir d’appareils qui sont conformes et/ou non managéesEnable Access only from devices that are managed and/or compliant
  • Activer l’accès Extranet uniquement à partir d’appareils qui sont conformes et/ou non managéesEnable Extranet Access only from devices that are managed and/or compliant
  • Exiger une authentification multifacteur pour les ordinateurs qui ne sont pas gérés ou non conformesRequire multi-factor authentication for computers that are not managed or not compliant

AD FS fournit le composant de site sur des stratégies d’accès conditionnel dans un scénario hybride.AD FS provides the on premises component of conditional access policies in a hybrid scenario. Lorsque vous inscrivez des appareils avec Azure AD pour l’accès conditionnel aux ressources du cloud, l’identité d’appareil peut être utilisée pour les stratégies AD FS, ainsi.When you register devices with Azure AD for conditional access to cloud resources, the device identity can be used for AD FS policies as well.

Ces nouvelles fonctionnalités

Pour plus d’informations sur l’utilisation de périphériques en fonction des accès conditionnel dans le cloudFor more information about using device based conditional access in the cloud

Pour plus d’informations sur l’utilisation de périphériques en fonction d’accès conditionnel avec AD FSFor more information about using device based conditional access with AD FS

Connectez-vous à Windows Hello for BusinessSign in with Windows Hello for Business

Appareils Windows 10 introduisent Windows Hello et Windows Hello entreprise, en remplaçant les mots de passe utilisateur avec informations d’identification forts liée à l’appareil utilisateur protégées par un mouvement d’un utilisateur (un code confidentiel, un mouvement biométrique comme empreinte digitale ou reconnaissance faciale).Windows 10 devices introduce Windows Hello and Windows Hello for Business, replacing user passwords with strong device-bound user credentials protected by a user's gesture (a PIN, a biometric gesture like fingerprint, or facial recognition). AD FS 2016 prend en charge ces nouvelles fonctionnalités de Windows 10 afin que les utilisateurs peuvent se connecter aux applications d’AD FS à partir de l’intranet ou l’extranet sans la nécessité de fournir un mot de passe.AD FS 2016 supports these new Windows 10 capabilities so that users can sign in to AD FS applications from the intranet or the extranet without the need to provide a password.

Pour plus d’informations sur l’utilisation de Microsoft Windows Hello entreprise dans votre organisationFor more information about using Microsoft Windows Hello for Business in your organization

Accès sécurisé aux ApplicationsSecure Access to Applications

Authentification moderneModern Authentication

AD FS 2016 prend en charge des protocoles modernes les plus récents qui fournissent une meilleure expérience utilisateur pour Windows 10 ainsi que l’iOS le plus récent et les appareils Android et les applications.AD FS 2016 supports the latest modern protocols that provide a better user experience for Windows 10 as well as the latest iOS and Android devices and apps.

Pour plus d’informations, consultez scénarios AD FS pour les développeursFor more information see AD FS Scenarios for Developers

Configurer des stratégies de contrôle d’accès sans avoir à connaître le langage de règles de revendicationConfigure access control policies without having to know claim rules language

Auparavant, les administrateurs AD FS devaient configurer des stratégies à l’aide du langage de règle de revendication AD FS, rend difficile à configurer et gérer des stratégies.Previously, AD FS administrators had to configure policies using the AD FS claim rule language, making it difficult to configure and maintain policies. Avec les stratégies de contrôle d’accès, les administrateurs peuvent utiliser des modèles intégrés pour appliquer des stratégies courantes telles queWith access control policies, administrators can use built in templates to apply common policies such as

  • Autoriser l’accès intranet uniquementPermit intranet access only
  • Autoriser tout le monde et demander l’authentification MFA à partir de l’ExtranetPermit everyone and require MFA from Extranet
  • Autoriser tout le monde et demander l’authentification Multifacteur à partir d’un groupe spécifiquePermit everyone and require MFA from a specific group

Les modèles sont faciles à personnaliser à l’aide d’un Assistant piloté par les processus pour ajouter des exceptions ou des règles de stratégies supplémentaires et peuvent être appliqués à une ou plusieurs applications pour appliquer la stratégie cohérente.The templates are easy to customize using a wizard driven process to add exceptions or additional policy rules and can be applied to one or many applications for consistent policy enforcement.

Pour plus d’informations, consultez stratégies de contrôle d’accès dans AD FS.For more information see Access control policies in AD FS.

Activer l’authentification avec les annuaires LDAP non - ADEnable sign on with non-AD LDAP directories

De nombreuses organisations possèdent une combinaison d’Active Directory et les répertoires par des tiers.Many organizations have a combination of Active Directory and third-party directories. Avec l’ajout de prise en charge AD FS pour authentifier les utilisateurs stockés dans des annuaires LDAP v3 conforme, AD FS est désormais utilisable pour :With the addition of AD FS support for authenticating users stored in LDAP v3-compliant directories, AD FS can now be used for:

  • Utilisateurs de tiers, les annuaires conformes LDAP v3Users in third party, LDAP v3 compliant directories
  • Utilisateurs dans les forêts Active Directory à laquelle une approbation bidirectionnelle Active Directory n’est pas configuréeUsers in Active Directory forests to which an Active Directory two-way trust is not configured
  • Utilisateurs dans Active Directory Lightweight Directory Services (AD LDS)Users in Active Directory Lightweight Directory Services (AD LDS)

Pour plus d’informations, consultez configurer AD FS pour authentifier les utilisateurs stockés dans les annuaires LDAP.For more information see Configure AD FS to authenticate users stored in LDAP directories.

Une meilleure expérience de connexionBetter Sign-in experience

Personnaliser l’expérience pour les applications AD FS de connexionCustomize sign in experience for AD FS applications

Nous avons entendu dire vous que la possibilité de personnaliser l’expérience d’ouverture de session pour chaque application serait une amélioration de la grande facilité d’utilisation, en particulier pour les organisations qui fournir l’authentification pour les applications qui représentent plusieurs entreprises différentes ou marques.We heard from you that the ability to customize the logon experience for each application would be a great usability improvement, especially for organizations who provide sign on for applications that represent multiple different companies or brands.

Auparavant, AD FS dans Windows Server 2012 R2 fourni un signe courantes sur l’expérience pour toutes les applications de confiance en avec la possibilité de personnaliser un sous-ensemble du texte contenu par application.Previously, AD FS in Windows Server 2012 R2 provided a common sign on experience for all relying party applications, with the ability to customize a subset of text based content per application. Avec Windows Server 2016, vous pouvez personnaliser non seulement les messages, mais les images, mais thème web et le logo par application.With Windows Server 2016, you can customize not only the messages, but images, logo and web theme per application. En outre, vous pouvez créer de nouveaux thèmes web personnalisés et appliquer ces par partie de confiance tiers.Additionally, you can create new, custom web themes and apply these per relying party.

Pour plus d’informations, consultez AD FS sign-in personnalisation de l’utilisateur.For more information see AD FS user sign-in customization.

La facilité de gestion et les améliorationsManageability and Operational Enhancements

La section suivante décrit les scénarios opérationnels améliorées qui sont introduites avec les Services de fédération Active Directory dans Windows Server 2016.The following section describes the improved operational scenarios that are introduced with Active Directory Federation Services in Windows Server 2016.

Rationalisation de l’audit pour simplifier la gestion administrativeStreamlined auditing for easier administrative management

Dans AD FS pour Windows Server 2012 R2 il ont de nombreux événements d’audit générés pour une seule requête et les informations pertinentes sur un journal dans ou les activités d’émission de jeton soient absent (dans certaines versions d’AD FS) ou répartie sur plusieurs événements d’audit.In AD FS for Windows Server 2012 R2 there were numerous audit events generated for a single request and the relevant information about a log-in or token issuance activity is either absent (in some versions of AD FS) or spread across multiple audit events. Par défaut, les services AD FS, les événements d’audit sont désactivées en raison de leur nature détaillée.By default the AD FS audit events are turned off due to their verbose nature.
Avec la version d’AD FS 2016, l’audit est devenue plus simple et moins détaillé.With the release of AD FS 2016, auditing has become more streamlined and less verbose.

Pour plus d’informations, consultez l’audit des améliorations apportées à AD FS dans Windows Server 2016.For more information see Auditing enhancements to AD FS in Windows Server 2016.

Amélioration de l’interopérabilité avec SAML 2.0 pour participer à confédérations de l’industrieImproved interoperability with SAML 2.0 for participation in confederations

AD FS 2016 contient SAML protocole prise en charge supplémentaire, notamment la prise en charge pour l’importation des approbations en fonction des métadonnées qui contient plusieurs entités.AD FS 2016 contains additional SAML protocol support, including support for importing trusts based on metadata that contains multiple entities. Cela vous permet de configurer AD FS pour participer confédérations de l’industrie telles que la fédération InCommon et d’autres implémentations conformes à l’eGov 2.0 standard.This enables you to configure AD FS to participate in confederations such as InCommon Federation and other implementations conforming to the eGov 2.0 standard.

Pour plus d’informations, consultez amélioré l’interopérabilité avec SAML 2.0.For more information see Improved interoperability with SAML 2.0.

Gestion simplifiée du mot de passe pour fédérés les utilisateurs O365Simplified password management for federated O365 users

Vous pouvez configurer Active Directory Federation Services (ADFS) pour envoyer des revendications d’expiration de mot de passe à la confiance (applications) qui est protégés par AD FS.You can configure Active Directory Federation Services (AD FS) to send password expiry claims to the relying party trusts (applications) that are protected by AD FS. Comment ces revendications sont utilisées dépendent de l’application.How these claims are used depends on the application. Par exemple, avec Office 365 en tant que votre partie de confiance, les mises à jour ont été implémentées pour Exchange et Outlook pour informer les utilisateurs fédérés de leurs mots de passe bientôt expirer.For example, with Office 365 as your relying party, updates have been implemented to Exchange and Outlook to notify federated users of their soon-to-be-expired passwords.

Pour plus d’informations, consultez configurer AD FS pour envoyer des revendications d’expiration de mot de passe.For more information see Configure AD FS to send password expiry claims.

Migration d’AD FS dans Windows Server 2012 R2 vers AD FS dans Windows Server 2016 est facileMoving from AD FS in Windows Server 2012 R2 to AD FS in Windows Server 2016 is easier

Auparavant, la migration vers une nouvelle version des services AD FS devait exportation de la configuration à partir de l’ancienne batterie de serveurs et de l’importation vers une toute nouvelle batterie de serveurs parallèle.Previously, migrating to a new version of AD FS required exporting configuration from the old farm and importing to a brand new, parallel farm.

À présent, le déplacement à partir d’AD FS sur Windows Server 2012 R2 vers AD FS sur Windows Server 2016 est devenu beaucoup plus facile.Now, moving from AD FS on Windows Server 2012 R2 to AD FS on Windows Server 2016 has become much easier. Ajoutez simplement un nouveau serveur Windows Server 2016 à une batterie de serveurs Windows Server 2012 R2, et la batterie de serveurs agira au niveau de comportement de batterie de serveurs Windows Server 2012 R2, afin qu’il se présente et se comporte comme une batterie de serveurs Windows Server 2012 R2.Simply add a new Windows Server 2016 server to a Windows Server 2012 R2 farm, and the farm will act at the Windows Server 2012 R2 farm behavior level, so it looks and behaves just like a Windows Server 2012 R2 farm.

Ensuite, ajoutez les nouveaux serveurs Windows Server 2016 à la batterie de serveurs, vérifier la fonctionnalité et supprimer les anciens serveurs d’équilibrage de charge.Then, add new Windows Server 2016 servers to the farm, verify the functionality and remove the older servers from the load balancer. Une fois que tous les nœuds de batterie de serveurs exécutent Windows Server 2016, vous êtes prêt à mettre à niveau le niveau de comportement de batterie de serveurs vers 2016 et commencer à utiliser les nouvelles fonctionnalités.Once all farm nodes are running Windows Server 2016, you are ready to upgrade the farm behavior level to 2016 and begin using the new features.

Pour plus d’informations, consultez la mise à niveau vers AD FS dans Windows Server 2016.For more information see Upgrading to AD FS in Windows Server 2016.