10. | Qu’est ce que PTA (Pass-Through Authentication) ?
◦ | Méthode d’Authentification basée sur agent(s)
| Permet aux utilisateurs de s’authentifier sur les applications
on-prem & cloud avec le même mot de passe (on-prem)
◦ | Similaire à AD FS (SSO on-prem & cloud)
11. 11
User
Contoso Corpnet
Connector
User Name
and
password
Connector notified
of request
Connector
validates the
credentials
against AD
Token returned to the
user or further proofs
(MFA) are initiated
1 2
34
5
DC returns
result
Connector returns
result
6
Security
Token
Service
Microsoft Azure
Active Directory
| Comment PTA fonctionne ?
12. | Pourquoi/Quand utiliser PTA?
| User eXperience
| Similaire à AD FS (SSO on-prem & cloud) + C’est Gratuit ☺
| Plus simple à deployer et administrer que AD FS (Federation)
| Agent léger
| Pas de charge d’Exploitation supplémentaire
| Haute-Disponibilité intégrée (Plusieurs agents = Plus de Résilience)
| Securisé
| Les mots de passe on-premises ne doivent pas nécessairement être synchronisés*
| Seule la connectivité sortante est requise
| Intégration transparente avec Azure AD Conditional Access
| Intégration avec d’autres fonctionalités de sécurité (Smart Lockout et IP Lockout, Leaked
credential service*)
13. | Limitations de PTA
◦ | Pas de détection de fuite d'informations d'identification
| PTA n’est pas intégré avec Azure AD Connect Health
| Les Tenants avec PTA seul ne permettent pas de scenario avec
Azure AD Domain Services (*)
| Pas de Support pour l’authentification avec carte à puce
◦ (*) WORKAROUND:
EN TANT QUE SOLUTION DE CONTOURNEMENT, EXCEPTÉ POUR L’INTÉGRATION AVEC AZURE AD CONNECT HEALTH, ACTIVATION DE LA
SYNCHRONIZATION DU HASH DES MOTS DE PASSE DANS AZURE AD CONNECT WIZARD.
14. Migration vers PTA
| Valider et Sauvegarder les paramètres de Fédération
| Préparer la migration
| Smart Lockout
| Authentification Moderne
| Seamless SSO
| Migrer vers PTA
| Préparation pour Seamless SSO
| Configuration de PTA et Seamless SSO via Azure AD Connect
15. | PTA & Seamless SSO
| Authentifie automatiquement les utilisateurs
| Ne requièrt aucune saisie de mot de passe
| Dans certains cas, pas de saisie nécessaire du compte utilisateur
19. | Benefice de la synchronisation des mots de passe
Password Hash Synchronization (PHS)
◦ | Permet la Protection des mots de passe (Password Protection)
◦ ►Smart Lockout, IP Lockout, leaked credentials discover
| Expérience proche du SSO
| Souvent amplement suffisant pour la plupart des utilisateurs
| Simple à déployer et administrer
| Crée la paix dans le monde
20. | Benefices du “sans mot de passe”
Password-Less app (en public preview)
◦ | Pas de mot de passe à retenir
| Authentification avec smartphone
◦ | Microsoft Authenticator App
| Securisé
| Approbation d’un numéro
| Confirmation par code PIN ou Biométrie
| C’est l’avenir !
21. | Benefices du “sans mot de passe”
Password-Less device (en private preview)
◦ | Pas de mot de passe à retenir
| Authentification avec clé de sécurité
◦ | Windows Hello certifié FIDO2*
| Securisé
| Identifiants stockés sur la clé de sécurité
| Identifiants protégés par un second facteur (2FA)
◦ | Compatible MSA & AAD
| C’est l’avenir !
*Windows 10, version 1903
23. ◦ | Ne pas mettre d’ADFS que pour Office 365
◦ | Simplifier l’authentification des utilisateurs à Office 365
◦ | Améliorer l’expérience utilisateur
◦ | Sécuriser l’authentification des utilisateurs
◦ | Microsoft « investit » dans le zéro mot de passe