Configuration des ID de connexion alternatif

Qu’est-ce que l’ID de connexion alternatif ?

Dans la plupart des scénarios, les utilisateurs utilisent leur UPN (User Principal Names) pour se connecter à leurs comptes. Toutefois, dans certains environnements créés par des stratégies d’entreprise ou en cas de dépendances d’applications de cœur de métier locales, les utilisateurs peuvent utiliser une autre forme de connexion.

Remarque

Les meilleures pratiques recommandées par Microsoft sont de faire correspondre le nom d’utilisateur principal à l’adresse SMTP principale. Cet article traite du faible pourcentage de clients qui ne peuvent pas corriger la correspondance entre les UPN.

Par exemple, ils peuvent utiliser leur ID d’e-mail pour la connexion, qui peut être différent de leur UPN. Cela est particulièrement courant dans les scénarios où leur UPN n’est pas routable. Envisagez un utilisateur Jane Doe avec un UPN jdoe@contoso.local et une adresse e-mail jdoe@contoso.com. Jane n’est peut-être même pas au courant de l’UPN, car elle a toujours utilisé son ID d’e-mail pour se connecter. L’utilisation de toute autre méthode de connexion au lieu d’un UPN constitue un ID alternatif. Pour plus d'informations sur la façon dont l'UPN est créé, consultez Population UserPrincipalName Microsoft Entra.

Les services de fédération Active Directory (AD FS) permettent aux applications fédérées utilisant AD FS de se connecter à l’aide d’un ID alternatif. Cela permet aux administrateurs de spécifier une alternative à l’UPN par défaut, qui peut être utilisée pour la connexion. AD FS prend déjà en charge l’utilisation de n’importe quelle forme d’identifiant utilisateur accepté par les services de domaine Active Directory (AD DS). Lorsqu’ils sont configurés pour un ID alternatif, les AD FS permettent aux utilisateurs de se connecter à l’aide de la valeur d’ID alternatif configurée, telle que l’ID d’e-mail. L’utilisation de l’ID alternatif vous permet d’adopter des fournisseurs SaaS tels qu’Office 365 sans modifier vos UPN locaux. Elle vous permet également de prendre en charge les applications de service cœur de métier avec des identités provisionnées par le consommateur.

Autre ID dans Microsoft Entra ID

Une organisation peut devoir utiliser un ID alternatif dans les scénarios suivants :

  1. Le nom de domaine local n’est pas routable, par exemple contoso.local, et par conséquent, le nom d’utilisateur principal par défaut n’est pas routable (jdoe@contoso.local). L’UPN existant ne peut pas être modifié en raison de dépendances d’application locale ou de stratégies d’entreprise. Microsoft Entra ID et Office 365 exigent que tous les suffixes de domaine associés au annuaire Microsoft Entra soient entièrement routables sur Internet.
  2. L’UPN local n’est pas identique à l’adresse e-mail de l’utilisateur et pour se connecter à Office 365, les utilisateurs utilisent l’adresse e-mail et l’UPN ne peut pas être utilisé en raison de contraintes organisationnelles. Dans les scénarios évoqués ci-dessus, un ID alternatif avec AD FS permet aux utilisateurs de se connecter à Microsoft Entra ID sans modifier vos UPN locaux.

Configurer un ID d’ouverture de session alternatif

Utilisation de Microsoft Entra Connect Nous vous recommandons d'utiliser Microsoft Entra Connect pour configurer un AUTRE ID d'ouverture de session pour votre environnement.

  • Pour connaître la nouvelle configuration Microsoft Entra Connect, consultez Se connecter à Microsoft Entra ID pour obtenir des instructions détaillées sur la manière de configurer un ID alternatif et une batterie de serveurs AD FS.
  • Pour les installations Microsoft Entra Connect existantes, consultez Modification de la méthode de connexion utilisateur, afin d'obtenir des instructions sur la modification de la méthode de connexion à AD FS

Quand Microsoft Entra Connect reçoit des détails sur l'environnement AD FS, il vérifie automatiquement la présence de la base de connaissances adéquate sur votre AD FS et configure AD FS pour un ID alternatif, y compris toutes les règles de revendication de droit nécessaires pour l'approbation de fédération Microsoft Entra ID. Il n’y a aucune autre étape supplémentaire requise en dehors de l’Assistant pour configurer un ID alternatif.

Remarque

Microsoft recommande d'utiliser Microsoft Entra Connect pour configurer un ID alternatif d'ouverture de session.

Configurer manuellement un ID alternatif

Pour configurer un ID de connexion alternatif, vous devez effectuer les tâches suivantes :

Configurer vos approbations de fournisseur de revendications AD FS pour activer un ID de connexion alternatif

  1. Si vous avez Windows Server 2012 R2, vérifiez que kb2919355 est installé sur tous les serveurs AD FS. Vous pouvez l’obtenir via Windows Update Services ou le télécharger directement.

  2. Mettez à jour la configuration AD FS en exécutant l’applet de commande PowerShell suivante sur n’importe lequel des serveurs de fédération de votre batterie de serveurs (si vous disposez d’une batterie de serveurs WID, vous devez exécuter cette commande sur le serveur AD FS principal de votre batterie de serveurs) :

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID <attribute> -LookupForests <forest domain>

AlternateLoginID est le nom LDAP de l’attribut que vous souhaitez utiliser pour la connexion.

LookupForests est la liste du DNS de forêt auquel appartiennent vos utilisateurs.

Pour activer la fonctionnalité d’ID de connexion alternatif, vous devez configurer les paramètres -AlternateLoginID et -LookupForests avec une valeur valide et non-null.

Dans l’exemple suivant, vous activez la fonctionnalité d’ID de connexion alternatif, afin que vos utilisateurs disposant de comptes dans les forêts contoso.com et fabrikam.com puissent se connecter aux applications AD FS avec leur attribut « mail ».

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests contoso.com,fabrikam.com
  1. Pour désactiver cette fonctionnalité, définissez la valeur sur null pour les deux paramètres.
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID $NULL -LookupForests $NULL

Authentification moderne hybride avec un ID alternatif

Important

Les éléments suivants ont été testés uniquement sur AD FS et non sur des fournisseurs d’identité tiers.

Exchange et Skype for Business

Si vous utilisez un ID de connexion alternatif avec Exchange et Skype Entreprise, l’expérience utilisateur varie selon que vous utilisiez ou non l’authentification moderne hybride (HMA).

Notes

Pour une expérience utilisateur optimale, Microsoft recommande d’utiliser l’authentification moderne hybride.

Pour plus d’informations, consultez Vue d’ensemble de l’authentification moderne hybride

Conditions préalables pour Exchange et Skype for Business

Les éléments suivants sont des conditions préalables à l’authentification unique avec un ID alternatif.

  • L’authentification moderne doit être activée sur Exchange Online.
  • L’authentification moderne doit être activée sur Skype for Business (SFB) Online.
  • L’authentification moderne doit être activée sur Exchange local. Exchange 2013 CU19 ou Exchange 2016 CU18 et versions ultérieures sont requis sur tous les serveurs Exchange. Aucun Exchange 2010 dans l’environnement.
  • L’authentification moderne doit être activée sur Skype for Business local.
  • Vous devez utiliser les clients Exchange et Skype qui ont l’authentification moderne activée. Tous les serveurs doivent exécuter SFB Server 2015 CU5.
  • Les clients Skype for Business qui sont compatibles avec l’authentification moderne
    • iOS, Android, Windows Phone
    • SFB 2016 (l’authentification moderne est activée par défaut, mais assurez-vous qu’elle n’a pas été désactivée.)
    • SFB 2013 (l’authentification moderne est désactivée par défaut, vérifiez donc qu’elle a été activée.)
    • Bureau Mac SFB
  • Les clients Exchange qui sont compatibles avec l’authentification moderne et prennent en charge les regkeys AltID
    • Office Pro Plus 2016 uniquement

Version d’Office prise en charge

Configuration de votre répertoire pour l’authentification unique avec un ID alternatif

L’utilisation d’un ID alternatif peut entraîner d’autres invites d’authentification si ces configurations supplémentaires ne sont pas terminées. Consultez l’article pour connaître l’impact possible sur l’expérience utilisateur avec un ID alternatif.

Avec la configuration supplémentaire suivante, l’expérience utilisateur est considérablement améliorée et vous pouvez obtenir près de zéro invite d’authentification pour les utilisateurs d’ID alternatif dans votre organisation.

Étape 1 : mettre à jour vers la version requise d'Office

Office version 1712 (build n° 8827.2148) et les versions ultérieures ont mis à jour la logique d’authentification pour gérer le scénario d’ID alternatif. Pour tirer profit de la nouvelle logique, les ordinateurs clients doivent être mis à jour vers Office version 1712 (build n° 8827.2148) et versions ultérieures.

Étape 2 : mettre à jour vers la version requise de Windows

Windows version 1709 et les versions ultérieures ont mis à jour la logique d’authentification pour gérer le scénario d’ID alternatif. Pour tirer profit de la nouvelle logique, les ordinateurs clients doivent être mis à jour vers Windows version 1709 et versions ultérieures.

Étape 3 : configurer le registre pour les utilisateurs concernés à l'aide d'une stratégie de groupe

Les applications office s’appuient sur les informations envoyées par l’administrateur de répertoire, afin d’identifier l’environnement d’ID alternatif. Les clés de Registre suivantes doivent être configurées pour aider les applications Office à authentifier l’utilisateur avec un ID alternatif sans afficher d’invites supplémentaires.

Regkey à ajouter Nom, type et valeur des données regkey Windows 7/8 Windows 10 Description
HKEY_CURRENT_USER\Software\Microsoft\AuthN DomainHint
REG_SZ
contoso.com
Obligatoire Obligatoire La valeur de cette regkey est un nom de domaine personnalisé vérifié dans le locataire de l’organisation. Par exemple, Contoso corp peut fournir une valeur de Contoso.com dans cette regkey si Contoso.com est l’un des noms de domaine personnalisés vérifiés dans le Contoso.onmicrosoft.com locataire.
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity EnableAlternateIdSupport
REG_DWORD
1
Requis pour Outlook 2016 ProPlus Requis pour Outlook 2016 ProPlus La valeur de cette clé regkey peut être 1 / 0 pour indiquer à l’application Outlook si elle doit impliquer la logique d’authentification d’ID alternatif améliorée.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com\sts *
REG_DWORD
1
Obligatoire Obligatoire Cette regkey peut être utilisée pour définir le STS en tant que zone approuvée dans les paramètres Internet. Le déploiement AD FS standard recommande d’ajouter l’espace de noms AD FS à la zone Intranet local pour Internet Explorer.

Nouveau flux d’authentification après une configuration supplémentaire

Authentication flow

  1. a : L'utilisateur est provisionné dans Microsoft Entra ID à l'aide de l'ID alternatif
    b : L'administrateur d'annuaire envoie les paramètres regkey requis aux ordinateurs clients concernés
  2. L’utilisateur s’authentifie sur l’ordinateur local et ouvre une application Office
  3. L’application Office prend les informations d’identification de session locales
  4. L'application Office s'authentifie auprès Microsoft Entra ID à l'aide d'un indicateur de domaine envoyé par l'administrateur et les informations d'identification locales
  5. Microsoft Entra ID authentifie correctement l'utilisateur en le dirigeant vers le domaine de fédération adéquat et émet un jeton

Applications et expérience utilisateur après la configuration supplémentaire

Clients non Exchange et Skype for Business

Client Déclaration de support Notes
Microsoft Teams Prise en charge
  • Microsoft Teams prend en charge AD FS (SAML-P, WS-Fed, WS-Trust et OAuth) et l’authentification moderne.
  • Les fonctionnalités principales de Microsoft Teams, telles que les canaux, les conversations et les fichiers, fonctionnent avec l’ID de connexion alternatif.
  • Le client doit examiner séparément les applications premières et tierces. En effet, chaque application possède ses propres protocoles d’authentification de prise en charge.
  • OneDrive Entreprise Pris en charge : clé de Registre côté client recommandée Avec un ID alternatif configuré, vous voyez que l’UPN local est prérempli dans le champ de vérification. Ceci doit être modifié par l’autre identité utilisée. Nous vous recommandons d’utiliser la clé de Registre côté client indiquée dans cet article : Office 2013 et Lync 2013 demandent régulièrement des informations d’identification pour SharePoint Online, OneDrive et Lync Online.
    Client OneDrive Entreprise for Business Mobile Prise en charge
    Page d’activation Office 365 Pro Plus Pris en charge : clé de Registre côté client recommandée Avec un ID alternatif configuré, vous voyez que l’UPN local est prérempli dans le champ de vérification. Ceci doit être modifié par l’autre identité utilisée. Nous vous recommandons d’utiliser la clé de Registre côté client indiquée dans cet article : Office 2013 et Lync 2013 demandent régulièrement des informations d’identification pour SharePoint Online, OneDrive et Lync Online.

    Clients Exchange et Skype for Business

    Client Déclaration de support - avec HMA Déclaration de support - sans HMA
    Outlook Pris en charge, aucune invite supplémentaire Pris en charge

    avec l’authentification moderne pour Exchange Online : pris en charge

    avec l’authentification normale pour Exchange Online : pris en charge avec les restrictions suivantes :
  • Vous devez être sur un ordinateur joint à un domaine et connecté au réseau d’entreprise
  • Vous pouvez uniquement utiliser un ID alternatif dans les environnements qui n’autorisent pas l’accès externe aux utilisateurs de boîte aux lettres. Cela signifie que les utilisateurs peuvent uniquement s’authentifier auprès de leur boîte aux lettres d’une manière prise en charge lorsqu’ils sont connectés et joints au réseau d’entreprise, sur un VPN ou connectés via des ordinateurs Direct Access, mais vous recevez quelques invites supplémentaires lors de la configuration de votre profil Outlook.
  • Dossiers publics hybrides Pris en charge, aucune invite supplémentaire. Avec authentification moderne pour Exchange Online : pris en charge

    Avec authentification normale pour Exchange Online : non pris en charge

  • Les dossiers publics hybrides ne peuvent pas se développer si des ID alternatifs sont utilisés et ne doivent donc pas être utilisés aujourd’hui avec les méthodes d’authentification normales.
  • Délégation entre sites Consultez Configurer Exchange pour prendre en charge les autorisations de boîte aux lettres déléguées dans un déploiement hybride Consultez Configurer Exchange pour prendre en charge les autorisations de boîte aux lettres déléguées dans un déploiement hybride
    Accès aux boîtes aux lettres d’archivage (boîte aux lettres locale - archive dans le cloud) Pris en charge, aucune invite supplémentaire Pris en charge : les utilisateurs reçoivent une invite supplémentaire pour les informations d’identification lorsqu’ils accèdent à l’archive. Ils doivent fournir leur ID alternatif quand ils y sont invités.
    Outlook Web Access Prise en charge Prise en charge
    Outlook Mobile Apps pour Android, IOS et Windows Phone Prise en charge Prise en charge
    Skype for Business/ Lync Pris en charge, aucune invite supplémentaire Pris en charge (sauf indication contraire), mais il existe un risque de confusion de l’utilisateur.

    Sur les clients mobiles, l’ID alternatif est pris en charge uniquement si adresse SIP = adresse e-mail = ID alternatif.

    Les utilisateurs peuvent avoir besoin de se connecter deux fois au client de bureau Skype Entreprise, d’abord à l’aide de l’UPN local, puis de l’ID alternatif. (Notez que l'« adresse de connexion » est en fait l’adresse SIP qui peut ne pas être identique à « Nom d’utilisateur », bien que cela soit souvent le cas). Lorsqu’il est invité à entrer un nom d’utilisateur, l’utilisateur doit entrer l’UPN, même s’il est correctement prérempli avec l’ID alternatif ou l’adresse SIP. Une fois que l’utilisateur clique sur Se connecter avec l’UPN, l’invite de nom d’utilisateur réapparaît, cette fois préremplies avec l’UPN. Cette fois, l’utilisateur doit le remplacer par l’ID alternatif et cliquer sur Se connecter pour terminer le processus de connexion. Sur les clients mobiles, les utilisateurs doivent entrer l’ID utilisateur local dans la page avancée, en utilisant le format de style SAM (domaine\nom d’utilisateur), et non le format UPN.

    Une fois la connexion établie, si Skype Entreprise ou Lync indique « Exchange a besoin de vos informations d’identification », vous devez fournir les informations d’identification valides là où se trouve la boîte aux lettres. Si la boîte aux lettres se trouve dans le cloud, vous devez fournir l’ID alternatif. Si la boîte aux lettres est locale, vous devez fournir l’UPN local.

    Détails et considérations supplémentaires

    • Microsoft Entra ID offre différentes fonctionnalités liées à « ID de connexion alternatif »

    • La fonctionnalité d’ID de connexion alternatif décrite dans cet article est disponible pour les environnements d’infrastructure d’identité fédérée1. N'est pas pris en charge dans les scénarios suivants :

    • Lorsqu’elle est activée, la fonctionnalité d’ID de connexion alternatif est uniquement disponible pour l’authentification par nom d’utilisateur/mot de passe sur tous les protocoles d’authentification de nom d’utilisateur/mot de passe pris en charge par AD FS (SAML-P, WS-Fed, WS-Trust et OAuth).

    • Lorsque l’authentification intégrée Windows (WIA) est effectuée (par exemple, lorsque les utilisateurs tentent d’accéder à une application d’entreprise sur un ordinateur joint à un domaine à partir de l’intranet et que l’administrateur AD FS a configuré la stratégie d’authentification pour utiliser WIA pour intranet), l’UPN est utilisé pour l’authentification. Si vous avez configuré des règles de revendication pour les parties de confiance pour une fonctionnalité d’ID de connexion alternatif, vous devez veiller à ce que ces règles soient toujours valides dans le cas WIA.

    • Lorsqu’elle est activée, la fonctionnalité d’ID de connexion alternatif nécessite qu’au moins un serveur de catalogue global soit accessible à partir du serveur AD FS pour chaque forêt de comptes d’utilisateur prise en charge par AD FS. Si vous n’atteignez pas un serveur de catalogue global dans la forêt de comptes d’utilisateur, AD FS recommencera à utiliser UPN. Par défaut, tous les contrôleurs de domaine sont des serveurs de catalogue global.

    • Lorsque cette option est activée, si le serveur AD FS trouve plusieurs objets utilisateur avec la même valeur d’ID de connexion alternatif spécifiée dans toutes les forêts de comptes d’utilisateur configurées, la connexion échoue.

    • Lorsque la fonctionnalité d’ID de connexion alternatif est activée, AD FS tente d’authentifier d’abord l’utilisateur final avec un ID de connexion alternatif, puis d’utiliser UPN s’il ne trouve pas de compte qui peut être identifié par l’ID de connexion alternatif. Vous devez vous assurer qu’il n’existe aucun conflit entre l’ID de connexion alternatif et l’UPN si vous souhaitez toujours prendre en charge la connexion UPN. Par exemple, la définition de l’attribut de messagerie de quelqu’un avec l’UPN d’un autre empêche l’autre utilisateur de se connecter avec son UPN.

    • Si l’une des forêts configurées par l’administrateur est hors service, AD FS continue de rechercher un compte d’utilisateur avec un ID de connexion alternatif dans d’autres forêts qui sont configurées. Si le serveur AD FS trouve un objet utilisateur unique dans les forêts qui ont fait l’objet de sa recherche, un utilisateur se connecte correctement.

    • Vous pouvez également personnaliser la page de connexion AD FS pour donner aux utilisateurs finaux des conseils sur l’ID de connexion alternatif. Vous pouvez le faire en ajoutant la description de la page de connexion personnalisée (pour plus d’informations, voir Personnalisation des pages de connexion AD FS ou personnalisation de la chaîne « Se connecter avec un compte d’organisation » au-dessus du champ de nom d’utilisateur (pour plus d’informations, voir Personnalisation avancée des pages de connexion AD FS.

    • Le nouveau type de revendication qui contient la valeur d’ID de connexion alternatif est http:schemas.microsoft.com/ws/2013/11/alternateloginid

    1 Un environnement d’infrastructure d’identité fédérée représente un environnement avec un fournisseur d’identité, tel que AD FS ou d’autres IdP tiers.

    2 Un environnement d'infrastructure d'identité managée représente un environnement avec Microsoft Entra ID comme fournisseur d'identité déployé avec la synchronisation du hachage du mot de passe (PHS) ou l'authentification directe (PTA).

    Événements et compteurs de performance

    Les compteurs de performances suivants ont été ajoutés pour mesurer les performances des serveurs AD FS lorsqu’un ID de connexion alternatif est activé :

    • Authentifications d’ID de connexion alternatif : nombre d’authentifications effectuées à l’aide d’un ID de connexion alternatif

    • Authentifications d’ID de connexion alternatif/sec : nombre d’authentifications effectuées à l’aide d’un ID de connexion alternatif par seconde

    • Latence de recherche moyenne pour l’ID de connexion alternatif : latence de recherche moyenne parmi les forêts qu’un administrateur a configurées pour un ID de connexion alternatif

    Voici différents cas d’erreur et l’impact correspondant sur l’expérience de connexion d’un utilisateur avec des événements enregistrés par AD FS :

    Cas d’erreur Impact sur l’expérience de connexion Event
    Impossible d’obtenir une valeur pour SAMAccountName pour l’objet utilisateur Échec de connexion ID d’événement 364 avec le message d’exception MSIS8012 : Impossible de trouver samAccountName pour l’utilisateur : « {0} ».
    L’attribut CanonicalName n’est pas accessible Échec de connexion ID d’événement 364 avec le message d’exception MSIS8013 : CanonicalName : « {0} » de l’utilisateur : « {1} » est au format incorrect.
    Plusieurs objets utilisateur se trouvent dans une forêt Échec de connexion ID d’événement 364 avec le message d’exception MSIS8015 : Plusieurs comptes d’utilisateur avec l’identité «{0} » dans la forêt «{1} » avec des identités : {2}
    Plusieurs objets utilisateur sont trouvés dans plusieurs forêts Échec de connexion ID d’événement 364 avec le message d’exception MSIS8014 : Plusieurs comptes d’utilisateur avec l’identité «{0} » ont été trouvés dans les forêts : {1}

    Voir aussi

    Opérations d’AD FS