Azure Active Directory

Création d'un nom de domaine personnalisé

Dans "Azure Active Directory", on sélectionne "Noms de domaine personnalisé".

image-1619801917658.png

On clique sur "Ajouter un domaine personnalisé".

image-1619801934699.png

On nous demande d'ajouter un enregistrement TXT dans notre bureau d'enregistrement de noms de domaine, dans mon cas OVH.

image-1619801991934.png

Ce qui donne pour OVH :

image-1619802160088.png

On clique ensuite sur "Vérifier".

image-1619802203723.png

Le nom de domaine est vérifié.

image-1619802218229.png

On peut le définir comme domaine par défaut.




Azure AD Connect

On télécharge Azure AD Connect. On utilise la configuration rapide.

image-1619815603777.png

On se connecte via un compte avec le rôle Administrateur général.

image-1619815972895.png

On se connecte ensuite à l'AD DS local.

image-1619816633371.png

On installe ensuite.

image-1619816664223.png

Activer l'authentification unique Azure AD


Présentation

L'authentification unique permet aux utilisateurs d'être automatiquement connectés aux applications via leur compte AD.

Cela peut être nécéssaire lorsque les ordinateurs ne sont pas joints en mode hybride (Active Directory Joined).


Activation de l'authentification unique

Dans Azure AD Connect (application sur le serveur), on choisit "Connexion utilisateur" puis on coche "Activer l'authentification unique" avec "Synchronisation de hachage du mot de passe". (choisie par défaut) On peut également choisir "Authentification directe" si on a besoin de stratégies de compte locales.

Avec l'authentification directe (PTA), si le contrôleur de domaine est inaccessible (DC non fonctionnel, réseau interrompu...), l'authentification ne fonctionnera pas. Pour contrer cela, on peut ajouter des agents sur d'autres réseaux où un contrôleur de domaine répliqué est présent ; ou activer la synchronisation de hachage du mot de passe en modifiant les options après installation, et de basculer manuellement l'authentification vers ce mode quand le contrôleur de domaine est indisponible. Pour plus d'informations, cliquez ici.

image-1623015438219.png

Il faut ensuite ajouter une stratégie de groupe.

Configuration utilisateur > Stratégie > Modèles d'administration > Composants Windows > Internet Explorer > Panneau de configuration Internet > Onglet Sécurité

On ajoute ici https://autologon.microsoftazuread-sso.com .

image-1623016631096.png

On applique ensuite cette GPO à l'OU contenant nos utilisateurs.

On ajoute aussi : 

image-1636206017543.png

Voir : https://docs.microsoft.com/fr-fr/azure/active-directory/hybrid/how-to-connect-sso-quick-start#step-3-roll-out-the-feature

Tests

Via un compte utilisateur, on se rend sur https://myapps.microsoft.com/lab.khroners.fr (remplacez le domaine par le votre).

Il est recommander de substituer la clé de déchiffrement Kerberos du compte d'ordinateur "AZUREADSSO" au moins tous les 30 jours. https://docs.microsoft.com/fr-fr/azure/active-directory/hybrid/how-to-connect-sso-faq#comment-puis-je-substituer-la-cl--de-d-chiffrement-kerberos-du-compte-d-ordinateur---azureadsso----

Usage Location

Dans Synchronization Rules Editor, on crée un règle Inbound.

image-1636204753789.png

Dans la prochaine page, on clique sur "Suivant". Idem sur la suivante.

image-1636204851330.png

 

Hybrid Azure AD Join

https://www.orbid365.be/hybrid-azure-ad-join-p1/

https://docs.microsoft.com/fr-fr/azure/active-directory/devices/hybrid-azuread-join-managed-domains#configure-the-local-intranet-settings-for-device-registrationhttps://www.orbid365.be/hybrid-azure-ad-join-p1/

Dans Azure AD Connect, on modifie les options d'appareil et on configure Hybrid Azure AD Joined en ajoutant le SCP. Si on veut faire un déploiement ciblé, on ne configure pas le SCP en cliquant simplement sur suivant. (Targeted deployments of hybrid Azure AD join - Microsoft Entra | Microsoft Learn)

Dans Azure AD Connect, on choisit "Options d'appareils", on active le mode hybride et on ajoute notre SCP pour le domaine.

Il faut également que les appareils soient synchronisés.

Si vous ne synchronisez pas tous les objets automatiquement, mais uniquement des objets membres d'un groupe précis ou placés dans une OU précise, il faut que les PC y soient membres.

Pour le déploiement ciblé : Targeted deployments of hybrid Azure AD join - Microsoft Entra | Microsoft Learn

Une simple GPO ordinateur comme celle-ci :

image.png

On vérifie sur un poste via la commande :

dsregcmd /status

On peut forcer la jonction via :

dsregcmd /join

image.png

Le compte Windows de l'utilisateur s'ajoute automatiquement dans les comptes utilisés par d'autres applications. 

 

image.png

L'écran de connexion de l'utilisateur sera différent :

image.png

Activer l'inscription automatique dans Intune

https://docs.microsoft.com/en-us/mem/intune/enrollment/windows-enroll#enable-windows-10-automatic-enrollment

Dans le cas de PC Hybrid AD Joined, il faut créer une GPO Ordinateur :

image.png

Inutile de remplir l'ID d'application dans notre cas.

Recréer l'objet Ordinateur AzureADSSOACC

Voici la liste des commandes Powershell à exécuter (une par une!) :

cd 'C:\Program Files\Microsoft Azure Active Directory Connect\'
Import-Module .\AzureADSSO.psd1
New-AzureADSSOAuthenticationContext
Get-AzureADSSOStatus
Enable-AzureADSSOForest
Enable-AzureADSSO -Enable $true

Synchroniser dans Azure uniquement les membres d'un groupe

Dans les options d'Azure Active Directory Connect (AADC), on peut filtrer par domaine/unité d'organisation ou encore par utilisateurs et appareils.

Pour filtrer avec un groupe, on modifie les options d'AADC et on définit le groupe dont font parti les utilisateurs & appareils à synchroniser.

image-1641582504871.png

Dans mon cas, il se nomme "GG-O365-Sync" (GG pour Groupe Général, O365 pour Office365 et Sync pour Synchronisation).

Si vous voulez synchroniser un groupe ou un utilisateur, il faudra alors qu'il soit membre du groupe.

Activer la synchronisation des mots de passe entre Azure AD et l'AD local

Dans le cas où un utilisateur change son mot de passe dans Azure (Office365 par exemple), son mot de passe ne sera pas synchroniser dans l'AD local par défaut. Cela est obligatoire (pas techniquement) si vous activez le SSPR (Réinitialisation autonome du mot de passe, a.k.a Mot de passe oublié)

Pour cela, il existe une fonction à activer dans Azure Active Directory Connect (AADC) nommé "Réécriture du mot de passe" ou en anglais "Password Writeback".

image-1641582976404.png

Désormais, un utilisateur qui change son mot de passe dans Office365 verra son mot de passe local changé.

Personnel vs Entreprise, Registered vs Azure AD joined

Personnel

Azure AD joined uniquement

Entreprise

Hybrid joined, Autopiloted ou changé manuellement en entreprise

 

Azure AD registered

image-1646594968572.png

Sans cliquer sur une des deux options en bas.

ou

image-1646595823646.png

Sans cocher. Le compte apparaitra dans "Accès scolaire ou professionnel". Avec "This app only", il n'apparaitra pas.

Azure AD Joined 

image-1646594992007.png

En cliquant sur la première option.

Ensuite on nous demande de se connecter au poste avec notre compte Azure AD.

Différences entre l'authentification unique à l’aide d’un jeton d’actualisation principal ou authentification unique fluide (Seamless SSO)

Le Seamless SSO (authentification unique fluide) est utilisé pour les postes uniquement joint au domaine Active Directory local. 

Le SSO via PRT (authentification unique à l’aide d’un jeton d’actualisation principal) est utilisé pour les postes joints Azure AD, Azure AD registered ou Hybrid Azure AD joined (inscrits via Ajouter un compte professionnel ou scolaire).

Plus d'informations ici.

Ajouter un suffixe UPN pour la synchronisation Azure AD

Etape 1 : rajouter un suffixe UPN


L'UPN principal de mon AD est ad.khroners.fr. On va rajouter khroners.fr.
Dans "Domaines et approbations Active Directory", :

image-1646689246744.png

image-1646689279174.png

Etape 2 : modifier l'UPN de tous nos utilisateurs via PowerShell

$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*ad.khroners.fr'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@ad.khroners.fr","@khroners.fr"); $_ | Set-ADUser -UserPrincipalName $newUpn}

Pensez à remplacer khroners.fr par votre domaine.

On vérifie : 

image-1646689400064.png

Rester connecté à toutes vos applications

image-1654500192518.png

Enterprise State Roaming

Enterprise State Roaming permet de synchroniser les paramètres et les données d'applications sur différents appareils. C'est le cas par défaut pour un compte Microsoft "personnel". 

image-1654894457714.png

image-1654894746229.png

Ajouter un administrateur local d'appareils joints à Azure AD (AAD Joined)

Dans le portail d'Azure, on se rend dans "Appareils" puis "Paramètres de l'appareil".

image-1655061681622.png

image-1655061710104.png

On y ajoute un utilisateur.

image-1655061805040.png

 

 

Limiter le nombre d'appareils par utilisateur

Dans le portail d'Azure, on clique sur "Appareils" puis "Paramètres de l'appareil".

image-1655061908384.png

On limite le nombre en bas.

image-1655061924429.png

Supprimer un groupe orphelin issu d'un domaine local

En cas de groupe synchronisé depuis un domaine Active Directory local qui n'est plus disponible, il est nécessaire de passer par PowerShell pour le supprimer. On remplace "DisplayName" par le nom du groupe à supprimer.

Install-Module -Name MSOnline
Connect-MsolService
Get-MsolGroup
Get-MsolGroup -SearchString "DisplayName" | Remove-MsolGroup

Empêcher les utilisateurs de joindre leur PC à Entra ID (Azure AD)

Pour empêcher les utilisateurs de joindre leur PC à Entra ID (Azure AD joined),

On se rend sur cette page : https://portal.azure.com/#view/Microsoft_AAD_Devices/DevicesMenuBlade/~/DeviceSettings/menuId~/null

On choisit "None" ou "Aucun" en français.

On peut également choisir un groupe d'utilisateurs.

image.png