Méthode d’authentification

  • Last update on May 14th, 2025

Table of Contents

La méthode d’authentification détermine comment Configuration Manager s’authentifie dans le tenant lors d’une synchronisation afin d’effectuer une sauvegarde, déployer des modifications et réaliser toute tâche supplémentaire.

Dans Configuration Manager, vous avez la possibilité de :

  • Activer l’authentification par compte utilisateur (authentification via authentification déléguée ou Service Account) et authentification par principal de service
  • S’authentifier uniquement avec un principal de service

Activer l’authentification par compte utilisateur : choisir la méthode d’authentification

La case « Activer l’authentification par compte utilisateur » vous permet de choisir la méthode avec laquelle la synchronisation s’authentifiera. Lorsque cette case est cochée, vous pouvez choisir de vous authentifier soit via l’authentification déléguée, soit d’utiliser un Service Account :

Dans ce cas, en plus de l’authentification par principal de service, un compte utilisateur est requis, soit par Authentification déléguée, soit par Authentification Service Account. 

Avant de continuer…

Si vous n’avez pas choisi la méthode d’authentification entre authentification déléguée ou Service Account, lisez cet article. Il mettra en avant l’importance de bien choisir la méthode d’authentification adaptée à la stratégie de sécurité de votre organisation, en détaillant les avantages et les inconvénients des différentes solutions.

 

Option 1 : authentification déléguée

Avec cette option, Configuration Manager s’authentifie dans le tenant en utilisant un utilisateur Entra ID de votre choix (généralement un administrateur global déjà existant dans le tenant ou un utilisateur avec des permissions personnalisées). Lisez ici sur les rôles pour l’Authentification déléguée.

  • Lors de la synchronisation initiale, Configuration Manager vous demandera de vous connecter en tant qu’utilisateur. Configuration Manager génère un token d’actualisation pour l’utilisateur avec lequel vous vous authentifiez, puis s’authentifie dans le tenant à l’aide de ce token d’actualisation.
  • Cette méthode permet une authentification avec un utilisateur soumis à la MFA, à l’accès conditionnel et à d’autres politiques de sécurité.
  • Si le token d’actualisation devient invalide, vous devrez vous connecter de nouveau à l’application Configuration Manager et vous réauthentifier pour générer un nouveau token d’actualisation. Le token peut devenir invalide pour diverses raisons, telles que des modifications des politiques d’accès conditionnel ou des politiques de connexion, une réinscription à la MFA, ou en raison d’une politique d’expiration de token courte. Il est important de noter que ce ne sont que des exemples et que la liste n’est pas exhaustive.
  • Certains types d’application de la MFA, comme celle basée sur la localisation, peuvent ne pas être compatibles avec l’authentification déléguée sauf si vous utilisez un agent auto-hébergé dont l’emplacement de l’appareil est sous votre contrôle.
Utiliser l’option d’authentification déléguée.

Option 2 : utiliser le Service Account

Cette option crée un utilisateur Entra ID nommé Microsoft 365 Management Service, avec l’UPN :

simeon@tenantdomainname

dans le tenant où vous effectuez l’installation. 

Configuration Manager s’authentifie alors dans le tenant avec cet utilisateur. Aucun token d’actualisation n’est utilisé, de sorte que les modifications des politiques de connexion dans le tenant n’affectent généralement pas l’accès de l’utilisateur Service Account.

  • L’utilisateur Service Account reçoit le rôle Administrateur global lors de sa création.
  • Configuration Manager génère un mot de passe aléatoire de 128 caractères et le stocke de façon sécurisée, avec le nom d'utilisateur, dans une variable de pipeline chiffrée.
  • Vous devrez exclure le Service Account de toutes politiques d’accès conditionnel qui pourraient limiter l'accès de Configuration Manager au tenant, y compris les politiques MFA.
Utiliser l’option Service Account.

Option 3 : utiliser uniquement le principal de service

Si vous choisissez de désactiver la case « Activer l’authentification par compte utilisateur », vous pouvez installer votre tenant uniquement avec un principal de service :

Option « Activer l’authentification par compte utilisateur » désactivée.

Lorsque l’option « Activer l’authentification par compte utilisateur » est désactivée, la synchronisation s’authentifie uniquement avec un principal de service. Cela évite d’avoir à authentifier un compte utilisateur mais réduit le nombre de configurations prises en charge par la synchronisation

 

 

 

 

Related Articles

DID THIS PAGE HELP YOU?