Activer l'authentification unique Azure AD

Présentation

L'authentification unique permet aux utilisateurs d'être automatiquement connectés aux applications via leur compte AD.

Cela peut être nécéssaire lorsque les ordinateurs ne sont pas joints en mode hybride (Active Directory Joined).

Activation de l'authentification unique

Dans Azure AD Connect (application sur le serveur), on choisit "Connexion utilisateur" puis on coche "Activer l'authentification unique" avec "Synchronisation de hachage du mot de passe". (choisie par défaut) On peut également choisir "Authentification directe" si on a besoin de stratégies de compte locales.

Avec l'authentification directe (PTA), si le contrôleur de domaine est inaccessible (DC non fonctionnel, réseau interrompu...), l'authentification ne fonctionnera pas. Pour contrer cela, on peut ajouter des agents sur d'autres réseaux où un contrôleur de domaine répliqué est présent ; ou activer la synchronisation de hachage du mot de passe en modifiant les options après installation, et de basculer manuellement l'authentification vers ce mode quand le contrôleur de domaine est indisponible. Pour plus d'informations, cliquez ici.

Il faut ensuite ajouter une stratégie de groupe.

Configuration utilisateur > Stratégie > Modèles d'administration > Composants Windows > Internet Explorer > Panneau de configuration Internet > Onglet Sécurité

On ajoute ici https://autologon.microsoftazuread-sso.com .

On applique ensuite cette GPO à l'OU contenant nos utilisateurs.

On ajoute aussi :

Voir : https://docs.microsoft.com/fr-fr/azure/active-directory/hybrid/how-to-connect-sso-quick-start#step-3-roll-out-the-feature

Tests

Via un compte utilisateur, on se rend sur https://myapps.microsoft.com/lab.khroners.fr (remplacez le domaine par le votre).

Il est recommander de substituer la clé de déchiffrement Kerberos du compte d'ordinateur "AZUREADSSO" au moins tous les 30 jours. https://docs.microsoft.com/fr-fr/azure/active-directory/hybrid/how-to-connect-sso-faq#comment-puis-je-substituer-la-cl--de-d-chiffrement-kerberos-du-compte-d-ordinateur---azureadsso----

Création d'un nom de domaine personnalisé

Azure AD Connect

Activer l'authentification unique Azure AD

Usage Location

Hybrid Azure AD Join

Activer l'inscription automatique dans Intune

Recréer l'objet Ordinateur AzureADSSOACC

Synchroniser dans Azure uniquement les membres d'un groupe

Activer la synchronisation des mots de passe entre Azure AD et l'AD local

Personnel vs Entreprise, Registered vs Azure AD joined

Différences entre l'authentification unique à l’aide d’un jeton d’actualisation principal ou authentification unique fluide (Seamless SSO)

Ajouter un suffixe UPN pour la synchronisation Azure AD

Rester connecté à toutes vos applications

Enterprise State Roaming

Ajouter un administrateur local d'appareils joints à Azure AD (AAD Joined)

Limiter le nombre d'appareils par utilisateur

Supprimer un groupe orphelin issu d'un domaine local

Empêcher les utilisateurs de joindre leur PC à Entra ID (Azure AD)

Bouton "Réinitialiser"

"Réinitialiser" ne fonctionne pas

Ajouter le portail d'entreprise

Configurer et déployer BitLocker via Intune

Activer silencieusement BitLocker

Configurer le papier peint par défaut

Configurer le papier peint par défaut sur Windows 10 Pro

Configurer les mises à jour Windows

Activer et configurer l'optimisation de la livraison

Configurer OneDrive

Déployer des applications via Intune

Configurer le connecteur Google Play

Deployer Edge

Configurer Edge

Ajouter le raccourci du portail d'entreprise sur le bureau de l'utilisateur

Restreindre l'enrollement à Intune uniquement aux ordinateurs d'entreprise

Exiger le MFA pour les administrateurs

Activer l'authentification unique Azure AD

Présentation

Activation de l'authentification unique