Migrer de la fédération vers l'authentification basée sur les certificats (CBA) Microsoft Entra

Cet article explique comment migrer depuis des serveurs fédérés en cours d'exécution tels que les services de fédération Active Directory (AD FS) sur site vers l'authentification cloud à l'aide de l'authentification basée sur les certificats (CBA) Microsoft Entra.

Déploiement par étapes

Un administrateur de locataire peut basculer complètement le domaine fédéré vers Microsoft Entra CBA sans test préalable. Pour ce faire, activez la méthode d’authentification CBA dans Microsoft Entra ID et convertissez l’ensemble du domaine en authentification managée. Toutefois, si le client souhaite tester un petit lot d’utilisateurs pour s'authentifier auprès de Microsoft Entra CBA avant que la transition complète du domaine vers la gestion ne soit effectuée, il peut utiliser la fonctionnalité de déploiement progressif.

Le déploiement par étapes de l'authentification par certificat (CBA) aide les clients à passer de l'exécution de la CBA sur un IdP fédéré à Microsoft Entra ID en déplaçant sélectivement un petit ensemble d'utilisateurs pour utiliser la CBA sur Microsoft Entra ID (qui ne sont plus redirigés vers l'IdP fédéré) avec des groupes d'utilisateurs sélectionnés avant de convertir la configuration du domaine dans Microsoft Entra ID de fédérée à managée. Le déploiement intermédiaire n’est pas conçu pour que le domaine reste fédéré pendant de longues périodes ou pour de grandes quantités d’utilisateurs.

Regarder cette courte vidéo illustrant la migration de l'authentification basée sur des certificats ADFS vers l'ABC Microsoft Entra

Remarque

Lorsque le déploiement intermédiaire est activé pour un utilisateur, l’utilisateur est considéré comme un utilisateur géré et toutes les authentifications se produisent sur l’ID Microsoft Entra. Pour un locataire fédéré, si l’authentification basée sur des certificats (CBA) est activée lors du déploiement progressif, l'authentification par mot de passe fonctionne uniquement si PHS est également activé. Sinon, l’authentification par mot de passe échoue.

Activer le déploiement intermédiaire pour l’authentification basée sur un certificat sur votre locataire

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Pour configurer le déploiement par étapes, suivez les étapes ci-dessous :

1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur d’utilisateurs.
2. Recherchez et sélectionnez Microsoft Entra Connect.
3. Dans la page Microsoft Entra Connect, sous le déploiement intermédiaire de l’authentification cloud, sélectionnez Activer le déploiement intermédiaire pour la connexion utilisateur managée.
4. Dans la page Activer le déploiement intermédiaire, sélectionnezActivé pour l’option Authentification basée sur le certificat
5. Sélectionnez Gérer les groupes et ajoutez des groupes que vous souhaitez faire partie de l’authentification cloud. Pour éviter les problèmes de délai d’expiration, vérifiez que les groupes de sécurité ne contiennent pas plus de 200 membres au départ.

Pour plus d’informations, consultez Déploiement par étapes.

Utilisez Microsoft Entra Connect pour mettre à jour l'attribut certificateUserIds

Un administrateur AD FS peut utiliser l’éditeur de règles de synchronisation pour créer des règles permettant de synchroniser les valeurs des attributs d’AD FS avec les objets utilisateur Microsoft Entra. Pour plus d’informations, consultez Règles de synchronisation pour certificateUserIds.

Microsoft Entra Connect nécessite un rôle spécial nommé Hybrid Identity Administrator, qui accorde les autorisations nécessaires. Vous avez besoin de ce rôle pour l’autorisation d’écrire dans le nouvel attribut cloud.

Remarque

Si un utilisateur utilise des attributs synchronisés, tels que l’attribut onPremisesUserPrincipalName dans l’objet utilisateur pour la liaison de nom d’utilisateur, tout utilisateur disposant d’un accès administratif au serveur Microsoft Entra Connect peut modifier le mappage d’attribut synchronisé et modifier la valeur de l’attribut synchronisé. L’utilisateur n’a pas besoin d’être administrateur cloud. L’administrateur AD FS doit s’assurer que l’accès administratif au serveur Microsoft Entra Connect doit être limité et que les comptes privilégiés doivent être des comptes cloud uniquement.

Questions fréquemment posées sur la migration d’AD FS vers Microsoft Entra ID

Pouvons-nous avoir des comptes privilégiés avec un serveur AD FS fédéré ?

Bien qu’il soit possible, Microsoft recommande que les comptes privilégiés soient des comptes cloud uniquement. L’utilisation de comptes cloud uniquement pour un accès privilégié limite l’exposition dans Microsoft Entra ID à partir d’un environnement sur site compromis. Pour plus d’informations, consultez Protection de Microsoft 365 contre les attaques locales.

Si une organisation est une organisation hybride exécutant AD FS et Azure CBA, sont-elles toujours vulnérables à la compromission AD FS ?

Microsoft recommande que les comptes privilégiés soient des comptes cloud uniquement. Cette pratique limite l’exposition dans Microsoft Entra ID à partir d’un environnement local compromis. La gestion des comptes privilégiés dans un cloud uniquement est fondamentale pour cet objectif.

Pour les comptes synchronisés :

• S’ils se trouvent dans un domaine managé (non fédéré), il n’existe aucun risque pour le fournisseur d’identité fédéré.
• S’ils se trouvent dans un domaine fédéré, mais qu’un sous-ensemble de comptes est déplacé vers Microsoft Entra CBA par déploiement progressif, ils sont soumis à des risques liés au fournisseur d’identité fédéré jusqu’à ce que le domaine fédéré soit entièrement basculé vers l’authentification cloud.

Les organisations doivent-elles éliminer les serveurs fédérés comme AD FS pour empêcher la possibilité de pivoter d’AD FS vers Azure ?

Avec la fédération, un attaquant peut emprunter l’identité de n’importe qui, tel qu’un directeur informatique, même s’il ne peut pas obtenir un rôle cloud uniquement comme un compte d’administrateur à privilèges élevés.

Lorsqu'un domaine est fédéré dans Microsoft Entra ID, un niveau de confiance élevé est placé sur le fournisseur d'identité fédéré. AD FS est un exemple, mais la notion est vraie pour n’importe quel fournisseur d’identité fédéré. De nombreuses organisations déploient un fournisseur d’identité fédéré comme AD FS exclusivement pour effectuer une authentification basée sur des certificats. Microsoft Entra CBA supprime complètement la dépendance AD FS dans ce cas. Avec Microsoft Entra CBA, les clients peuvent déplacer leur parc d'applications vers Microsoft Entra ID pour moderniser leur infrastructure IAM et réduire les coûts avec une sécurité accrue.

Du point de vue de la sécurité, il n’existe aucune modification des informations d’identification, y compris le certificat X.509, les PC, les PIV, et ainsi de suite, ou l’infrastructure à clé publique utilisée. Les propriétaires d’infrastructure à clé publique conservent le contrôle complet du cycle de vie et de la politique d’émission et de révocation des certificats. Le contrôle de révocation et l'authentification ont lieu au niveau de Microsoft Entra ID au lieu du IdP fédéré. Ces contrôles permettent une authentification sans mot de passe et résistante au phishing directement sur Microsoft Entra ID pour tous les utilisateurs.

Comment fonctionne l’authentification avec l’authentification cloud Federated AD FS et Microsoft Entra avec Windows ?

Microsoft Entra CBA exige que l'utilisateur ou l'application fournisse l'UPN Microsoft Entra de l'utilisateur qui se connecte.

Dans l’exemple du navigateur, l’utilisateur saisit le plus souvent son UPN Microsoft Entra. L'UPN Microsoft Entra est utilisé pour la découverte de domaines et d'utilisateurs. Le certificat utilisé doit ensuite correspondre à cet utilisateur à l’aide de l’une des liaisons de nom d’utilisateur configurées dans la stratégie.

Dans la connexion Windows, la correspondance dépend si l'appareil est hybride ou rejoint Microsoft Entra. Mais dans les deux cas, si un indice de nom d’utilisateur est fourni, Windows envoie l’indice sous forme d’UPN Microsoft Entra. Le certificat utilisé doit ensuite correspondre à cet utilisateur à l’aide de l’une des liaisons de nom d’utilisateur configurées dans la stratégie.

Étapes suivantes

• Vue d’ensemble de l’authentification basée sur certificat Microsoft Entra
• Immersion technique dans l’authentification basée sur les certificats Microsoft Entra
• Guide pratique pour configurer l’authentification basée sur les certificats de Microsoft Entra
• Authentification basée sur les certificats de Microsoft Entra sur les appareils iOS
• Authentification basée sur les certificats de Microsoft Entra sur les appareils Android
• Connexion par carte intelligente Windows à l'aide de Microsoft Entra CBA
• ID des utilisateurs du certificat
• FORUM AUX QUESTIONS