Migrer de la fédération vers l’authentification basée sur les certificats (CBA) Microsoft Entra

Cet article explique comment passer de l’exécution sur des serveurs fédérés tels qu’Active Directory Federation Services (AD FS) sur site à l’authentification cloud à l’aide de l’authentification basée sur les certificats (CBA) Microsoft Entra.

Déploiement par étapes

Un administrateur de locataire peut basculer complètement le domaine fédéré vers Microsoft Entra CBA sans test préalable. Pour ce faire, activez la méthode d’authentification CBA dans Microsoft Entra ID et convertissez l’ensemble du domaine en authentification managée. Toutefois, si le client souhaite tester un petit lot d’utilisateurs pour s'authentifier auprès de Microsoft Entra CBA avant que la transition complète du domaine vers la gestion ne soit effectuée, il peut utiliser la fonctionnalité de déploiement progressif.

Le déploiement par étapes de l’authentification basée sur les certificats (CBA) aide les clients à passer de l’exécution de la CBA sur un IdP fédéré à Microsoft Entra ID en déplaçant sélectivement un petit ensemble d’utilisateurs pour utiliser la CBA sur Microsoft Entra ID (qui ne sont plus redirigés vers l’IdP fédéré) avec des groupes d’utilisateurs sélectionnés avant de convertir la configuration du domaine dans Microsoft Entra ID de fédérée à managée. Le déploiement intermédiaire n’est pas conçu pour que le domaine reste fédéré pendant de longues périodes ou pour de grandes quantités d’utilisateurs.

Regardez cette petite vidéo illustrant la migration de l’authentification basée sur des certificats ADFS vers Microsoft Entra CBA

Activer le déploiement intermédiaire pour l’authentification basée sur un certificat sur votre locataire

Pour configurer le déploiement par étapes, suivez les étapes ci-dessous :

1. Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’utilisateurs.
2. Recherchez et sélectionnez Microsoft Entra Connect.
3. Dans la page Microsoft Entra Connect, sous le déploiement intermédiaire de l’authentification cloud, sélectionnez Activer le déploiement intermédiaire pour la connexion utilisateur managée.
4. Dans la page Activer le déploiement par étapes, sélectionnez Activé pour l’option Authentification basée sur un certificat
5. Sélectionnez Gérer les groupes et ajoutez des groupes que vous souhaitez faire partie de l’authentification cloud. Pour éviter les problèmes de délai d’expiration, vérifiez que les groupes de sécurité ne contiennent pas plus de 200 membres au départ.

Pour plus d’informations, consultez Déploiement par étapes.

Utilisez Microsoft Entra Connect pour mettre à jour l’attribut certificateUserIds

Un administrateur AD FS peut utiliser l’Éditeur de règles de synchronisation pour créer des règles pour synchroniser les valeurs des attributs d’AD FS avec des objets utilisateur Microsoft Entra. Pour plus d’informations, consultez Règles de synchronisation pour certificateUserIds.

Microsoft Entra Connect nécessite un rôle spécial nommé Administrateur d’identité hybride, qui accorde les autorisations nécessaires. Vous avez besoin de ce rôle pour l’autorisation d’écrire dans le nouvel attribut cloud.

Questions fréquemment posées sur la migration d’AD FS vers Microsoft Entra ID

Pouvons-nous avoir des comptes privilégiés avec un serveur AD FS fédéré ?

Bien qu’il soit possible, Microsoft recommande que les comptes privilégiés soient des comptes cloud uniquement. Utilisation de comptes cloud uniquement pour l’exposition des limites d’accès privilégiés dans Microsoft Entra ID à partir d’un environnement local compromis. Pour plus d’informations, consultez Protection de Microsoft 365 contre les attaques locales.

Si une organisation est une organisation hybride exécutant AD FS et Azure CBA, sont-elles toujours vulnérables à la compromission AD FS ?

Microsoft recommande que les comptes privilégiés soient des comptes cloud uniquement. Cette pratique limite l’exposition dans Microsoft Entra ID à partir d’un environnement local compromis. La gestion des comptes privilégiés dans un cloud uniquement est fondamentale pour cet objectif.

Pour les comptes synchronisés :

• S’ils se trouvent dans un domaine managé (non fédéré), il n’existe aucun risque pour le fournisseur d’identité fédéré.
• S’ils se situent dans un domaine fédéré, mais qu’un sous-ensemble de comptes est déplacé vers Microsoft Entra CBA par un déploiement par étapes, ils sont soumis à des risques liés au fournisseur d’identité fédéré jusqu’à ce que le domaine fédéré soit entièrement basculé vers l’authentification cloud.

Les organisations doivent-elles éliminer les serveurs fédérés comme AD FS pour empêcher la possibilité de pivoter d’AD FS vers Azure ?

Avec la fédération, un attaquant peut emprunter l’identité de n’importe qui, tel qu’un directeur informatique, même s’il ne peut pas obtenir un rôle cloud uniquement comme un compte d’administrateur hautement privilégié.

Lorsqu’un domaine est fédéré dans Microsoft Entra ID, un niveau de confiance élevé est placé sur l’IdP fédéré. AD FS est un exemple, mais la notion est vraie pour n’importe quel fournisseur d’identité fédéré. De nombreuses organisations déploient un fournisseur d’identité fédéré comme AD FS exclusivement pour effectuer une authentification basée sur des certificats. Microsoft Entra CBA supprime complètement la dépendance AD FS dans ce cas. Avec Microsoft Entra CBA, les clients peuvent déplacer leur parc d’applications vers Microsoft Entra ID pour moderniser leur infrastructure IAM et réduire les coûts avec une sécurité accrue.

Du point de vue de la sécurité, il n’existe aucune modification des informations d’identification, y compris le certificat X.509, les PC, les PIV, et ainsi de suite, ou l’infrastructure à clé publique utilisée. Les propriétaires d’infrastructure à clé publique conservent le contrôle complet du cycle de vie et de la politique d’émission et de révocation des certificats. La vérification de révocation et l’authentification se produisent sur Microsoft Entra ID au lieu de l’IdP fédéré. Ces vérifications activent l’authentification sans mot de passe et résistante au hameçonnage directement auprès de Microsoft Entra ID pour tous les utilisateurs.

Comment l’authentification fonctionne-t-elle avec l’authentification AD FS fédérée et Microsoft Entra cloud avec Windows ?

Microsoft Entra CBA exige que l’utilisateur ou l’application fournisse l’UPN Microsoft Entra de l’utilisateur qui se connecte.

Dans l’exemple de navigateur, l’utilisateur saisit le plus souvent son UPN Microsoft Entra. L’UPN Microsoft Entra est utilisé pour la découverte de domaines et d’utilisateurs. Le certificat utilisé doit ensuite correspondre à cet utilisateur à l’aide de l’une des liaisons de nom d’utilisateur configurées dans la stratégie.

Dans la connexion Windows, la correspondance dépend selon que l’appareil est hybride ou joint à Microsoft Entra. Mais dans les deux cas, si un indice de nom d’utilisateur est fourni, Windows envoie l’indice sous forme d’UPN Microsoft Entra. Le certificat utilisé doit ensuite correspondre à cet utilisateur à l’aide de l’une des liaisons de nom d’utilisateur configurées dans la stratégie.

Étapes suivantes

• Vue d’ensemble de l’authentification basée sur les certificats Microsoft Entra
• Analyse technique approfondie de Microsoft Entra CBA
• Guide pratique pour configurer l’authentification basée sur les certificats Microsoft Entra
• Liste de révocation de certificats Microsoft Entra CBA
• Authentification basée sur les certificats Microsoft Entra sur les appareils iOS
• Microsoft Entra CBA sur les appareils Android
• Connexion par carte à puce Windows avec l’authentification basée sur les certificats Microsoft Entra
• ID des utilisateurs du certificat
• Forum aux questions