Gérer l’authentification

  • 5 minutes

L’authentification de Power Platform implique une séquence de requêtes, de réponses et de redirections entre le navigateur de l’utilisateur et Power Platform ou les services Azure. La séquence suit le flux d’octroi de code d’authentification Microsoft Entra ID.

Vous avez le choix entre trois principaux modèles d’identité dans Microsoft 365 lorsque vous configurez et gérez des comptes d’utilisateur :

  • Identité du cloud : Gérez vos comptes utilisateurs dans Microsoft 365 seulement. Aucun serveur local n’est requis pour gérer les utilisateurs ; tout se fait dans le cloud.

  • Identité synchronisée : Synchronisez les objets d’annuaire sur site avec Microsoft 365 et gérez vos utilisateurs sur site. Vous pouvez également synchroniser les mots de passe afin que les utilisateurs aient le même mot de passe en local et dans le cloud, mais ils devront se reconnecter pour utiliser Microsoft 365.

  • Identité fédérée : synchronisez les objets d’annuaire locaux avec Microsoft 365 et gérez vos utilisateurs sur site. Les utilisateurs ont le même mot de passe localement et dans le cloud, et ils n’ont pas besoin de se reconnecter pour utiliser Microsoft 365. C’est ce que l’on appelle souvent une authentification unique.

Il est important de bien réfléchir au modèle d’identité à utiliser dès le début. Prenez en compte le temps, la complexité existante et le coût. Ces facteurs se présentent différemment pour chaque organisation. Votre choix devrait dépendre de la taille de votre société et de l’importance de vos ressources informatiques.

Comprendre l’identité de Microsoft 365 et Microsoft Entra ID

Microsoft 365 gère les utilisateurs à l’aide de Microsoft Entra ID, le service cloud d’identité utilisateur et d’authentification. Choisir comment configurer la gestion des identités entre votre infrastructure locale et Microsoft 365 est une décision précoce et fondamentale pour votre infrastructure cloud. La modification de cette configuration ultérieurement peut être difficile, donc examinez attentivement les options pour déterminer ce qui fonctionne le mieux pour votre organisation.

Vous avez le choix entre deux principaux modèles d’authentification dans Microsoft 365 pour configurer et gérer les comptes utilisateur : authentification dans le cloud et authentification fédérée.

Authentification dans le cloud

Si vous ne disposez pas d’un environnement Active Directory existant localement, cela peut influencer votre choix de services d’authentification et d’identité. Voici quelques modèles d’authentification et de gestion des identités à prendre en compte :

Cloud uniquement

Avec le modèle cloud uniquement, vous gérez vos comptes utilisateur dans Microsoft 365 seulement. Aucun serveur local n’est requis. Vous créez et gérez des utilisateurs dans le Centre d’administration Microsoft 365 ou à l’aide de cmdlets Windows PowerShell. L’identité et l’authentification sont entièrement gérées dans le cloud par Microsoft Entra ID.

Le modèle cloud uniquement est généralement un bon choix si :

  • vous n’avez pas d’autre annuaire d’utilisateurs localement ;

  • vous disposez d’un annuaire local complexe et souhaitez simplement éviter le travail d’intégration ;

  • vous disposez d’un annuaire local existant, mais vous souhaitez exécuter un essai ou un pilote de Microsoft 365 ; plus tard, vous pouvez mettre en correspondance les utilisateurs cloud avec des utilisateurs locaux lorsque vous êtes prêt à vous connecter à l’annuaire local.

Synchronisation du hachage de mot de passe avec authentification unique fluide

La synchronisation du hachage de mot de passe avec authentification unique fluide est le moyen le plus simple d’activer l’authentification pour les objets annuaire locaux dans Microsoft Entra ID. Avec la synchronisation du hachage de mot de passe (PHS), vous synchronisez vos objets de compte utilisateur Active Directory local avec Microsoft 365 et gérez vos utilisateurs localement. Les hachages de mots de passe utilisateur sont synchronisés d’Active Directory local vers Microsoft Entra ID, afin que les utilisateurs aient le même mot de passe localement et dans le cloud.

Lorsque les mots de passe sont modifiés ou réinitialisés localement, les nouveaux hachages de mot de passe sont synchronisés avec Microsoft Entra ID. Ainsi, vos utilisateurs peuvent utiliser le même mot de passe pour les ressources cloud et locales. Les mots de passe ne sont jamais envoyés à (ni stockés dans) Microsoft Entra ID en texte clair. Quelques fonctionnalités Premium Microsoft Entra ID telles que la protection de l’identité nécessitent PHS quelle que soit la méthode d’authentification sélectionnée. Avec l’authentification unique fluide, les utilisateurs sont automatiquement connectés à Microsoft Entra ID lorsqu’ils utilisent leurs appareils professionnels et qu’ils sont connectés à votre réseau d’entreprise.

Authentification directe avec authentification unique fluide

L’authentification directe avec authentification unique fluide permet une validation simple du mot de passe pour les services d’authentification Microsoft Entra ID. Elle utilise un agent logiciel exécuté sur un ou plusieurs serveurs locaux pour valider les utilisateurs directement avec votre Active Directory local. Avec l’authentification directe, vous synchronisez vos objets de compte utilisateur Active Directory local avec Microsoft 365 et gérez vos utilisateurs localement.

Ce modèle permet à vos utilisateurs de se connecter aux ressources et applications à la fois locales et dans Microsoft 365 à l’aide de leur compte et de leur mot de passe locaux. Cette configuration valide les mots de passe utilisateur directement dans votre Active Directory local sans envoyer de hachages de mot de passe à Microsoft 365. Les organisations intégrant des exigences de sécurité pour l’application immédiate des états de compte utilisateur locaux, des stratégies de mot de passe et des heures de connexion doivent utiliser cette méthode d’authentification. Avec l’authentification unique fluide, les utilisateurs sont automatiquement connectés à Microsoft Entra ID lorsqu’ils utilisent leurs appareils professionnels et qu’ils sont connectés à votre réseau d’entreprise.

Authentification unique

Par défaut, Dynamics 365 Online utilise Microsoft Entra ID à des fins d’authentification. Cependant, de nombreuses organisations dans le monde effectuent l’authentification en interne à l’aide de leur Active Directory local.

L’authentification unique fluide Microsoft Entra ID (SSO fluide) connecte automatiquement les utilisateurs lorsqu’ils se trouvent sur leurs appareils d’entreprise et qu’ils sont connectés à votre réseau d’entreprise. Lorsque la SSO est activée, les utilisateurs n’ont pas besoin de saisir leur mot de passe (voire souvent leur nom d’utilisateur) pour se connecter à Microsoft Entra. Cette fonctionnalité offre à vos utilisateurs un accès facile à vos applications cloud sans nécessiter d’autres composants locaux.

La SSO fluide peut être combinée avec la méthode de connexion par synchronisation du hachage de mot de passe ou authentification directe. La SSO fluide n’est pas applicable aux services de fédération Active Directory (AD FS)*.

Schéma de l’authentification unique fluide avec méthodes de synchronisation du hachage de mot de passe et d’authentification directe.

Remarque

L’authentification unique transparente nécessite que l’appareil de l’utilisateur soit jointe au domaine, mais il n’est pas nécessaire que l’appareil soit joint à Microsoft Entra.

Principaux avantages

  • Grande expérience utilisateur

    • Les utilisateurs sont automatiquement connectés aux applications locales et basées sur le cloud.

    • Les utilisateurs n’ont pas à saisir leur mot de passe à plusieurs reprises.

  • Facile à déployer et à administrer

Éléments à prendre en compte

  • Le nom d’utilisateur de connexion peut être le nom d’utilisateur par défaut local (userPrincipalName) ou un autre attribut configuré dans Microsoft Entra Connect (ID secondaire). Chacune de ces options fonctionne, car la SSO fluide recherche l’objet utilisateur correspondant dans Microsoft Entra ID à l’aide de la revendication securityIdentifier dans le ticket Kerberos.

  • La SSO fluide est une fonctionnalité opportuniste. Si elle échoue pour une raison quelconque, l’expérience de connexion revient à son comportement normal : l’utilisateur doit saisir son mot de passe sur la page de connexion.

  • Si une application comprend un paramètre domain_hint (OpenID Connect) ou whr (SAML) dans sa demande de connexion à Microsoft Entra pour identifier votre abonné ou un paramètre login_hint pour identifier l’utilisateur, l’utilisateur est automatiquement connecté sans avoir besoin de saisir un nom d’utilisateur ou un mot de passe.

  • Les utilisateurs bénéficient également d’une expérience de connexion silencieuse si une application (par exemple, https://contoso.crm.dynamics.com) envoie des demandes de connexion à des points de terminaison d’abonné de Microsoft Entra (par exemple, https://login.microsoftonline.com/contoso.com ou https://login.microsoftonline.com <tenant_ID>) au lieu d’un point de terminaison commun de Microsoft Entra (https://login.microsoftonline.com/common).

  • La déconnexion est prise en charge. Cela permet aux utilisateurs de choisir un autre compte Microsoft Entra ID pour la connexion, au lieu d’être automatiquement connecté à l’aide d’une SSO fluide.

  • Les clients Win32 de Microsoft 365 (Outlook, Word, Excel et autres) avec les versions 16.0.8730.xxxx et ultérieures prennent en charge un flux non interactif. Pour OneDrive, vous devez activer la fonctionnalité de configuration silencieuse OneDrive pour activer une expérience d’authentification silencieuse.

  • Elle peut être activée au moyen de Microsoft Entra Connect.

  • Il s’agit d’une fonctionnalité gratuite : vous n’avez pas besoin de licences payantes de Microsoft Entra ID pour l’utiliser.

Fédérer un environnement de forêt AD unique dans le cloud

Le didacticiel suivant vous explique comment créer un environnement d’identité hybride à l’aide de la fédération. Ensuite, cet environnement permet de tester ou se familiariser avec le fonctionnement d’une identité hybride.

Didacticiel : Fédérer un environnement de forêt AD unique dans le cloud

Accès conditionnel Microsoft Entra

Les stratégies d’accès conditionnel dans Microsoft Entra ID, dans leur forme la plus simple, sont les instructions if-then : si (if) un utilisateur souhaite accéder à une ressource, alors (then) il doit effectuer une action.

Exemple : un responsable paie souhaitant accéder à l’application de paie conçue avec Power Apps doit réaliser une authentification multifacteur pour ce faire.

Les administrateurs sont confrontés à deux objectifs principaux :

  • Donner les moyens aux utilisateurs d’être productifs à tout instant et en tout lieu

  • Protéger les ressources de l’organisation

À l’aide des stratégies d’accès conditionnel, vous pouvez appliquer les contrôles d’accès appropriés si nécessaire pour assurer la sécurité de votre organisation, tout en laissant l’accès à votre utilisateur lorsqu’ils ne sont pas utiles. Les stratégies d’accès conditionnel sont appliquées une fois l’authentification du premier facteur effectuée.

Seuls les administrateurs généraux peuvent configurer des stratégies d’accès conditionnel. Elles ne peuvent pas être configurées par les administrateurs Microsoft Power Platform ou Dynamics 365.

Schéma d’un flux de processus d’accès conditionnel conceptuel.

Pour savoir comment configurer des stratégies d’accès conditionnel, consultez Planifier un déploiement d’accès conditionnel.