Modifier

Partager via


Authentification directe Microsoft Entra : Forum aux questions

Cet article répond aux questions fréquemment posées sur l’authentification directe Microsoft Entra. N'hésitez pas à le consulter pour vous tenir au courant des mises à jour.

Parmi les nouvelles méthodes de connexion Microsoft Entra : l’authentification directe, la synchronisation de hachage de mot de passe et les services de fédération Active Directory (AD FS), laquelle dois-je choisir ?

Consultez ce guide pour comparer les différentes méthodes de connexion Microsoft Entra et savoir comment choisir la méthode de connexion adaptée à votre organisation.

L’authentification directe est-elle une fonctionnalité gratuite ?

L’authentification directe est une fonctionnalité gratuite. Vous n’avez besoin d’aucune édition payante de Microsoft Entra ID pour l’utiliser.

L’accès conditionnel fonctionne-t-il avec l’authentification directe ?

Oui. Toutes les fonctionnalités d’Accès conditionnel, y compris l’authentification multifacteur Microsoft Entra, peuvent être utilisées avec l’authentification directe.

L’authentification directe prend-elle en charge « l’ID alternatif » comme le nom d’utilisateur, plutôt que « userPrincipalName » ?

Oui, l’authentification directe (PTA) et la synchronisation du hachage de mot de passe (PHS) prennent en charge les connexions avec une valeur non-UPN, comme une autre adresse e-mail. Pour plus d’informations sur 'ID de connexion alternative.

La synchronisation du hachage de mot de passe agit-elle comme solution de secours pour l’authentification directe ?

No. L’authentification directe ne bascule pas automatiquement vers la synchronisation de hachage de mot de passe. Pour éviter les échecs de connexion de l’utilisateur, vous devez configurer l’authentification directe pour une haute disponibilité.

Que se passe-t-il lorsque je bascule de la synchronisation de hachage du mot de passe vers l’authentification directe ?

Lorsque vous utilisez Microsoft Entra Connect pour changer de méthode de connexion, en passant de la synchronisation de hachage de mot de passe vers l’authentification directe, cette dernière devient la méthode de connexion principale pour vos utilisateurs dans les domaines managés. L’ensemble des hachages de mot de passe des utilisateurs qui ont déjà été synchronisés via la synchronisation de hachage de mot de passe restent stockés sur Microsoft Entra ID.

Puis-je installer un connecteur de réseau privé Microsoft Entra sur le même serveur qu’un agent d’authentification directe ?

Oui. Les versions renommées de l’agent d’authentification directe (versions 1.5.193.0 ou versions ultérieures) prennent en charge cette configuration.

De quelles versions de Microsoft Entra Connect et de quel agent d’authentification directe avez-vous besoin ?

Pour que cette fonctionnalité puisse fonctionner, vous devez utiliser la version 1.1.750.0 ou version ultérieure de Microsoft Entra Connect et la version 1.5.193.0 ou version ultérieure de l’agent d’authentification directe. Installez tous les logiciels sur des serveurs avec Windows Server 2012 R2 ou version ultérieure.

Pourquoi mon connecteur utilise-t-il toujours une version antérieure et n’est-il pas automatiquement mis à niveau vers la dernière version ?

Le service de mise à jour ne fonctionne peut-être pas correctement, ou bien aucune nouvelle mise à jour n'est disponible. Le service de mise à jour est sain s’il est en cours d’exécution et qu’aucune erreur n’est enregistrée dans le journal des événements (Journaux des applications et des services -> Microsoft -> AzureADConnect-Agent -> Mise à jour -> Admin).

Seules les versions principales sont publiées pour la mise à niveau automatique. Nous vous recommandons de mettre à jour votre agent manuellement seulement si c’est nécessaire. Par exemple, vous ne pouvez pas attendre une version majeure parce que vous devez résoudre un problème connu ou utiliser une nouvelle fonctionnalité. Pour plus d’informations sur les nouvelles versions, le type de la version (téléchargement, mise à niveau automatique), les correctifs de bogues et les nouvelles fonctionnalités, consultez Agent d’authentification directe Microsoft Entra : Historique des versions.

Pour procéder à la mise à niveau manuelle d'un connecteur :

  • Téléchargez la dernière version de l’agent. (Vous le trouvez sous Microsoft Entra Connect Authentification directe sur le centre d’administration Microsoft Entra. Vous trouverez aussi le lien dans Authentification directe Microsoft Entra : historique de publication des versions.
  • Le programme d’installation redémarre les services de l’agent d’authentification Microsoft Entra Connect. Dans certains cas, un redémarrage du serveur est nécessaire si le programme d’installation ne peut pas remplacer tous les fichiers. Nous vous recommandons de fermer toutes les applications avant de lancer la mise à niveau.
  • Exécutez le programme d’installation. Le processus de mise à niveau est rapide et ne nécessite aucune information d’identification et l’Agent n’est pas réinscrit.

Que se passe-t-il si le mot de passe de mon utilisateur a expiré et qu’il essaie de se connecter à l’aide de l’authentification directe ?

Si vous avez configuré réécriture de mot de passe pour un utilisateur spécifique et si l’utilisateur se connecte à l’aide de l’authentification directe, il peut modifier ou réinitialiser ses mots de passe. Les mots de passe seront réécrits dans l’annuaire Active Directory local comme prévu.

Si la réécriture du mot de passe n’est pas configurée pour un utilisateur spécifique ou si l’utilisateur n’a aucune licence Microsoft Entra ID valide attribuée, celui-ci ne peut pas mettre à jour son mot de passe dans le cloud. Ils ne peuvent pas mettre à jour leur mot de passe, même si leur mot de passe a expiré. Au lieu de cela, l’utilisateur voit le message suivant : « Votre organisation ne vous autorise pas à mettre à jour votre mot de passe sur ce site. Mettez-le à jour en fonction de la méthode recommandée par votre organisation, ou contactez votre administrateur si vous avez besoin d’aide ». L’utilisateur ou l’administrateur doit réinitialiser son mot de passe dans Active Directory localement.

L’utilisateur se connecte à l’ID Microsoft Entra avec les informations d’identification (nom d’utilisateur, mot de passe). Dans l’intervalle, le mot de passe de l’utilisateur expire, mais l’utilisateur peut toujours accéder aux ressources de Microsoft Entra. Pourquoi cela se produit-il ?

L’expiration du mot de passe ne déclenche pas la révocation des jetons d’authentification ou des cookies. Tant que les jetons ou les cookies sont valides, l’utilisateur peut les utiliser. Cela s’applique quel que soit le type d’authentification (PTA, PHS et scénarios fédérés).

Pour plus d’informations, consultez la documentation suivante :

Jetons d’accès de la plateforme d’identités Microsoft – Plateforme d’identités Microsoft | Microsoft Docs

Comment l’authentification directe vous protège-t-elle contre les attaques par recherche exhaustive de mot de passe ?

Qu’est-ce que les agents de l’authentification directe communiquent via les ports 80 et 443 ?

  • Les agents d’authentification établissent les requêtes HTTPS sur le port 443 pour toutes les opérations de fonctionnalité.

  • Les agents d'authentification établissent des requêtes HTTP sur le port 80 pour télécharger les listes de révocations de certificats TLS/SSL (CRL).

    Notes

    Dans les mises à jour récentes, le nombre de ports requis par la fonctionnalité a été diminué. Si vous disposez de versions antérieures de Microsoft Entra Connect ou de l’agent d’authentification, laissez ces ports également ouverts : 5671, 8080, 9090, 9091, 9350, 9352 et 10100 à 10120.

Les agents d’authentification directe peuvent-ils communiquer sur un serveur proxy web sortant ?

Oui. Si Web Proxy Auto-Discovery (WPAD) est activé dans votre environnement sur site, les agents d’authentification essayent automatiquement de localiser et d’utiliser un serveur proxy web sur le réseau. Pour plus d’informations sur l’utilisation du serveur proxy sortant, consultez Travailler avec des serveurs proxy locaux existants.

Si vous n’avez pas WPAD dans votre environnement, vous pouvez ajouter des informations de proxy pour permettre à un agent d’authentification directe de communiquer avec l’ID Microsoft Entra :

  • Configurez les informations de proxy dans Internet Explorer avant d'installer l'agent d'authentification directe sur le serveur. Cela vous permet d’effectuer l’installation de l’agent d’authentification, mais elle s’affiche toujours comme inactive sur le portail d’administration.
  • Sur le serveur, accédez à « C:\Program Files\Microsoft Azure AD Connect Authentication Agent ».
  • Modifiez le fichier de configuration « AzureADConnectAuthenticationAgentService » et ajoutez les lignes suivantes (remplacez « http://contosoproxy.com:8080" » par votre adresse proxy réelle) :
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Puis-je installer deux ou plusieurs agents d’authentification directe sur le même serveur ?

Non, vous ne pouvez installer qu’un seul agent d’authentification directe sur un serveur unique. Si vous souhaitez configurer l’authentification directe pour la haute disponibilité, suivez les instructions fournies ici.

Dois-je renouveler manuellement les certificats utilisés par les agents d’authentification directe ?

La communication entre les agents d’authentification directe et Microsoft Entra ID est sécurisée à l’aide de l’authentification basée sur les certificats. Ces certificats sont automatiquement renouvelés tous les quelques mois par Microsoft Entra ID. Il n’est pas nécessaire de renouveler manuellement ces certificats. Vous pouvez nettoyer les anciens certificats arrivés à expiration en fonction des besoins.

Comment supprimer un agent d’authentification directe ?

Tant qu’un agent d’authentification directe est en cours d’exécution, il reste actif et gère en permanence les demandes de connexion utilisateur. Si vous souhaitez désinstaller un agent d’authentification, accédez au Panneau de configuration - Programmes> - Programmes et fonctionnalités>. Désinstallez microsoft Entra Connect Authentication Agent et les programmes Microsoft Entra Connect Agent Updater.

Si vous cochez le panneau Authentification directe sur le centre d’administration Microsoft Entra, au moins en tant qu’Administrateur d’identité hybride. L’agent d’authentification doit s’afficher comme inactif. Ceci est normal. L’agent d’authentification est automatiquement supprimé de la liste après 10 jours.

J’utilise déjà AD FS pour me connecter à Microsoft Entra ID. Comment basculer vers l’authentification directe ?

Si vous procédez à une migration depuis AD FS (ou d’autres technologies de fédération) vers l’authentification directe, nous vous recommandons vivement de suivre notre guide de démarrage rapide.

Puis-je utiliser l’authentification directe dans un environnement à plusieurs forêts Active Directory ?

Oui. Les environnements à plusieurs forêts sont pris en charge s’il existe des approbations de forêts (bidirectionnelles) entre les forêts Active Directory et si le routage du suffixe de leurs noms est configuré correctement.

L’authentification directe assure-t-elle l’équilibrage de charge sur plusieurs agents d’authentification ?

Non, le fait d’installer plusieurs agents d’authentification directe n’assure que la haute disponibilité, et non un équilibrage de charge déterministe entre les agents d’authentification. N’importe quel agent d’authentification (pris au hasard) peut traiter la demande de connexion d’un utilisateur.

Combien d’agents d’authentification directe dois-je installer ?

L’installation de plusieurs agents d’authentification directe assure une haute disponibilité. Mais, elle ne fournit pas d’équilibrage de charge déterministe entre les agents d’authentification.

Envisagez la charge moyenne et les pics de charge lors des demandes de connexion que vous attendez de la part de votre locataire. À titre de référence, un seul agent d’authentification peut gérer entre 300 et 400 authentifications par seconde sur un serveur doté d’un CPU à 4 cœurs et de 16 Go de RAM.

Pour estimer le trafic réseau, suivez les instructions de dimensionnement suivantes :

  • La taille de la charge utile de chaque requête est de (0,5 K + 1 K x num_of_agents) octets. Cela correspond aux données envoyées entre Microsoft Entra ID et l’agent d'authentification. Ici, « num_of_agents » indique le nombre d’agents d’authentification inscrit sur votre abonné.
  • La taille de la charge utile de chaque réponse est de 1 kilooctet. Cela correspond aux données envoyées entre l’agent d'authentification et Microsoft Entra ID.

Pour la plupart des clients, deux ou trois agents d’authentification au total suffisent à offrir la haute disponibilité et suffisamment de capacité. Cependant, dans les environnements de production, nous vous recommandons l’utilisation d’au moins 3 agents d’authentification s’exécutant sur votre locataire. Vous devriez installer des agents d’authentification près de vos contrôleurs de domaine pour améliorer la latence de connexion.

Notes

Il existe une limite système de 40 agents d’authentification par client.

Quel rôle dois-je posséder pour activer l’authentification directe ?

Il est recommandé d’activer ou de désactiver l’authentification directe à l’aide d’un compte Administrateur Identité hybride. Cette manière d’opérer garantit que vous ne serez pas verrouillé hors de votre client. ]

Comment désactiver l’authentification directe ?

Réexécutez l’Assistant Microsoft Entra Connect et modifiez la méthode de connexion utilisateur de l’authentification directe à une autre méthode. Cette modification désactive l’authentification directe sur le client et désinstalle l’agent d’authentification du serveur. Vous devez désinstaller manuellement les agents d’authentification à partir des autres serveurs.

Que se passe-t-il lorsque je désinstalle un agent d’authentification directe ?

La désinstallation d’un agent d’authentification directe à partir d’un serveur provoque l’interruption de l’acceptation des requêtes de connexion. Pour éviter d'interrompre la fonctionnalité de connexion de l'utilisateur sur votre client, assurez-vous qu'un autre agent d'authentification est en cours d'exécution avant de désinstaller un agent d'authentification directe.

J’ai un ancien client qui a été configuré à l’origine avec AD FS. Bien que nous ayons récemment migré vers PTA, nos modifications de nom d’utilisateur principal (UPN) ne se synchronisent pas avec Microsoft Entra ID. Pourquoi la synchronisation des changements d’UPN n’a-t-elle pas lieu ?

Il peut arriver que les modifications de noms UPN locaux ne se synchronisent pas dans les circonstances suivantes :

  • Votre locataire Microsoft Entra a été créé avant le 15 juin 2015.
  • Vous étiez à l’origine fédéré avec votre client Microsoft Entra par le biais d’AD FS pour l’authentification.
  • Vous avez basculé vers des utilisateurs gérés avec PTA pour l’authentification.

En effet, le comportement par défaut des locataires créés avant le 15 juin 15, 2015 consistait à bloquer les changements de noms UPN. Si souhaitez débloquer les modifications d’UPN, exécutez la cmdlet PowerShell suivante. Obtenez l’ID à l’aide de la cmdlet Get-MgDirectoryOnPremiseSynchronization.

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

Les locataires créés après le 15 juin 2015 ont comme comportement par défaut de synchroniser les changements d’UPN.

Comment capturer l’ID de l’agent PTA à partir des journaux de connexion Microsoft Entra et du serveur PTA pour vérifier quel serveur PTA a été utilisé pour un événement de connexion ?

Pour valider le serveur local ou l’agent d’authentification qui a été utilisé pour un événement de connexion spécifique :

  1. Dans le centre d'administration Microsoft Entra, accédez à l'événement de connexion.

  2. Sélectionnez Détails de l’authentification. Dans la colonne Détails de la méthode d’authentification, les détails de l’ID d’agent sont indiqués au format « Authentification directe. PTA AgentId : 00001111-aaaa-2222-bbbb-3333cccc4444 ».

  3. Pour obtenir les détails de l’ID de l’agent installé sur votre serveur local, connectez-vous à votre serveur local et exécutez l’applet de commande suivante :

    Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

    La valeur GUID retournée est l’ID d’agent de l’agent d’authentification installé sur ce serveur spécifique. Si vous avez plusieurs agents dans votre environnement, vous pouvez exécuter cette applet de commande sur chaque serveur de l’agent et capturer les détails de l’ID de l’agent.

  4. Mettez en corrélation l’ID d’agent obtenu à partir du serveur local et des journaux de connexion Microsoft Entra pour valider l’agent ou le serveur qui a accepté la demande de signature.

Étapes suivantes