⚠️
Attention : à partir de la version 2.34.0, WAM devient l'option par défaut et ne peut plus être désactivé.

Some blogs mention that they get this message when they use Connect-MgGraph with 2.34.0 :
"NOTE: Sign in by Web Account Manager (WAM) is enabled by default on Windows systems and cannot be disabled. Any setting stating otherwise will be ignored."

Certains blogs mentionnent qu'ils reçoivent ce message lorsqu'ils utilisent Connect-MgGraph avec la version 2.34.0 :
"NOTE: Sign in by Web Account Manager (WAM) is enabled by default on Windows systems and cannot be disabled. Any setting stating otherwise will be ignored."

Cependant, de mon côté, je ne vois que :
"WARNING: Note: Sign in by Web Account Manager (WAM) is enabled by default on Windows. If using an embedded terminal, the interactive browser window may be hidden behind other windows."

Il n'est pas mentionné qu'il ne peut pas être désactivé (??).

Même sans cette mention dans ma version 2.34.0, la cmdlet présentée dans mon message ne fonctionne plus. Je comprends la stratégie de Microsoft, mais où se trouve l'annonce officielle de ce changement (un blog ou similaire) ? Il ne s'agit pas d'un changement mineur.

Si vous utilisez le module PowerShell Microsoft Graph pour gérer des environnements Microsoft 365, vous avez peut-être remarqué un changement de comportement depuis quelques versions concernant l'authentification.

WAM par défaut

Depuis quelques versions, la cmdlet Connect-MgGraph utilise par défaut WAM (Web Account Manager), un système d'authentification intégré à Windows qui lance un navigateur embarqué avec le message

WARNING: Note: Sign in by Web Account Manager (WAM) is enabled by default on Windows. If using an embedded terminal, the interactive browser window may be hidden behind other windows.

Si cette fonctionnalité peut sembler pratique dans certains scénarios, elle pose plusieurs problèmes dans un contexte de gestion multi-clients :

  • Pas de remplissage automatique : Impossible d'utiliser votre gestionnaire de mots de passe pour remplir automatiquement les identifiants
  • Pas de réutilisation des sessions : Les sessions déjà actives dans votre navigateur principal ne sont pas exploitées
  • Traces locales : Votre poste de travail conserve des informations sur les connexions clients, ce qui n'est pas idéal d'un point de vue sécurité et confidentialité

Pour un consultant ou un administrateur qui jongle entre plusieurs tenants Microsoft 365, cette expérience utilisateur devient rapidement problématique (en tout cas, selon mon point de vue).

La solution : Désactiver WAM

Heureusement, Microsoft a intégré une option pour désactiver ce comportement à partir de la version 2.33.0 du module.

Si vous utilisez la version 2.34.0 ou une version ultérieure, veuillez vous reporter au message en haut de cet article, car WAM est désormais obligatoire et ne peut plus être désactivé.

Il suffit d'exécuter la commande suivante :

Set-MgGraphOption -EnableLoginByWAM $false

Cette option force le module à utiliser le navigateur système par défaut au lieu du navigateur embarqué WAM. Vous retrouvez ainsi l'expérience d'authentification classique avec tous ses avantages.

Microsoft 365
PowerShell
Previous Post Delete the value of an Entra ID attribute synchronized with Entra Connect Sync
Next Post Connect-MgGraph - Disable WAM

Comments

banner-Bastien Perez
Bastien Perez's avatar

Freelance Microsoft 365 - Active Directory - Modern Workplace

France