Gérer la relation de confiance AD FS avec Microsoft Entra ID à l’aide de Microsoft Entra Connect
Aperçu
Lorsque vous fédrez votre environnement local avec l’ID Microsoft Entra, vous établissez une relation d’approbation entre le fournisseur d’identité local et l’ID Microsoft Entra. Microsoft Entra Connect peut gérer la fédération entre le service de fédération Active Directory local (AD FS) et l’ID Microsoft Entra. Cet article fournit une vue d’ensemble des éléments suivants :
- Les différents paramètres configurés sur le trust par Microsoft Entra Connect.
- Les règles de transformation d’émission (règles de revendication) définies par Microsoft Entra Connect.
- Comment sauvegarder et restaurer vos règles de revendication entre les mises à niveau et les mises à jour de configuration.
- Meilleure pratique pour sécuriser et surveiller la confiance AD FS avec l’ID Microsoft Entra.
Paramètres contrôlés par Microsoft Entra Connect
Microsoft Entra Connect gère uniquement les paramètres liés à la confiance Microsoft Entra ID. Microsoft Entra Connect ne modifie aucun paramètre d’autres approbations de partie de confiance dans AD FS. Les paramètres des contrôles Microsoft Entra Connect sont indiqués dans le tableau suivant :
| Réglage | Description |
|---|---|
| Certificat de signature de jetons | Microsoft Entra Connect peut être utilisé pour réinitialiser et recréer l’approbation avec l’ID Microsoft Entra. Microsoft Entra Connect effectue une rotation immédiate et unique des certificats de signature de jeton pour AD FS et met à jour les paramètres de fédération de domaine Microsoft Entra. |
| Algorithme de signature de jeton | Microsoft recommande d’utiliser SHA-256 comme algorithme de signature de jeton. Microsoft Entra Connect peut détecter si l’algorithme de signature de jeton est défini sur une valeur moins sécurisée que SHA-256. Il met à jour le paramètre sur SHA-256 lors de la prochaine opération de configuration possible. L’autre approbation de partie de confiance doit être mise à jour pour utiliser le nouveau certificat de signature de jetons. |
| Identifiant de confiance d’ID Microsoft Entra | Microsoft Entra Connect définit la valeur d’identificateur correcte pour la relation de confiance ID Microsoft Entra. AD FS identifie de manière unique la confiance envers l'ID Microsoft Entra en utilisant la valeur de l'identificateur. |
| Points de terminaison Microsoft Entra | Microsoft Entra Connect garantit que les points de terminaison configurés pour l’approbation d’ID Microsoft Entra sont toujours en fonction des valeurs recommandées les plus récentes pour la résilience et les performances. |
| Règles de transformation d’émission | Il existe un nombre de règles de revendication nécessaires pour optimiser les performances des fonctionnalités de Microsoft Entra ID dans un paramètre fédéré. Microsoft Entra Connect s'assure que la confiance de Microsoft Entra ID est toujours configurée avec le bon ensemble de règles de déclaration recommandées. |
| Identifiant alternatif | Si la synchronisation est configurée pour utiliser un autre ID, Microsoft Entra Connect configure AD FS pour effectuer l’authentification à l’aide de l’id de substitution. |
| Mise à jour automatique des métadonnées | La confiance avec Microsoft Entra ID est configurée pour la mise à jour automatique des métadonnées. AD FS vérifie régulièrement les métadonnées de l’approbation Microsoft Entra ID et les actualise si elles sont modifiées côté Microsoft Entra ID. |
| Authentification Windows intégrée (IWA) | Pendant l’opération de jointure hybride Microsoft Entra, IWA est activé pour l’inscription des appareils afin de faciliter la jointure hybride Microsoft Entra pour les appareils de niveau inférieur |
Flux d’exécution et paramètres de fédération configurés par Microsoft Entra Connect
Microsoft Entra Connect ne met pas à jour tous les paramètres pour l’approbation d’ID Microsoft Entra pendant les flux de configuration. Les paramètres modifiés dépendent du flux de tâche ou d’exécution en cours d’exécution. Le tableau suivant répertorie les paramètres affectés dans différents flux d’exécution.
| Flux d’exécution | Paramètres affectés |
|---|---|
| Installation au premier passage (rapide) | Aucun |
| Installation au premier passage (nouvelle batterie de serveurs AD FS) | Une nouvelle batterie de serveurs AD FS est créée, et une approbation avec Microsoft Entra ID est créée à partir de zéro. |
| Installation au premier passage (batterie de serveurs AD FS existante, approbation Microsoft Entra ID existante) | Microsoft Entra ID trust identifier (Identificateur d’approbation Azure AD), Règles de transformation d’émission, Points de terminaison Azure AD, Alternate-id (Alternate-id) (si nécessaire), Automatic metadata update (Mise à jour automatique des métadonnées) |
| Réinitialiser l’approbation Microsoft Entra ID | Certificat de signature de jeton, algorithme de signature de jeton, identificateur d’approbation d’ID Microsoft Entra, règles de transformation d’émission, points de terminaison Microsoft Entra, ID alternatif (si nécessaire), mise à jour automatique des métadonnées |
| Ajouter un serveur de fédération | Aucun |
| Ajouter un serveur WAP | Aucun |
| Options d’appareil | Règles de transformation d’émission, Authentification Windows intégrée (IWA) pour l’inscription d’appareils |
| Ajouter un domaine fédéré | Si le domaine est ajouté pour la première fois, c’est-à-dire que le processus d'installation passe de la fédération de domaine unique à la fédération multi-domaines, Microsoft Entra Connect recrée la relation de confiance à partir de zéro. Si l’approbation avec Microsoft Entra ID est déjà configurée pour plusieurs domaines, seules les règles de transformation d’émission sont modifiées |
| Mettre à jour TLS | Aucun |
Pendant toutes les opérations, dans lesquelles tout paramètre est modifié, Microsoft Entra Connect effectue une sauvegarde des paramètres d’approbation actuels à %ProgramData%\AADConnect\ADFS
Remarque
Avant la version 1.1.873.0, la sauvegarde comprenait uniquement les règles de transformation d’émission et s’effectuait dans le fichier journal de trace d’Assistant.
Les règles de transformation d’émission définies par Microsoft Entra Connect
Microsoft Entra Connect vérifie que l’approbation Azure AD est toujours configurée avec l’ensemble adéquat de règles de revendication recommandées. Microsoft recommande d’utiliser Microsoft Entra Connect pour gérer votre approbation d’ID Microsoft Entra. Cette section répertorie les règles de transformation d’émission définies et leur description.
| Nom de la règle | Description |
|---|---|
| Issue UPN (Émettre UPN) | Cette règle interroge la valeur de userprincipalname à partir de l’attribut configuré dans les paramètres de synchronisation pour userprincipalname. |
| Query objectguid and msdsconsistencyguid for custom ImmutableId claim (Interroger objectguid et msdsconsistencyguid pour la revendication ImmutableId personnalisée) | Cette règle ajoute une valeur temporaire dans le pipeline pour objectguid et msdsconsistencyguid si elle existe |
| Vérifier l’existence de msdsconsistencyguid | Selon que la valeur de msdsconsistencyguid existe ou non, nous définissons un indicateur temporaire pour diriger ce qu’il faut utiliser comme ImmutableId |
| Émettre msdsconsistencyguid comme ID immuable s’il existe | Émettre msdsconsistencyguid comme ImmutableId si la valeur existe |
| Émettre objectGuidRule si la règle msdsConsistencyGuid n’existe pas | Si la valeur de msdsconsistencyguid n’existe pas, la valeur d’objectguid est émise en tant qu’ImmutableId |
| Issue nameidentifier (Émettre nameidentifier) | Cette règle émet la valeur de la revendication nameidentifier. |
| Issue accounttype for domain-joined computers (Émettre accounttype pour les ordinateurs joints à un domaine) | Si l’entité authentifiée est un appareil relié à un domaine, cette règle attribue le type de compte DJ signifiant un appareil relié à un domaine. |
| Attribuer AccountType avec la valeur USER lorsque ce n’est pas un compte d’ordinateur. | Si l’entité authentifiée est un utilisateur, cette règle désigne le type de compte comme Utilisateur. |
| Attribuer « issuerid » lorsqu’il ne s’agit pas d’un compte d’ordinateur. | Cette règle émet la valeur issuerId lorsque l’entité d’authentification n’est pas un appareil. La valeur est créée via un regex, qui est configuré par Microsoft Entra Connect. Le regex est créé après avoir pris en compte tous les domaines fédérés à l’aide de Microsoft Entra Connect. |
| Issue issuerid for DJ computer auth (Émettre issuerid pour l’authentification d’ordinateur DJ) | Cette règle émet la valeur issuerId lorsque l’entité d’authentification est un appareil |
| Problème onpremobjectguid pour les ordinateurs connectés à un domaine | Si l’entité authentifiée est un appareil joint à un domaine, cette règle délivre l'objectGUID local de l’appareil. |
| Pass through primary SID (Transmettre directement le SID principal) | Cette règle émet le SID principal de l’entité d’authentification |
| Pass through claim - insideCorporateNetwork (Transmettre directement la revendication - insideCorporateNetwork) | Cette règle émet une revendication qui aide Microsoft Entra ID à savoir si l’authentification provient du réseau d’entreprise ou en externe |
| Pass Through Claim - Psso (Transmettre directement la revendication - Psso) | |
| Émettre des revendications d’expiration de mot de passe | Cette règle émet trois revendications pour le délai d’expiration du mot de passe, le nombre de jours pendant lesquels le mot de passe expire de l’entité authentifiée et l’URL où acheminer pour modifier le mot de passe. |
| Pass through claim – authnmethodsreferences (Transmettre directement la revendication - authnmethodsreferences) | La valeur de la revendication émise sous cette règle indique le type d’authentification effectué pour l’entité |
| Pass through claim - multifactorauthenticationinstant (Transmettre directement la revendication - multifactorauthenticationinstant) | La valeur de cette revendication spécifie l’heure, en UTC, lorsque l’utilisateur a effectué l’authentification multifacteur pour la dernière fois. |
| Pass through claim - AlternateLoginID (Transmettre directement la revendication - AlternateLoginID) | Cette règle émet la revendication AlternateLoginID si l’authentification a été effectuée à l’aide de l’ID de connexion secondaire. |
Remarque
Les règles de revendication pour Issue UPN et ImmutableId diffèrent si vous n’utilisez pas le choix par défaut lors de la configuration de Microsoft Entra Connect
Restaurer les règles de transformation d’émission
Microsoft Entra Connect version 1.1.873.0 ou ultérieure effectue une sauvegarde des paramètres d’approbation d’ID Microsoft Entra chaque fois qu’une mise à jour est apportée aux paramètres d’approbation d’ID Microsoft Entra. Les paramètres d’approbation d’ID Microsoft Entra sont sauvegardés à %ProgramData%\AADConnect\ADFS. Le nom de fichier est au format suivant : AadTrust-<date>-<heure>.txt, par exemple - AadTrust-20180710-150216.txt
Vous pouvez restaurer les règles de transformation d’émission à l’aide des étapes suggérées ci-dessous
- Ouvrir l’interface utilisateur de gestion AD FS dans le Gestionnaire de serveur
- Ouvrez les propriétés d’approbation Microsoft Entra ID en accédant à AD FS > Approbations de partie de confiance > Plateforme d’identité Microsoft Office 365 > Editer la stratégie d’émission de revendication
- Sélectionnez Ajouter une règle
- Dans le modèle de règle de revendication, sélectionnez Envoyer des revendications à l’aide d’une règle personnalisée, puis sélectionnez Suivant
- Copiez le nom de la règle de revendication à partir du fichier de sauvegarde et collez-la dans le champ nom de la règle de revendication
- Copiez la règle de revendication à partir du fichier de sauvegarde dans le champ de texte pour Règle personnalisée, puis sélectionnez Terminer
Remarque
Assurez-vous que vos règles supplémentaires ne sont pas en conflit avec les règles configurées par Microsoft Entra Connect.
Bonnes pratiques pour sécuriser et surveiller la relation de confiance AD FS avec Microsoft Entra ID
Lorsque vous fédrez votre AD FS avec Microsoft Entra ID, il est essentiel que la configuration de fédération (relation d’approbation configurée entre AD FS et Microsoft Entra ID) soit surveillée de près, et toute activité inhabituelle ou suspecte est capturée. Pour ce faire, nous vous recommandons de configurer des alertes et d’être averti chaque fois que des modifications sont apportées à la configuration de fédération. Pour savoir comment configurer des alertes, consultez Surveiller les modifications apportées à la configuration de fédération.
Si vous utilisez l’authentification multifacteur Microsoft Entra cloud, pour l’authentification multifacteur, avec des utilisateurs fédérés, nous vous recommandons vivement d’activer une protection de sécurité supplémentaire. Cette protection de sécurité empêche le contournement de l’authentification multifacteur Microsoft Entra cloud lorsqu’elle est fédérée avec l’ID Microsoft Entra. Lorsqu'il est activé pour un domaine fédéré dans votre environnement Microsoft Entra, il garantit qu'un malfaiteur ne peut pas contourner l'authentification multifacteur Azure (Azure MFA). Cela est obtenu en empêchant l’acteur malveillant d’imiter qu’une authentification multifacteur a déjà été effectuée par le fournisseur d’identité. La protection peut être activée via un nouveau paramètre de sécurité, federatedIdpMfaBehavior. Pour plus d’informations, consultez meilleures pratiques pour sécuriser les services de fédération Active Directory