Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le déplacement de votre solution d’authentification multifacteur (MFA) vers Microsoft Entra ID est une excellente première étape de votre parcours vers le cloud. Envisagez également de passer à Microsoft Entra ID pour l’authentification utilisateur à l’avenir. Pour plus d’informations, consultez le processus de migration vers Microsoft Entra authentification multifacteur avec l’authentification cloud.
Pour migrer vers l'authentification multifacteur Microsoft Entra avec fédération, le fournisseur d’authentification multifacteur Microsoft Entra est installé sur AD FS. L'approbation de partie de confiance de Microsoft Entra ID et d'autres approbations de partie de confiance sont configurées pour utiliser l'authentification multifacteur de Microsoft Entra pour les utilisateurs migrés.
Le diagramme suivant illustre le processus de migration.
Créer des groupes de migration
Pour créer des stratégies d’accès conditionnel, vous devez affecter ces stratégies à des groupes. Vous pouvez utiliser Microsoft Entra groupes de sécurité ou Groupes Microsoft 365 à cet effet. Vous pouvez également en créer ou en synchroniser de nouveaux.
Vous aurez également besoin d'un groupe de sécurité Microsoft Entra pour la migration itérative des utilisateurs vers Microsoft Entra authentification multifacteur. Ces groupes sont utilisés dans vos règles de revendication.
Ne réutilisez pas de groupes utilisés pour la sécurité. Si vous utilisez un groupe de sécurité pour sécuriser un groupe d’applications très important avec une stratégie d’accès conditionnel, n’utilisez que le groupe qu’à cette seule fin.
Préparer AD FS
Mettre à niveau la batterie de serveurs AD FS vers FBL 4 2019
Dans AD FS 2019, vous pouvez spécifier des méthodes d’authentification supplémentaires pour une partie de confiance, par exemple une application. Vous utilisez l’appartenance à un groupe pour déterminer le fournisseur d’authentification. En spécifiant une méthode d’authentification supplémentaire, vous pouvez passer à l'authentification multifacteur Microsoft Entra tout en conservant l’authentification intacte pendant la transition. Pour plus d’informations, consultez Upgradation vers AD FS dans Windows Server 2016 à l’aide d’une base de données WID. L’article couvre à la fois la mise à niveau de votre batterie de serveurs vers AD FS 2019 et la mise à niveau de votre FBL vers la version 4.
Configurer les règles de revendication pour appeler l'authentification multifacteur Microsoft Entra.
Maintenant que l’authentification multifacteur de Microsoft Entra est une méthode supplémentaire d’authentification, vous pouvez attribuer des groupes d’utilisateurs pour l’utiliser. Pour ce faire, vous devez configurer des règles de revendication, également appelées relations d'approbation avec des tiers fiables. À l’aide de groupes, vous pouvez déterminer quel est le fournisseur d’authentification appelé, globalement ou par application. Par exemple, vous pouvez utiliser l'authentification multifacteur Microsoft Entra pour les utilisateurs qui se sont inscrits à des informations de sécurité combinées, tout en utilisant le serveur d'authentification multifacteur (MFA) pour ceux qui ne se sont pas inscrits.
Remarque
Les règles de gestion des revendications nécessitent un groupe de sécurité sur site. Avant d’apporter des changements aux règles de revendication, sauvegardez-les.
Règles de sauvegarde
Avant de configurer de nouvelles règles de revendication, sauvegardez vos règles. Vous devez restaurer ces règles dans le cadre des étapes de nettoyage.
Selon votre configuration, vous devrez peut-être également copier la règle et ajouter les nouvelles règles créées pour la migration.
Pour voir les règles globales, exécutez :
Get-AdfsAdditionalAuthenticationRule
Pour voir les relations d'approbation de partie de confiance, exécutez la commande suivante en remplaçant RPTrustName par le nom de la règle de revendication de la relation d'approbation de la partie de confiance :
(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules
Stratégies de contrôle d’accès
Remarque
Vous ne pouvez pas configurer les stratégies de contrôle d’accès pour appeler un fournisseur d’authentification spécifique en fonction de l’appartenance à un groupe.
Pour passer des stratégies de contrôle d’accès à des règles d’authentification supplémentaires, exécutez la commande suivante pour chacune de vos approbations de partie de confiance en utilisant le fournisseur d’authentification basé sur le serveur MFA :
Set-AdfsRelyingPartyTrust -TargetName AppA -AccessControlPolicyName $Null
Cette commande déplace la logique de votre stratégie de Access Control actuelle vers des règles d’authentification supplémentaires.
Configurer le groupe et rechercher le SID
Vous devez disposer d'un groupe spécifique où placer les utilisateurs devant subir l'authentification multifacteur Microsoft Entra. Vous aurez besoin du SID (identificateur de sécurité) de ce groupe.
Pour trouver le SID du groupe, utilisez la commande suivante avec le nom de groupe
Get-ADGroup "GroupName"
Définition des règles de revendication pour l'authentification multifacteur de Microsoft Entra.
Les applets de commande PowerShell suivantes appellent l'authentification multifacteur de Microsoft Entra pour ces utilisateurs du groupe lorsqu'ils ne sont pas sur le réseau d'entreprise. Remplacez « YourGroupSid » par le SID trouvé en exécutant la cmdlet ci-dessus.
Veillez à consulter le Guide pratique pour choisir des fournisseurs d’authentification supplémentaires dans la version 2019.
Important
Soutenez vos règles de justification
Définir la règle de revendication globale
Exécutez l’applet de commande PowerShell suivant :
(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules
La commande affiche les règles actuelles d’authentification supplémentaire pour votre approbation de partie de confiance. Ajoutez les règles suivantes à vos règles de revendication actuelles :
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
L’exemple suivant suppose que vos règles de revendication actuelles sont configurées pour demander une authentification MFA quand les utilisateurs se connectent depuis l’extérieur de votre réseau. Cet exemple inclut les règles supplémentaires que vous devez ajouter.
Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[type ==
"http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type =
"http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value =
"http://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
Définir une règle de revendication par application
Cet exemple modifie les règles de déclaration d'une relation de confiance du tiers spécifique (application), et inclut les informations que vous devez ajouter.
Set-AdfsRelyingPartyTrust -TargetName AppA -AdditionalAuthenticationRules 'c:[type ==
"http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type =
"http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value =
"http://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
Configurer l’authentification multifacteur de Microsoft Entra en tant que fournisseur d’authentification dans AD FS
Pour configurer Microsoft Entra authentification multifacteur pour AD FS, vous devez configurer chaque serveur AD FS. Si vous avez plusieurs serveurs AD FS dans votre batterie de serveurs, vous pouvez les configurer à distance à l’aide de Microsoft Entra PowerShell.
Pour obtenir des instructions pas à pas sur ce processus, consultez Configurer les serveurs AD FS dans l’article Configure Microsoft Entra l’authentification multifacteur en tant que fournisseur d’authentification avec AD FS.
Une fois que vous avez configuré les serveurs, vous pouvez ajouter Microsoft Entra authentification multifacteur en tant que méthode d'authentification supplémentaire.
Préparer Microsoft Entra ID et implémenter la migration
Cette section décrit les étapes finales avant la migration des paramètres MFA des utilisateurs.
Paramétrer federatedIdpMfaBehavior : enforceMfaByFederatedIdp
Pour les domaines fédérés, l’authentification multifacteur peut être appliquée par Accès conditionnel Microsoft Entra ou par le fournisseur de fédération local. Chaque domaine fédéré a un paramètre de sécurité PowerShell Microsoft Graph nommé federatedIdpMfaBehavior. Vous pouvez définir federatedIdpMfaBehavior sur enforceMfaByFederatedIdp afin que Microsoft Entra ID accepte l'authentification multifacteur effectuée par le fournisseur d'identité fédéré. Si le fournisseur d'identité fédéré n'a pas effectué l'authentification multifacteur, Microsoft Entra ID redirige la demande vers le fournisseur d'identité fédéré pour effectuer l'authentification multifacteur. Pour plus d’informations, consultez federatedIdpMfaBehavior.
Remarque
Le paramètre federatedIdpMfaBehavior est une nouvelle version de la propriété SupportsMfa de la cmdlet New-MgDomainFederationConfiguration.
Pour les domaines qui définissent la propriété SupportsMfa, ces règles déterminent comment federatedIdpMfaBehavior et SupportsMfa fonctionnent ensemble :
- Le basculement entre federatedIdpMfaBehavior et SupportsMfa n’est pas pris en charge.
- Une fois la propriété federatedIdpMfaBehavior définie, Microsoft Entra ID ignore le paramètre SupportsMfa.
- Si la propriété federatedIdpMfaBehavior n’est jamais définie, Microsoft Entra ID continuera à respecter le paramètre SupportsMfa.
- Si federatedIdpMfaBehavior ou SupportsMfa n'est pas défini, Microsoft Entra ID utilisera par défaut le comportement
acceptIfMfaDoneByFederatedIdp.
Vous pouvez vérifier l’état de federatedIdpMfaBehavior en utilisant Get-MgDomainFederationConfiguration.
Get-MgDomainFederationConfiguration –DomainID yourdomain.com
Vous pouvez également vérifier l’état de votre indicateur SupportsMfa avec Get-MgDomainFederationConfiguration :
Get-MgDomainFederationConfiguration –DomainName yourdomain.com
L’exemple suivant montre comment définir federatedIdpMfaBehavior sur enforceMfaByFederatedIdp en utilisant Graph PowerShell.
Requête
PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
"federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
}
réponse
Remarque : L’objet de réponse illustré ici peut être abrégé pour une meilleure lisibilité.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.internalDomainFederation",
"id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
"issuerUri": "http://contoso.com/adfs/services/trust",
"metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
"signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
"passiveSignInUri": "https://sts.contoso.com/adfs/ls",
"preferredAuthenticationProtocol": "wsFed",
"activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
"signOutUri": "https://sts.contoso.com/adfs/ls",
"promptLoginBehavior": "nativeSupport",
"isSignedAuthenticationRequestRequired": true,
"nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
"signingCertificateUpdateStatus": {
"certificateUpdateResult": "Success",
"lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
},
"federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
}
Configurer les stratégies d’accès conditionnel si nécessaire
Si vous utilisez l’accès conditionnel pour déterminer le moment où l’authentification MFA est proposée aux utilisateurs, vous ne devez pas avoir à changer vos stratégies.
Si votre ou vos domaines fédérés ont le paramètre SupportsMfa défini sur faux, analysez vos règles d'assertions sur la relation d'approbation de la partie utilisatrice Microsoft Entra ID et créez des stratégies d'accès conditionnel qui soutiennent les mêmes objectifs de sécurité.
Après avoir créé des stratégies d’accès conditionnel pour appliquer les mêmes contrôles que AD FS, vous pouvez sauvegarder et supprimer vos personnalisations de règles de revendication sur la partie de confiance Microsoft Entra ID.
Pour plus d’informations, consultez les ressources suivantes :
Inscrire des utilisateurs pour l’authentification multifacteur Microsoft Entra
Cette section explique comment les utilisateurs peuvent effectuer l’inscription combinée des informations de sécurité (MFA et réinitialisation de mot de passe en libre-service) et comment migrer leurs paramètres MFA. Microsoft Authenticator pouvez être utilisé comme en mode sans mot de passe. Elle peut également être utilisée en tant que second facteur pour l’authentification MFA avec l’une ou l’autre des méthodes d’inscription.
Effectuer l’inscription combinée des informations de sécurité (recommandé)
Nous vous recommandons d’inviter les utilisateurs à effectuer l’inscription combinée des informations de sécurité. Ils disposent ainsi d’un seul emplacement où inscrire leurs méthodes et appareils d’authentification pour MFA et SSPR.
Microsoft fournit des modèles de communication que vous pouvez fournir à vos utilisateurs pour les guider dans le processus d’inscription combiné.
Il s’agit notamment de modèles d’e-mails, d’affiches, de fiches cartonnées et de diverses autres ressources. Les utilisateurs enregistrent leurs informations sur https://aka.ms/mysecurityinfo, ce qui les amène à l'écran d’enregistrement combiné des informations de sécurité.
Nous vous recommandons de sécuriser le processus d’inscription des informations de sécurité par un accès conditionnel qui oblige l’utilisateur à effectuer l’inscription à partir d’un appareil ou d’un emplacement approuvé. Pour plus d'informations sur le suivi des statuts d'inscription, consultez activité de méthode d'authentification pour Microsoft Entra ID.
Remarque
Les utilisateurs qui doivent effectuer l’inscription combinée de leurs informations de sécurité à partir d’un emplacement ou d’un appareil non approuvé peuvent se voir délivrer un passe d’accès temporaire, ou peuvent éventuellement être exclus temporairement de la stratégie.
Migrer les paramètres MFA à partir du serveur MFA
Vous pouvez utiliser l’utilitaire MFA Server Migration pour synchroniser les paramètres MFA inscrits pour les utilisateurs du serveur MFA à Microsoft Entra ID. Vous pouvez synchroniser les numéros de téléphone, les jetons matériels et les inscriptions d’appareils, telles que les paramètres de Microsoft Authenticator.
Ajouter des utilisateurs aux groupes appropriés
Si vous avez créé des stratégies d’accès conditionnel, ajoutez les utilisateurs appropriés à ces groupes.
Si vous avez créé des groupes de sécurité locaux pour les règles de revendication, ajoutez les utilisateurs appropriés à ces groupes.
Nous vous déconseillons de réutiliser les groupes utilisés pour la sécurité. Si vous utilisez un groupe de sécurité pour sécuriser un groupe d’applications très important avec une stratégie d’accès conditionnel, n’utilisez que le groupe qu’à cette seule fin.
Surveillance
L'inscription à l'authentification multifacteur de Microsoft Entra peut être surveillée à l'aide du rapport
Dans Utilisation et insights, sélectionnez Méthodes d’authentification.
Vous trouverez des informations détaillées d’enregistrement à Microsoft Entra sur l’authentification multifacteur sous l’onglet Enregistrement. Vous pouvez examiner la liste des utilisateurs inscrits en sélectionnant le lien hypertexte Utilisateurs capables de l'authentification multifacteur Azure.
Étapes de nettoyage
Une fois que vous avez terminé la migration vers Microsoft Entra authentification multifacteur et que vous êtes prêt à désactiver le serveur MFA, procédez comme suit :
Restaurez les règles de réclamation sur AD FS à leur configuration de prémigration et supprimez le fournisseur d’authentification MFA Server.
Supprimez le serveur MFA en tant que fournisseur d’authentification dans AD FS. Cela garantit que tous les utilisateurs utilisent Microsoft Entra authentification multifacteur, car il s’agit de la seule méthode d’authentification supplémentaire activée.
Désactivez le serveur MFA.
Restaurer les règles de revendication sur AD FS et supprimer le fournisseur d’authentification basé sur le serveur MFA
Suivez les étapes décrites dans Configurer les règles de revendication pour appeler l’authentification multifacteur de Microsoft Entra afin de revenir aux règles de revendication sauvegardées et de supprimer toutes les règles de revendication AzureMFAServerAuthentication.
Par exemple, supprimez les éléments suivants des règles :
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"**YourGroupSID**"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
Désactiver le serveur MFA en tant que fournisseur d’authentification dans AD FS
Cette modification garantit que seule l’authentification multifacteur Microsoft Entra est utilisée en tant que fournisseur d’authentification.
Ouvrez la Console de gestion AD FS.
Sous Services, cliquez avec le bouton droit sur Méthodes d’authentification, puis sélectionnez Modifier les méthodes d’authentification multifacteur.
Décochez la case en regard de Azure Multi-Factor Authentication Server.
Désactiver le serveur MFA
Suivez le processus de désactivation de votre serveur d’entreprise pour supprimer les serveurs MFA de votre environnement.
Considérations éventuelles à prendre en compte au moment de la désactivation des serveurs MFA :
Passez en revue les journaux du serveur MFA pour vérifier qu’aucun utilisateur ou aucune application n’utilise le serveur avant sa suppression.
Désinstaller le serveur Multi-Factor Authentication à partir du Panneau de configuration sur le serveur
Vous pouvez éventuellement nettoyer les journaux et les répertoires de données restants après les avoir sauvegardés au préalable.
Désinstallez le Kit de développement logiciel (SDK) du serveur web d’authentification multifacteur, y compris les fichiers laissés sur inetpub\wwwroot\MultiFactorAuthWebServiceSdk et ou les répertoires MultiFactorAuth
Pour les versions du serveur MFA antérieures à la version 8.0, vous devrez peut-être également supprimer l’authentification multifacteur du service web de l’application téléphonique.