Configurer le comportement de connexion à l’aide de la découverte de domaine d’accueil
Cet article est une introduction à la configuration du comportement d’authentification Microsoft Entra pour les utilisateurs fédérés à l’aide de la stratégie de découverte du domaine d’accueil. Il aborde la connexion d’accélération automatique permettant d’ignorer l’écran d’entrée du nom d’utilisateur et de transférer automatiquement les utilisateurs vers les points de terminaison de connexion fédérés. Pour en savoir plus sur la stratégie HRD, consultez l’article Découverte du domaine d’accueil.
Connexion d’accélération automatique
Certaines organisations configurent les domaines dans leur locataire Microsoft Entra afin de les fédérer avec un autre fournisseur d’identité, tels que les services de fédération Active Directory (ADFS) pour l’authentification des utilisateurs. Quand un utilisateur se connecte à une application, une page de connexion Microsoft Entra s’affiche d’abord. Après avoir entré leur nom d’utilisateur principal (UPN), si les utilisateurs se trouvent dans un domaine fédéré, ils sont dirigés vers la page de connexion du fournisseur d’identité traitant ce domaine. Dans certaines circonstances, les administrateurs peuvent vouloir diriger les utilisateurs vers la page de connexion quand ils se connectent à des applications spécifiques. Par conséquent, les utilisateurs peuvent ignorer la première page de Microsoft Entra ID. Ce processus est dénommé « accélération automatique de la connexion ».
Pour les utilisateurs fédérés avec des informations d’identification basées sur le cloud, telles que les clés de connexion par SMS ou FIDO, vous devez empêcher l’accélération automatique des connexions. Pour savoir comment empêcher les indications de domaine avec la découverte de domaine d’accueil, consultez Désactiver les connexions à accélération automatique.
Important
À partir d'avril 2023, les organisations qui utilisent l'accélération automatique ou les liens intelligents pourraient commencer à voir un nouvel écran ajouté à l'interface utilisateur de connexion. Cet écran, appelé boîte de dialogue de confirmation du domaine, fait partie de l’engagement général de Microsoft concernant le renforcement de la sécurité et nécessite de l’utilisateur la confirmation du domaine du locataire auquel il se connecte. Si vous voyez la boîte de dialogue de confirmation du domaine et que vous ignorez le domaine de locataire répertorié, vous devez annuler le flux d’authentification et contacter votre Administration informatique.
Pour plus d'informations, veuillez visiter la Boîte de dialogue de confirmation de domaine.
Prérequis
Pour configurer la stratégie découverte du domaine pour une application dans Microsoft Entra ID, vous avez besoin des éléments suivants :
- Compte Azure avec un abonnement actif. Si vous n’en avez pas déjà un, vous pouvez créer un compte gratuit.
- Un des rôles suivants : Administrateur d’application, administrateur d’application cloud ou propriétaire du principal de service.
- La dernière préversion des cmdlets Azure AD PowerShell.
Définir une stratégie de découverte du domaine d’accueil sur une application
Nous allons utiliser des applets de commande PowerShell Azure AD dans le cadre de quelques scénarios, dont les suivants :
Nous allons utiliser Microsoft Graph pour parcourir quelques scénarios, notamment :
Configurer une stratégie de découverte du domaine d’accueil afin d’exécuter l’accélération automatique pour une application dans un client avec un seul domaine fédéré.
Configurer une stratégie de découverte du domaine d’accueil afin d’exécuter l’accélération automatique pour une application vers un des domaines parmi ceux qui sont vérifiés pour votre locataire.
Configurer une stratégie de découverte du domaine d’accueil afin d’effectuer l’authentification directe du nom d’utilisateur/mot de passe sur Microsoft Entra ID pour un utilisateur fédéré.
Répertorier les applications pour lesquelles une stratégie est configurée.
Dans les exemples suivants, vous créez, mettez à jour, liez et supprimez des stratégies de découverte de domaine d’accueil sur des principaux de service d’application dans Microsoft Entra ID.
Remarque
Les modules Azure AD et MSOnline PowerShell sont dépréciés depuis le 30 mars 2024. Pour en savoir plus, lisez les informations de dépréciation. Passé cette date, la prise en charge de ces modules est limitée à une assistance de migration vers le SDK et les correctifs de sécurité Microsoft Graph PowerShell. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.
Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour explorer les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Remarque : Les versions 1.0.x de MSOnline peuvent connaître une interruption après le 30 juin 2024.
Avant de commencer, exécutez la commande Connect pour vous connecter à votre compte d'administrateur Microsoft Entra ID :
Connect-AzureAD -Confirm
Exécutez la commande suivante pour afficher toutes les stratégies dans votre organisation :
Get-AzureADPolicy
Si aucun résultat n’est retourné, cela signifie qu’aucune stratégie n’est créée dans votre locataire.
Créer une stratégie de découverte du domaine d’accueil
Dans cet exemple, vous créez une stratégie de sorte que lorsque vous l’affectez à une application, celle-ci :
- Accélère automatiquement la redirection des utilisateurs vers un écran de connexion de fournisseur d’identité fédéré lors de la connexion à une application quand votre locataire comporte un domaine unique.
- Accélère automatiquement la redirection des utilisateurs vers un écran de connexion de fournisseur d’identité fédéré quand il existe plusieurs domaines fédérés dans votre locataire.
- Active la connexion du nom d’utilisateur/mot de passe non interactive directement dans Microsoft Entra ID pour les utilisateurs fédérés dans les applications auxquelles la stratégie est affectée.
La stratégie suivante accélère automatiquement la redirection des utilisateurs vers un écran de connexion de fournisseur d’identité fédéré quand ils se connectent à une application lorsque votre locataire comporte un seul domaine.
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true}}") -DisplayName BasicAutoAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies
"HomeRealmDiscoveryPolicy": {
"AccelerateToFederatedDomain": true
}
La stratégie suivante accélère automatiquement la redirection des utilisateurs vers un écran de connexion de fournisseur d’identité fédéré quand il existe plusieurs domaines fédérés dans votre locataire. Si vous avez plusieurs domaines fédérés qui authentifient les utilisateurs pour les applications, vous devez spécifier le domaine pour l’accélération automatique.
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true, `"PreferredDomain`":`"federated.example.edu`"}}")
-DisplayName MultiDomainAutoAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies
"HomeRealmDiscoveryPolicy": {
"AccelerateToFederatedDomain": true,
"PreferredDomain": [
"federated.example.edu"
]
}
La stratégie suivante active l’authentification du nom d’utilisateur/mot de passe pour les utilisateurs fédérés directement avec Microsoft Entra ID pour des applications spécifiques :
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AllowCloudPasswordValidation`":true}}")
-DisplayName EnableDirectAuthPolicy
-Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies
"EnableDirectAuthPolicy": {
"AllowCloudPasswordValidation": true
}
Pour afficher votre nouvelle stratégie et obtenir son ID d’objet, exécutez la commande ci-après :
Get-AzureADPolicy
Pour appliquer une stratégie de découverte du domaine d’accueil après l’avoir créée, vous pouvez l’affecter à plusieurs principaux de service d’application.
Rechercher le principal de service pour affecter la stratégie
Vous avez besoin de l’ID d’objet des principaux de service auxquels vous souhaitez affecter la stratégie. Il existe plusieurs façons de rechercher l’ID d’objet des principaux de service.
Vous pouvez utiliser le Centre d’administration Microsoft Entra ou interroger Microsoft Graph. Vous pouvez également accéder à l’outil Afficheur Graph et vous connecter à votre compte Microsoft Entra ID pour voir tous les principaux de service de votre organisation.
Étant donné que vous utilisez PowerShell, vous pouvez utiliser la cmdlet suivante pour répertorier les principaux de service et leurs identifiants.
Get-AzureADServicePrincipal
Affecter la stratégie à votre principal de service
Une fois que vous avez l’ID d’objet du principal de service de l’application pour laquelle vous souhaitez configurer l’accélération automatique, exécutez la commande suivante. Cette commande associe la stratégie de découverte du domaine d’accueil que vous avez créée à l’étape 1 au principal de service que vous avez localisé à l’étape 2.
Add-AzureADServicePrincipalPolicy
-Id <ObjectID of the Service Principal>
-RefObjectId <ObjectId of the Policy>
Vous pouvez répéter cette commande pour chaque principal de service auquel vous souhaitez ajouter la stratégie.
Dans le cas où une stratégie HomeRealmDiscovery est déjà attribuée à une application, vous ne pouvez pas en ajouter une deuxième. Dans ce cas, modifiez la définition de la stratégie de découverte de domaine d’accueil affectée à l’application pour ajouter d’autres paramètres.
Vérifier à quels principaux de services votre stratégie HRD est affectée
Pour déterminer les applications pour lesquelles la stratégie de découverte du domaine d’accueil est configurée, utilisez l’applet de commande Get-AzureADPolicyAppliedObject. Passez-lui l’ID d’objet de la stratégie sur laquelle porte la vérification.
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
Testez l’application pour vérifier que la nouvelle stratégie fonctionne.
répertorier les applications pour lesquelles une stratégie de découverte du domaine d’accueil est configurée
Répertorier toutes les stratégies créées dans votre organisation
Get-AzureADPolicy
Notez l’ID d’objet de la stratégie dont vous souhaitez répertorier les affectations.
Répertorier les principaux de service auxquels la stratégie est affectée
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
Supprimer une stratégie de découverte du domaine d’accueil dans une application
Obtenir l’ID d’objet
Utilisez l’exemple précédent pour obtenir l’ID d’objet de la stratégie et celui du principal de service d’application dont vous souhaitez la supprimer.
Supprimer l’affectation de stratégie du principal de service d’application
Remove-AzureADServicePrincipalPolicy -id <ObjectId of the Service Principal> -PolicyId <ObjectId of the policy>
Vérifier la suppression en listant les principaux de service auxquels la stratégie est affectée
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
Configuration de stratégie via l’Explorateur graphique
Depuis la fenêtre de l’Afficheur Microsoft Graph :
Connectez-vous avec l’un des rôles listés dans la section des prérequis.
Obtenez le consentement à l’autorisation
Policy.ReadWrite.ApplicationConfiguration
.Utilisez la stratégie de découverte de l’accueil de domaine pour créer une stratégie.
POST la nouvelle politique ou PATCH pour la mise à jour d'une stratégie existante.
PATCH /policies/homeRealmDiscoveryPolicies/{id} { "definition": [ "{\"HomeRealmDiscoveryPolicy\": {\"AccelerateToFederatedDomain\":true, \"PreferredDomain\":\"federated.example.edu\", \"AlternateIdLogin\":{\"Enabled\":true}}}" ], "displayName": "Home Realm Discovery auto acceleration", "isOrganizationDefault": true }
Pour afficher votre nouvelle politique, exécutez la requête suivante :
GET /policies/homeRealmDiscoveryPolicies/{id}
Pour affecter la nouvelle stratégie à une application :
POST /servicePrincipals/{id}/homeRealmDiscoveryPolicies/$ref
Ou,
POST /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/$ref
Répertorier les principaux de service auxquels la stratégie est affectée
GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo
Pour supprimer la stratégie HRD que vous avez créée, exécutez la requête :
DELETE /policies/homeRealmDiscoveryPolicies/{id}
Supprimer l’affectation de la stratégie du principal de service
DELETE /servicePrincipals/{id}/homeRealmDiscoveryPolicies/{policyId}/$ref
ou
DELETE /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/{policyId}/$ref
Vérifier la suppression en listant les principaux de service auxquels la stratégie est affectée
GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo