Si vous avez un peu suivi mes derniers articles sur Azure AD Connect, vous savez que par défaut Microsoft propose les 4 méthodes d’authentification suivantes :
Le plus souvent les entreprises vont choisir entre les 2 premiers scénarios à savoir : Password Hashed Synchronization ou ADFS. Dans la première méthode, l’authentification est exécutée directement auprès de Microsoft car Azure Active Directory connaît le hash des mots de passe et peut donc vous authentifier sans intermédiaire. Dans la seconde méthode ADFS, vous devez déployer une ferme ADFS et c’est ce composant qui réalisera l’authentification au sein de votre infrastructure on-premises.
Mais sachez qu’il est également possible de combiner ces 2 méthodes. En effet, on peut activer Password Hash Synchronization en plus de la méthode ADFS.
De ce fait, si jamais votre infrastructure ADFS locale rencontre un problème, vous pouvez rapidement basculer sur la méthodologie Password Hashed Synchronization. Cela vous donnera ainsi du temps pour remettre en place votre ADFS sans interrompre les services pour vos utilisateurs ! 😉
Mais pour cela, il vous faut activer l’option de PhS en plus de l’ADFS. Pour ce faire, activez la méthode Password Hashed Synchronization depuis l’assistant AAD Connect.
Si ce n’est pas déjà le cas, relancez l’assistant Azure AD Connect et cochez simplement le case qui prévue à cet effet. Je ne vais pas mettre toutes les captures d’écran donc si je dis rien, gardez les options par défaut ou cliquez simplement sur Next.
Cliquez sur Next et re-configurez votre AAD Connect. Une nouvelle synchronisation sera alors exécutée et les hash des passwords seront alors synchronisés.
Imaginons que nous ayons maintenant un problème avec notre infrastructure ADFS. Pour forcer la bascule et l’utilisation de la méthode Password Hashed Synchronisation au lieu de ADFS, il nous faut repasser nos domaines du statut « Federated » à « Managed« .
Cela s’effectue en PowerShell avec les deux CmdLet suivantes :
Connect-MsolService
Set-MsolDomainAuthentication -Authentication Managed -DomainName <domain name>
Le plus simple et d’exécuter cette commande directement depuis le serveur AAD Connect car vous disposez déjà du module PowerShell. Mais vous pouvez le faire depuis n’importe quelle machine dès lors que vous avez le module MSOnline.
Vous pouvez ensuite confirmer le statut de votre domaine avec la commande suivante :
Get-MsolDomain
Dans mon cas, j’ai le résultat suivant qui confirme que je suis bien en mode domaine « Managed » et non plus « Federated« .
Lors de la prochaine connexion au portail O365 (ou autre service), je ne serai donc plus redirigé vers l’URL de ma ferme ADFS mais la mire d’identification de Microsoft pourra réaliser l’authentification directement !
Plus d’information sur le TechNet en suivant ce lien : https://docs.microsoft.com/fr-fr/azure/active-directory/hybrid/plan-migrate-adfs-password-hash-sync. Et je vous invite également à consulter l’article suivant où je détaille la mise en place de l’authentification ADFS du début à la fin.
Microsoft devient la 2e entreprise à valoir 4 000 milliards de dollars Microsoft vient de…
Microsoft banni brutalement un développeur de LibreOffice Microsoft banni brutalement un développeur de LibreOffice, et…
Dropbox Passwords : 5 alternatives après la fermeture de son service Introduction Dropbox Passwords ferme…
Palo Alto Networks rachète Cyberark pour 25 milliards de dollars Introduction Palo Alto Networks rachète…
Microsoft reconnaît ne plus pouvoir garantir la souveraineté des données européennes Coup de tonnerre dans…
Illustration générée par intelligence artificielle Il y a des endroits où l’on se sent bien…
