{"id":9002,"date":"2025-09-25T12:01:35","date_gmt":"2025-09-25T12:01:35","guid":{"rendered":"https:\/\/techhub.saworks.io\/docs\/preparation-de-certifications\/certification-azure\/implementer-une-identite-hybride-avec-windows-server\/mettre-en-oeuvre-lauthentification-unique-transparente-seamless-single-sign-on-2\/"},"modified":"2025-09-25T12:07:18","modified_gmt":"2025-09-25T12:07:18","slug":"mettre-en-oeuvre-lauthentification-unique-transparente-seamless-single-sign-on-2","status":"publish","type":"docs","link":"https:\/\/techhub.saworks.io\/fr\/docs\/preparation-de-certifications\/certification-azure\/implementer-une-identite-hybride-avec-windows-server\/mettre-en-oeuvre-lauthentification-unique-transparente-seamless-single-sign-on-2\/","title":{"rendered":"Mettre en \u0153uvre l\u2019authentification unique transparente (Seamless Single Sign-On)"},"content":{"rendered":"\n<div class=\"wp-block-group is-layout-constrained wp-block-group-is-layout-constrained\">\n<p>L\u2019\u00e9quipe informatique de Contoso souhaite permettre aux utilisateurs d\u2019acc\u00e9der aux ressources locales et Azure via une <strong>authentification unique (SSO)<\/strong>. La fonctionnalit\u00e9 <strong>Microsoft Entra Seamless SSO<\/strong> fonctionne avec la <strong>synchronisation de hachage de mot de passe<\/strong> ou l\u2019<strong>authentification par transmission directe (pass-through authentication)<\/strong>.<\/p>\n\n\n\n<p>De plus, lorsque Seamless SSO est activ\u00e9, les utilisateurs <strong>n\u2019ont presque jamais besoin de saisir leur nom d\u2019utilisateur<\/strong>, et <strong>jamais leur mot de passe<\/strong> pour se connecter \u00e0 Microsoft Entra ID. Cette fonctionnalit\u00e9 offre aux utilisateurs de Contoso un <strong>acc\u00e8s facile aux applications cloud<\/strong> sans n\u00e9cessiter de composants locaux suppl\u00e9mentaires.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Sc\u00e9narios pris en charge pour l\u2019authentification par transmission directe<\/strong><\/h3>\n\n\n\n<p>L\u2019authentification par transmission directe de Microsoft Entra garantit que les services qui d\u00e9pendent de Microsoft Entra ID <strong>valident toujours les mots de passe<\/strong> aupr\u00e8s d\u2019une instance AD DS locale.<\/p>\n\n\n\n<p>Vous pouvez configurer cette authentification via <strong>Microsoft Entra Connect<\/strong>, qui utilise un <strong>agent local<\/strong> \u00e9coutant les requ\u00eates de validation de mot de passe externes. Cet agent peut \u00eatre d\u00e9ploy\u00e9 sur <strong>un ou plusieurs serveurs<\/strong> pour assurer une haute disponibilit\u00e9. Il <strong>n\u2019est pas n\u00e9cessaire de le d\u00e9ployer dans un r\u00e9seau p\u00e9rim\u00e9trique<\/strong>, car toutes les communications sont <strong>uniquement sortantes<\/strong>.<\/p>\n\n\n\n<p>Le serveur ex\u00e9cutant l\u2019agent doit \u00eatre <strong>joint au domaine AD DS<\/strong> o\u00f9 se trouvent les utilisateurs. Avant le d\u00e9ploiement, il est important de conna\u00eetre les <strong>sc\u00e9narios d\u2019authentification pris en charge<\/strong> et ceux qui ne le sont pas.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Sc\u00e9narios pris en charge :<\/strong><\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Connexions utilisateur \u00e0 toutes les <strong>applications web<\/strong> compatibles avec Microsoft Entra ID.<\/li>\n\n\n\n<li>Connexions utilisateur aux <strong>applications Office<\/strong> prenant en charge l\u2019authentification moderne.<\/li>\n\n\n\n<li>Connexions utilisateur \u00e0 <strong>Microsoft Outlook<\/strong> via des protocoles h\u00e9rit\u00e9s : Exchange ActiveSync, SMTP, POP, IMAP.<\/li>\n\n\n\n<li>Connexions utilisateur \u00e0 <strong>Skype for Business<\/strong> avec authentification moderne (topologies en ligne et hybrides).<\/li>\n\n\n\n<li><strong>Jointure de domaine Microsoft Entra<\/strong> pour les appareils Windows 10.<\/li>\n\n\n\n<li><strong>Mots de passe d\u2019application<\/strong> pour l\u2019authentification multifacteur.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Sc\u00e9narios non pris en charge :<\/strong><\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Connexions utilisateur aux <strong>applications Office h\u00e9rit\u00e9es<\/strong>, sauf Outlook.<br><em>Exemples : Office 2010 et Office 2013 sans authentification moderne.<\/em><\/li>\n\n\n\n<li>Acc\u00e8s au <strong>partage de calendrier et aux informations de disponibilit\u00e9<\/strong> dans les environnements Exchange hybrides avec Office 2010.<\/li>\n\n\n\n<li>Connexions utilisateur \u00e0 <strong>Skype for Business<\/strong> sans authentification moderne.<\/li>\n\n\n\n<li>Connexions utilisateur \u00e0 <strong>Windows PowerShell version 1.0<\/strong>.<\/li>\n\n\n\n<li><strong>D\u00e9tection des identifiants compromis<\/strong>.<\/li>\n\n\n\n<li>Sc\u00e9narios n\u00e9cessitant <strong>Microsoft Entra Domain Services<\/strong> (n\u00e9cessite la synchronisation de hachage de mot de passe).<\/li>\n\n\n\n<li>Sc\u00e9narios n\u00e9cessitant <strong>Microsoft Entra Connect Health<\/strong> (non int\u00e9gr\u00e9 \u00e0 l\u2019authentification par transmission directe).<\/li>\n\n\n\n<li><strong>Apple DEP<\/strong> avec l\u2019assistant de configuration iOS : l\u2019authentification moderne n\u2019est pas prise en charge, donc l\u2019inscription \u00e9choue.<br><em>Solution alternative : utiliser l\u2019application Intune Company Portal.<\/em><\/li>\n<\/ul>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Fonctionnement de l\u2019authentification par transmission directe<\/strong><\/h3>\n\n\n\n<p>Avant le d\u00e9ploiement, il est utile de comprendre son fonctionnement et sa diff\u00e9rence avec AD FS. Ce n\u2019est pas une version simplifi\u00e9e d\u2019AD FS : les deux utilisent l\u2019infrastructure locale, mais de mani\u00e8re diff\u00e9rente.<\/p>\n\n\n\n<p>L\u2019authentification par transmission directe utilise un <strong>agent d\u2019authentification<\/strong>, install\u00e9 par Microsoft Entra Connect.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>\u00c9tapes du processus :<\/strong><\/h4>\n\n\n\n<ol class=\"wp-block-list\">\n<li>L\u2019agent s\u2019enregistre dans le locataire Microsoft Entra ID de Microsoft 365.<\/li>\n\n\n\n<li>Microsoft Entra ID lui attribue un <strong>certificat d\u2019identit\u00e9 num\u00e9rique unique<\/strong> (cl\u00e9 publique\/priv\u00e9e) pour une communication s\u00e9curis\u00e9e.<\/li>\n\n\n\n<li>L\u2019agent se connecte \u00e0 Microsoft Entra ID via le <strong>port 443 (HTTPS)<\/strong> avec <strong>authentification mutuelle<\/strong>.<\/li>\n\n\n\n<li>Microsoft Entra ID donne \u00e0 l\u2019agent <strong>acc\u00e8s \u00e0 une file d\u2019attente Azure Service Bus<\/strong>.<\/li>\n\n\n\n<li>L\u2019agent r\u00e9cup\u00e8re les <strong>requ\u00eates de validation de mot de passe<\/strong> depuis cette file.<\/li>\n<\/ol>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"border-width:1px;border-radius:15px;background-color:#9b51e04d\">\n<h3 class=\"wp-block-heading\">\ud83d\udd10 <strong>Remarque<\/strong> : <\/h3>\n\n\n\n<p>Les identifiants ne sont <strong>jamais stock\u00e9s dans le cloud<\/strong>.<\/p>\n<\/div>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Exemple :<\/strong><\/h3>\n\n\n\n<p>Quand un utilisateur tente de se connecter \u00e0 Outlook Web App :<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Il est redirig\u00e9 vers la page de connexion Microsoft Entra.<\/li>\n\n\n\n<li>L\u2019utilisateur saisit son nom d\u2019utilisateur et mot de passe.<\/li>\n\n\n\n<li>Microsoft Entra ID place ces identifiants dans une file d\u2019attente.<\/li>\n\n\n\n<li>Le <strong>service STS<\/strong> chiffre les identifiants avec la <strong>cl\u00e9 publique de l\u2019agent<\/strong>.<\/li>\n\n\n\n<li>L\u2019agent r\u00e9cup\u00e8re les identifiants chiffr\u00e9s et les d\u00e9chiffre avec sa <strong>cl\u00e9 priv\u00e9e<\/strong>.<\/li>\n\n\n\n<li>L\u2019agent valide les identifiants via <strong>AD DS local<\/strong> (via les API Windows).<\/li>\n\n\n\n<li>AD DS retourne une r\u00e9ponse : succ\u00e8s, \u00e9chec, mot de passe expir\u00e9, utilisateur verrouill\u00e9.<\/li>\n\n\n\n<li>L\u2019agent transmet la r\u00e9ponse \u00e0 Microsoft Entra ID.<\/li>\n\n\n\n<li>Microsoft Entra ID agit en cons\u00e9quence : connexion, demande MFA, etc.<\/li>\n<\/ol>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#fcb90054\">\n<h3 class=\"wp-block-heading\">\ud83d\udca1&nbsp;<strong>Astuce<\/strong><\/h3>\n\n\n\n<p>D\u00e9ployer <strong>Seamless SSO<\/strong> avec l\u2019authentification par transmission directe am\u00e9liore l\u2019exp\u00e9rience utilisateur. Les utilisateurs connect\u00e9s \u00e0 leur ordinateur de domaine peuvent acc\u00e9der aux ressources cloud <strong>sans se reconnecter<\/strong>.<\/p>\n<\/div>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">\ud83d\udcd8 <strong>Lecture compl\u00e9mentaire<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Microsoft Entra Seamless Single Sign-On<\/li>\n\n\n\n<li>Connexion utilisateur avec Microsoft Entra Pass-through Authentication<\/li>\n<\/ul>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>\ud83d\udccd Unit\u00e9 suivante : Activer la connexion Microsoft Entra pour les machines virtuelles Windows dans Azure<\/strong><\/h3>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>L\u2019\u00e9quipe informatique de Contoso souhaite permettre aux utilisateurs d\u2019acc\u00e9der aux ressources locales et Azure via une authentification unique (SSO). La fonctionnalit\u00e9 Microsoft Entra [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"parent":8949,"menu_order":8,"comment_status":"closed","ping_status":"closed","template":"","doc_tag":[],"doc_badge":[],"class_list":["post-9002","docs","type-docs","status-publish","hentry"],"author_avatar":"https:\/\/secure.gravatar.com\/avatar\/6a70e7c73db9f245e650948d09d74f61?s=96&d=mm&r=g","author_name":"Annick N'dri","_links":{"self":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs\/9002"}],"collection":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs"}],"about":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/types\/docs"}],"author":[{"embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/comments?post=9002"}],"version-history":[{"count":0,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs\/9002\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs\/8949"}],"wp:attachment":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/media?parent=9002"}],"wp:term":[{"taxonomy":"doc_tag","embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/doc_tag?post=9002"},{"taxonomy":"doc_badge","embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/doc_badge?post=9002"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}