Passer de la fédération à l’authentification cloud

Dans cet article, vous apprenez à déployer l’authentification utilisateur cloud avec la Synchronisation de hachage du mot de passe (PHS) ou l’Authentification directe (PTA) Microsoft Entra. Bien que nous présentions le cas d’utilisation pour le passage d’Active Directory Federation Services (AD FS) à des méthodes d’authentification cloud, ces conseils s’appliquent également à d’autres systèmes locaux.

Avant de poursuivre, nous vous suggérons de consulter notre guide sur le Choix de la méthode d’authentification appropriée et de comparer les méthodes les plus adaptées à votre organisation.

Nous vous recommandons d’utiliser PHS pour l’authentification cloud.

Déploiement par étapes

Le déploiement par étapes est un très bon moyen de tester des groupes d’utilisateurs de manière sélective avec des fonctionnalités d’authentification cloud comme l’authentification multifacteur Microsoft Entra, l’accès conditionnel, Protection des ID Microsoft Entra pour les informations d’identification divulguées ou Identity Governance avant le basculement de vos domaines.

Reportez-vous au plan de mise en œuvre du déploiement par étapes pour comprendre les scénarios pris en charge et non pris en charge. Nous vous recommandons d’utiliser le déploiement par étapes pour effectuer des tests avant de découper les domaines.

Flux du processus de migration

Processus de migration vers l’authentification cloud

Prérequis

Avant de commencer votre migration, assurez-vous que vous respectez ces conditions préalables.

Rôles nécessaires

Pour un déploiement par étapes, vous devez être administrateur d’identité hybride de votre locataire.

Passage à une édition supérieure de serveur Microsoft Entra Connect

Installez Microsoft Entra Connect ou effectuez une mise à niveau vers la dernière version. Lorsque vous faites passer un serveur Microsoft Entra Connect à une édition supérieure, vous réduisez le temps nécessaire à la migration d’AD FS vers les méthodes d’authentification cloud de plusieurs heures à quelques minutes.

Documenter les paramètres de fédération actuels

Pour trouver vos paramètres de fédération actuels, exécutez Get-MgDomainFederationConfiguration.

Get-MgDomainFederationConfiguration - DomainID yourdomain.com

Vérifiez les paramètres qui peuvent avoir été personnalisés pour la conception de votre fédération et la documentation du déploiement. Plus précisément, recherchez des personnalisations dans PreferredAuthenticationProtocol, federatedIdpMfaBehavior, SupportsMfa (si federatedIdpMfaBehavior n’est pas défini) et PromptLoginBehavior.

Sauvegarder les paramètres de fédération

Bien que ce déploiement ne modifie aucune autre partie de confiance dans votre batterie AD FS, vous pouvez sauvegarder vos paramètres :

  • Utilisez l’outil de restauration rapide AD FS de Microsoft pour restaurer une batterie existante ou en créer une nouvelle.

  • Exportez l’approbation de la partie de confiance de la plateforme d’identité Microsoft 365 et les règles de revendication personnalisées associées que vous avez ajoutées à l’aide de l’exemple PowerShell suivant :

    
    (Get-AdfsRelyingPartyTrust -Name "Microsoft Office 365 Identity Platform") | Export-CliXML "C:\temp\O365-RelyingPartyTrust.xml"
    
    

Planifier le projet

Les échecs de projets informatiques, lorsqu’ils se produisent, proviennent généralement d’une disparité entre les attentes et l’impact, les responsabilités et les résultats. Pour éviter un tel cas de figure, veillez à faire appel aux bonnes personnes et à ce que les rôles des parties prenantes soient bien compris.

Planifier les communications

Après la migration vers l’authentification cloud, l’expérience de connexion de l’utilisateur pour accéder à Microsoft 365 et à d’autres ressources qui sont authentifiées par Microsoft Entra ID change. Les utilisateurs qui sont en dehors du réseau voient seulement la page de connexion Microsoft Entra.

Communiquez de manière proactive avec vos utilisateurs sur ce qui va changer dans leur expérience, à quel moment les changements seront appliqués et comment ils peuvent obtenir de l’aide en cas de problème.

Planifier la fenêtre de maintenance

Les clients d’authentification moderne (Office 2016 et Office 2013, applications iOS et Android) utilisent un jeton d’actualisation valide pour obtenir de nouveaux jetons d’accès permettant de continuer à accéder aux ressources au lieu de retourner à AD FS. Ces clients sont protégés des demandes de mot de passe résultant du processus de conversion de domaine. Les clients continuent de fonctionner sans configuration supplémentaire.

Notes

Lorsque vous migrez de l’authentification fédérée vers l’authentification cloud, le processus de conversion du domaine fédéré en domaine managé peut prendre jusqu’à 60 minutes. Pendant ce processus, les utilisateurs peuvent ne pas être invités à entrer des informations d’identification pour les nouvelles connexions au Centre d’administration Microsoft Entra ou à d’autres applications basées sur un navigateur protégées avec Microsoft Entra ID. Nous vous recommandons d’inclure ce délai dans votre fenêtre de maintenance.

Plan de restauration

Conseil

Envisagez de planifier le basculement des domaines pendant les heures creuses en cas d’exigences de restauration.

Pour planifier la restauration, utilisez les paramètres actuels documentés de la fédération et vérifiez la documentation sur la conception et le déploiement de la fédération.

Le processus de restauration comprend la conversion des domaines managés en domaines fédérés avec l’applet de commande New-MgDomainFederationConfiguration. Si nécessaire, configurez des règles de revendications supplémentaires.

Considérations relatives à la migration

Voici les principaux éléments à prendre en compte lors de la migration.

Planifier les paramètres de personnalisation

Le fichier onload.js ne peut pas être dupliqué dans Microsoft Entra ID. Si votre instance AD FS est fortement personnalisée et s’appuie sur des paramètres de personnalisation spécifiques dans le fichier onload.js, vérifiez si Microsoft Entra ID peut répondre à vos besoins actuels en matière de personnalisation et planifiez en conséquence. Communiquez ces modifications à venir à vos utilisateurs.

Expérience de connexion

Vous ne pouvez pas personnaliser l’expérience de connexion Microsoft Entra. Quelle que soit la façon dont vos utilisateurs se sont connectés précédemment, vous avez besoin d’un nom de domaine complet, comme un nom d’utilisateur principal (UPN) ou un e-mail pour vous connecter à Microsoft Entra ID.

Personnalisation de l’organisation

Vous pouvez personnaliser la page de connexion Microsoft Entra. Certaines modifications visuelles sur les pages de connexion d’AD FS doivent être attendues après la conversion.

Remarque

La personnalisation de l’organisation n’est pas disponible dans les licences Microsoft Entra ID gratuites, sauf si vous disposez d’une licence Microsoft 365.

Planifier les stratégies d’accès conditionnel

Évaluez si vous utilisez actuellement l’accès conditionnel pour l’authentification ou si vous utilisez des stratégies de contrôle d’accès dans AD FS.

Vous pouvez envisager de remplacer les stratégies de contrôle d’accès AD FS par des stratégies d’accès conditionnel et des règles d’accès du client Exchange Online de Microsoft Entra équivalentes. Vous pouvez utiliser Microsoft Entra ID ou des groupes locaux pour l’accès conditionnel.

Désactiver l’authentification héritée - En raison du risque accru associé aux protocoles d’authentification traditionnels, créez une stratégie d’accès conditionnel pour bloquer l’authentification traditionnelle.

Planifier la prise en charge de l’authentification multifacteur

Pour les domaines fédérés, l’authentification multifacteur peut être appliquée par l’accès conditionnel Microsoft Entra ou par le fournisseur de fédération local. Vous pouvez activer la protection pour empêcher le contournement de l’authentification multifacteur Microsoft Entra en configurant le paramètre de sécurité federatedIdpMfaBehavior. Activez la protection d’un domaine fédéré dans votre locataire Microsoft Entra. Assurez-vous que l’authentification multifacteur Microsoft Entra soit toujours effectuée quand un utilisateur fédéré accède à une application régie par une stratégie d’accès conditionnel nécessitant une MFA. Cela inclut l’exécution de l’authentification multifacteur Microsoft Entra, même lorsque le fournisseur d’identité fédérée a émis des revendications de jeton fédéré indiquant que la MFA locale a été effectuée. L’application de l’authentification multifacteur Microsoft Entra à chaque fois garantit qu’aucun intervenant malveillant ne peut la contourner en imitant le fournisseur d’identité qui a déjà effectué la MFA. Cette pratique est fortement recommandée, sauf si vous effectuez une MFA pour vos utilisateurs fédérés à l’aide d’un fournisseur MFA tiers.

Le tableau suivant explique le comportement de chaque option. Pour plus d’informations, consultez federatedIdpMfaBehavior.

Valeur Description
acceptIfMfaDoneByFederatedIdp Microsoft Entra ID accepte l’authentification multifacteur effectuée par le fournisseur d’identité fédérée. Si le fournisseur d’identité fédéré n’a pas effectué l’authentification multifacteur, Microsoft Entra ID s’en charge.
enforceMfaByFederatedIdp Microsoft Entra ID accepte l’authentification multifacteur effectuée par le fournisseur d’identité fédérée. Si le fournisseur d’identité fédérée n’a pas effectué l’authentification multifacteur, il redirige la demande vers le fournisseur d’identité fédérée pour qu’il s’en charge.
rejectMfaByFederatedIdp Microsoft Entra ID effectue toujours une authentification multifacteur et rejette celle que le fournisseur d’identité fédérée effectue.

Le paramètre federatedIdpMfaBehavior est une version évoluée de la propriété SupportsMfa de l’applet de commande PowerShell Set-MsolDomainFederationSettings MSOnline v1.

Pour les domaines qui ont déjà défini la propriété SupportsMfa, ces règles déterminent comment federatedIdpMfaBehavior et SupportsMfa fonctionnent ensemble :

  • Le basculement entre federatedIdpMfaBehavior et SupportsMfa n’est pas pris en charge.
  • Une fois la propriété federatedIdpMfaBehavior définie, Microsoft Entra ID ignore le paramètre SupportsMfa.
  • Si la propriété federatedIdpMfaBehavior n’est jamais définie, Microsoft Entra ID continue d’honorer le paramètre SupportsMfa.
  • Si ni federatedIdpMfaBehavior ni SupportsMfa ne sont définis, Microsoft Entra ID opte par défaut pour le comportement acceptIfMfaDoneByFederatedIdp.

Vous pouvez vérifier l’état de la protection en exécutant Get-MgDomainFederationConfiguration :

Get-MgDomainFederationConfiguration -DomainId yourdomain.com

Planifier l’implémentation

Cette section inclut le travail préalable à effectuer avant de basculer votre méthode de connexion et de convertir les domaines.

Créer les groupes nécessaires pour le déploiement par étapes

Si vous n’utilisez pas de déploiement intermédiaire, ignorez cette étape.

Créez des groupes pour un déploiement par étapes, mais aussi pour les stratégies d’accès conditionnel si vous décidez d’en ajouter.

Nous vous recommandons d’utiliser un groupe maître dans Microsoft Entra ID, également appelé groupe cloud uniquement. Vous pouvez utiliser les groupes de sécurité Microsoft Entra ou les groupes Microsoft 365 pour le déplacement des utilisateurs vers l’authentification MFA et pour les stratégies d’accès conditionnel. Pour plus d’informations, consultez Création d’un groupe de sécurité Microsoft Entra et Vue d’ensemble des groupes Microsoft 365 pour les administrateurs.

Les membres d’un groupe sont automatiquement activés pour le déploiement par étapes. Les groupes d’appartenance dynamique et imbriqués ne sont pas pris en charge dans le déploiement par étapes.

Travail préalable d’authentification unique

La version d’authentification unique que vous utilisez dépend du système d’exploitation de votre appareil et de l’état de jointure.

Travail préalable pour PHS et PTA

Selon le choix de la méthode de connexion, effectuez le travail préalable pour PHS ou pour PTA.

Implémenter votre solution

Enfin, vous devez basculer la méthode de connexion sur PHS ou PTA, comme prévu, et convertir les domaines de la fédération en authentification cloud.

Utilisation du déploiement par étapes

Si vous utilisez le déploiement échelonné, suivez les étapes indiquées dans les liens ci-dessous :

  1. Activez le lancement intermédiaire d’une fonctionnalité spécifique sur votre locataire.

  2. Une fois les tests terminés, convertissez les domaines de fédérés à domaines à manager.

Sans déploiement par étapes

Vous avez deux options pour permettre ce changement :

  • Option A : basculez à l’aide de Microsoft Entra Connect.

    Disponible si vous avez initialement configuré votre environnement AD FS/fédéré par ping avec Microsoft Entra Connect.

  • Option B : basculez à l’aide de Microsoft Entra Connect et de PowerShell

    Disponible si vous n’avez pas initialement configuré vos domaines fédérés à l’aide de Microsoft Entra Connect ou si vous utilisez des services de fédération tiers.

Pour choisir l’une de ces options, vous devez connaître vos paramètres actuels.

Vérifier les paramètres Microsoft Entra Connect actuels

  1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Administrateur hybride.
  2. Accédez à Identité>Gestion hybride>Microsoft Entra Connect>Synchronisation cloud. Capture d’écran de la page d’accueil de Synchronisation cloud.
  1. Vérifiez les paramètres CONNEXION UTILISATEUR, comme indiqué dans ce diagramme :

Vérifier les paramètres Microsoft Entra Connect actuels

Pour vérifier la configuration de la fédération :

  1. Sur votre serveur Microsoft Entra Connect, ouvrez Microsoft Entra Connect, puis sélectionnez Configurer.

  2. Sous Tâches supplémentaires > Gérer la fédération, sélectionnez Voir la configuration de la fédération.

    Voir la gestion de la fédération

    Si la configuration d’AD FS apparaît dans cette section, vous pouvez considérer qu’AD FS a été initialement configuré à l’aide de Microsoft Entra Connect. Consultez l’image ci-dessous comme exemple :

    Voir la configuration d’ADFS

    Si AD FS n’est pas listé dans les paramètres actuels, vous devez convertir manuellement vos domaines de l’identité fédérée à l’identité managée avec PowerShell.

Option A

Passage de la fédération à la nouvelle méthode de connexion à l’aide de Microsoft Entra Connect

  1. Sur votre serveur Microsoft Entra Connect, ouvrez Microsoft Entra Connect, puis sélectionnez Configurer.

  2. Sous la page Tâches supplémentaires, sélectionnez Changer de connexion utilisateur, puis sélectionnez Suivant.

    Voir les tâches supplémentaires

  3. Sur la page Connectez-vous à Microsoft Entra ID, entrez les informations d’identification de votre compte Administrateur général.

  4. Sur la page Connexion de l’utilisateur :

    • Si vous sélectionnez le bouton de l’option Authentification directe et si l’authentification unique est nécessaire pour les appareils Windows 7 et 8.1, cochez la case Activer l’authentification unique, puis sélectionnez Suivant.

    • Si vous sélectionnez le bouton d’option Synchronisation de hachage de mot de passe, assurez-vous de cocher la case Ne pas convertir les comptes d’utilisateur. L’option est dépréciée. Si l’authentification unique est nécessaire pour les appareils Windows 7 et 8.1, cochez la case Activer l’authentification unique, puis sélectionnez Suivant.

      Cochez la case Activer l’authentification unique sur la page de connexion de l’utilisateur

    En savoir plus : Activer l’authentification unique fluide avec PowerShell.

  5. Dans la page Activer l’authentification unique, entrez les informations d’identification d’un compte d’administrateur de domaine, puis sélectionnez Suivant.

    Activer l’ouverture de session unique

    Les informations d’identification du compte d’administrateur de domaine sont nécessaires pour activer l’authentification unique fluide. Le processus effectue les actions suivantes, qui nécessitent ces autorisations élevées :

    • Un compte d’ordinateur nommé AZUREADSSO (qui représente Microsoft Entra ID) est créé dans votre instance Active Directory locale.
    • La clé de déchiffrement Kerberos du compte informatique est partagée en toute sécurité avec Microsoft Entra ID.
    • Deux noms de principal du service Kerberos sont créés pour représenter les deux URL utilisées lors de la connexion à Microsoft Entra.

    Les informations d’identification d’administrateur de domaine ne sont pas stockées dans Microsoft Entra Connect ou Microsoft Entra ID et sont supprimées une fois le processus terminé. Elles sont utilisées pour activer cette fonctionnalité.

    En savoir plus : Présentation technique approfondie de l’authentification unique fluide.

  6. Dans la page Prêt à configurer, vérifiez que la case Démarrez le processus de synchronisation une fois la configuration terminée est cochée. Ensuite, sélectionnez Configurer.

    Page « Prêt à configurer »

    Important

    À ce stade, tous vos domaines fédérés passent à l’authentification managée. Votre méthode de connexion utilisateur sélectionnée est la nouvelle méthode d’authentification.

  7. Dans le Centre d’administration Microsoft Entra, sélectionnez Microsoft Entra ID, puis Microsoft Entra Connect.

  8. Vérifiez ces paramètres :

    • Fédération est défini sur Désactivé.
    • Authentification unique fluide est défini sur Activé.
    • Synchronisation de hachage de mot de passe est défini sur Activé.

    Revérifier les paramètres utilisateur actuels

  9. Si vous passez à PTA, effectuez les étapes suivantes.

Déployer davantage d’agents d’authentification pour PTA

Remarque

Pour bénéficier de l’authentification directe, vous devez déployer des agents légers sur le serveur Microsoft Entra Connect et sur vos serveurs locaux qui exécutent Windows Server. Pour réduire la latence, installez les agents aussi près que possible de vos contrôleurs de domaine Active Directory.

Pour la plupart des clients, deux ou trois agents d’authentification suffisent à offrir la haute disponibilité et la capacité nécessaire. Un locataire peut avoir un maximum de 12 agents inscrits. Le premier agent est toujours installé sur le serveur Microsoft Entra Connect lui-même. Pour en savoir plus sur les limitations de l’agent et sur les options de déploiement des agents, consultez Authentification directe Microsoft Entra : Limitations actuelles.

  1. Sélectionnez Authentification directe.

  2. Dans la page Authentification directe, sélectionnez le bouton Télécharger.

  3. Dans la page Télécharger l’agent, sélectionnez Accepter les conditions et télécharger.

    Le téléchargement des agents d’authentification supplémentaires démarre. Installez l’agent d’authentification secondaire sur un serveur joint à un domaine.

  4. Exécutez l’installation de l’agent d’authentification. Lors de l’installation, vous devez fournir les informations d’identification d’un compte d’administrateur général.

  5. Lorsque l’agent d’authentification est installé, vous pouvez revenir à la page d’intégrité de PTA pour vérifier l’état des autres agents.

Option B

Passage de la fédération à la nouvelle méthode de connexion à l’aide de Microsoft Entra Connect et de PowerShell

Disponible si vous n’avez pas initialement configuré vos domaines fédérés à l’aide de Microsoft Entra Connect ou si vous utilisez des services de fédération tiers.

Sur votre serveur Microsoft Entra Connect, suivez les étapes 1 à 5 de l’Option A. Notez que sur la page de connexion de l’utilisateur, l’option Ne pas configurer est présélectionnée.

Consulter l’option Ne pas configurer dans la page de connexion utilisateur

  1. Dans le Centre d’administration Microsoft Entra, sélectionnez Microsoft Entra ID, puis Microsoft Entra Connect.

  2. Vérifiez ces paramètres :

  • Fédération est défini sur Activé.

  • Authentification unique fluide est défini sur Désactivé.

  • Synchronisation de hachage de mot de passe est défini sur Activé.

    Vérifier les paramètres utilisateur actuels dans le Centre d’administration Microsoft Entra

Dans le cas de PTA uniquement, suivez ces étapes pour installer d’autres serveurs agents PTA.

  1. Dans le Centre d’administration Microsoft Entra, sélectionnez Microsoft Entra ID, puis Microsoft Entra Connect.

  2. Sélectionnez Authentification directe. Vérifiez que l’état est Actif.

    Paramètres d’authentification directe

    Si l’agent d’authentification n’est pas actif, suivez ces étapes de dépannage avant de passer au processus de conversion du domaine de l’étape suivante. Si vous convertissez vos domaines avant de vérifier que vos agents d’authentification directe ont bien été installés et qu’ils sont à l’état Actif dans le Centre d’administration Microsoft Entra, vous risquez de provoquer une interruption de l’authentification.

  3. Déployez davantage d’agents d’authentification.

Convertir les domaines fédérés en domaines managés

À ce stade, l’authentification fédérée est toujours active et opérationnelle pour vos domaines. Pour poursuivre le déploiement, vous devez convertir chaque domaine de l’identité fédérée en identité managée.

Important

Vous n’êtes pas obligé de convertir tous les domaines en même temps. Vous pouvez choisir de démarrer avec un domaine de test sur votre locataire de production ou de démarrer avec votre domaine qui a le plus petit nombre d’utilisateurs.

Effectuez la conversion à l’aide du SDK Microsoft Graph PowerShell :

  1. Dans PowerShell, connectez-vous à Microsoft Entra ID à l’aide d’un compte Administrateur général.

     Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
    
  2. Pour convertir le premier domaine, exécutez la commande suivante :

     Update-MgDomain -DomainId <domain name> -AuthenticationType "Managed"
    
  3. Dans le Centre d’administration Microsoft Entra, sélectionnez Microsoft Entra ID > Microsoft Entra Connect.

  4. Vérifiez que le domaine a été converti en domaine géré en exécutant la commande ci-dessous. Le type d’authentification doit être défini sur géré.

    Get-MgDomain -DomainId yourdomain.com
    

Pour vous assurer que Microsoft Entra Connect reconnaît l’authentification directe comme activé après la conversion de votre domaine en authentification managée, mettez à jour les paramètres de méthode de connexion dans Microsoft Entra Connect pour refléter les modifications. Pour plus d’informations, consultez Documentation d’authentification directe Microsoft Entra.

Terminer votre migration

Effectuez les tâches suivantes pour vérifier la méthode d’inscription et terminer le processus de conversion.

Tester la nouvelle méthode de connexion

Quand votre locataire utilisait l’identité fédérée, les utilisateurs étaient redirigés de la page de connexion de Microsoft Entra vers votre environnement AD FS. Maintenant que le locataire est configuré pour utiliser la nouvelle méthode de connexion au lieu de l’authentification fédérée, les utilisateurs ne sont pas redirigés vers AD FS.

Au lieu de cela, ils se connectent directement sur la page de connexion de Microsoft Entra.

Effectuez les étapes décrites ici : Valider la connexion avec PHS/PTA et l’authentification unique fluide (si nécessaire)

Supprimer un utilisateur du lancement intermédiaire

Si vous avez utilisé le déploiement par étapes, n’oubliez pas de désactiver ses fonctionnalités une fois que vous avez terminé le basculement.

Pour désactiver la fonctionnalité de déploiement intermédiaire, assurez-vous que le contrôle est sur Désactiver.

Synchroniser les mises à jour de userPrincipalName

Historiquement, les mises à jour de l’attribut UserPrincipalName, qui utilise le service de synchronisation à partir de l’environnement local, sont bloquées sauf si les deux conditions suivantes sont remplies :

  • L’utilisateur est dans un domaine d’identité (non fédérée) managée.
  • Aucune licence n’a été affectée à l’utilisateur.

Pour savoir comment vérifier ou activer cette fonctionnalité, consultez Synchroniser les mises à jour de userPrincipalName.

Gérer l’implémentation

Substituer la clé de déchiffrement Kerberos pour l’authentification unique fluide

Nous vous recommandons de changer la clé de déchiffrement Kerberos au moins tous les 30 jours, pour vous aligner sur la façon dont les membres du domaine Active Directory soumettent des changements de mot de passe. Comme aucun appareil n’est associé à l’objet de compte d’ordinateur AZUREADSSO, vous devez effectuer ce changement de clé manuellement.

Voir la FAQ : Comment puis-je substituer la clé de déchiffrement Kerberos du compte d’ordinateur AZUREADSSO ?.

Surveillance et journalisation

Surveillez les serveurs qui exécutent les agents d’authentification pour conserver la disponibilité de la solution. En plus des compteurs de performance généraux du serveur, les agents d’authentification exposent des objets de performance qui peuvent être utilisés pour comprendre les erreurs et les statistiques associées à l’authentification.

Les agents d’authentification consignent les opérations dans les journaux des événements Windows sous Application and Service Logs. Vous pouvez également activer la journalisation pour le dépannage.

Pour confirmer les différentes actions effectuées lors du déploiement par étapes, vous pouvez Vérifier les événements pour PHS, PTA ou authentification unique fluide.

Dépanner

Votre équipe de support doit comprendre comment résoudre les problèmes d’authentification qui surviennent pendant ou après le passage de l’authentification fédérée à l’authentification managée. Utilisez la documentation de dépannage suivante pour aider votre équipe de support à se familiariser avec les procédures de dépannage courantes, et les mesures à prendre pour isoler et résoudre le problème.

Désactiver l’infrastructure AD FS

Migrer l’authentification d’application d’AD FS vers Microsoft Entra ID

La migration exige l’évaluation de la configuration locale de l’application, puis le mappage de cette configuration dans Microsoft Entra ID.

Si vous envisagez de continuer à utiliser des applications AD FS avec des applications sur site et SaaS à l’aide de SAML/WS-FED ou du protocole OAuth, vous utiliserez à la fois AD ​ FS et Microsoft Entra ID après avoir converti les domaines pour l’authentification de l’utilisateur. Dans ce cas, vous pouvez protéger vos applications et ressources locales avec Secure Hybrid Access (SHA) via le Proxy d’application Microsoft Entra ou l’une des intégrations partenaires de Microsoft Entra ID. À l’aide du Proxy d’application ou d’un de nos partenaires, vous pouvez fournir un accès à distance sécurisé à vos applications locales. Les utilisateurs bénéficient d’une connexion facile à leurs applications à partir de n’importe quel appareil après une authentification unique.

Vous pouvez déplacer les applications SaaS actuellement fédérées avec ADFS sur Microsoft Entra ID. Ces applications peuvent être reconfigurées pour s'authentifier avec Microsoft Entra ID soit via un connecteur intégré de la galerie Azure App, soit en inscrivant l'application personnalisée dans Microsoft Entra ID.

Pour plus d'informations, consultez Déplacement de l'authentification d'application des services de fédération Active Directory (AD FS) vers Microsoft Entra ID.

Supprimer une approbation de partie de confiance

Si vous disposez de Microsoft Entra Connect Health, vous pouvez analyser l’utilisation depuis le Centre d’administration Microsoft Entra. Si l’utilisation ne montre aucune nouvelle requête d’authentification et après avoir vérifié le bon fonctionnement de l’authentification de tous les utilisateurs et clients via Microsoft Entra ID, vous pouvez supprimer sans danger l’approbation de partie de confiance de Microsoft 365.

Si vous n’utilisez pas AD FS à d’autres fins (c’est-à-dire pour d’autres approbations de partie de confiance), vous pouvez mettre AD FS hors service sans problème.

Supprimer AD FS

Pour connaître toutes les étapes à suivre pour supprimer complètement AD FS de l’environnement, consultez le guide de retrait des services de fédération Active Directory (AD FS).

Étapes suivantes