Lorsqu'il s'agit d'activer le Single Sign-On (SSO) sur les appareils Windows, il est essentiel de comprendre les différences entre le Primary Refresh Token (PRT) et le Seamless SSO. Les deux approches ont leurs points forts et sont adaptées à des scénarios spécifiques. Voici ce que les professionnels de l'informatique doivent savoir.

Seamless SSO : l'option historique

Seamless SSO est conçu pour les anciens systèmes d'exploitation tels que Windows 7 et Windows 8.1. Il offre une expérience d'ouverture de session sans effort pour les utilisateurs dans les environnements où les appareils sont :

• Connecté à un domaine : Le Seamless SSO exige que les appareils soient connectés à un domaine Active Directory et disposent d'une connectivité à l'Active Directory.

Limitations :

• Seamless SSO n'est pas utilisé sur les appareils Windows 10/11 qui sont Microsoft Entra Joined ou Hybrid Joined. En lisant cela, vous vous dites peut-être "Oh, c'est inutile dans mon environnement" et vous avez probablement raison.

L’authentification unique fluide (Seamelss SSO) nécessite que l’appareil de l’utilisateur soit joint à un domaine, mais cette propriété n’est pas utilisée sur les appareils Windows 10 [et 11] avec Microsoft Entra joined ou Microsoft Entra Hybrid joined.

source : https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sso#sso-via-primary-refresh-token-vs-seamless-sso

En lisant ceci, vous pourriez penser : "Ça ne sert peut-être à rien dans mon environnement", et vous auriez peut-être raison 😄.

• Le Seamless SSO exige également que le mot de passe du compte AZUREADSSOACC soit périodiquement renouvelé, ce qui ajoute une couche supplémentaire de gestion et un risque potentiel pour la sécurité. En abandonnant le Seamless SSO, vous éliminez ce problème et simplifiez la gestion de la sécurité.
• nécessite la gestion de clés de registre spécifiques pour une configuration correcte, notamment l'enregistrement autologon.microsoftazuread-sso.com ce qui ajoute à la complexité de sa mise en œuvre (https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sso-quick-start)

Primary Refresh Token (PRT) : La solution pour les systèmes Windows modernes

Pour Windows 10, Windows Server 2016 et les versions ultérieures, le SSO via un jeton de rafraîchissement primaire (PRT) est la solution recommandée. PRT fonctionne de manière transparente sur les appareils enregistrés avec Microsoft Entra ID. Cela inclut :

• Appareils Microsoft Entra Hybrid Joined : Appareils reliés à un domaine et synchronisés avec Microsoft Entra ID.
• Appareils Microsoft Entra Joined : Appareils joints à Microsoft Entra ID.
• Appareils Microosft Entra Registered : Configurés par le biais de la fonction « Ajouter un compte professionnel ou scolaire ».

Key Benefits of PRT-Based SSO:

Principales avantages du SSO basé sur PRT

• Authentification moderne : PRT s'appuie sur l'authentification par jeton, réduisant ainsi la dépendance à l'égard des protocoles existants.
• Large compatibilité : Fonctionne dans les environnements hybrides et cloud.
• Sécurité renforcée : Prise en charge de fonctionnalités telles que l'accès conditionnel et l'authentification multifacteur.

Pour des conseils détaillés, reportez-vous à la documentation de Microsoft : https://learn.microsoft.com/en-us/azure/active-directory/devices/concept-primary-refresh-token.

Comment supprimer Seamless SSO

Pour supprimer complètement Seamless SSO de votre environnement, procédez comme suit :

1. Désactiver la fonction Seamless SSO dans Microsoft Entra Connect Sync (anciennement Azure AD Connect).
2. Supprimer l'objet AZUREADSSOACC d'Active Directory.
3. Supprimez les clés de registre associées à la configuration de Seamless SSO.

Ces actions garantissent une suppression propre de la fonctionnalité, réduisant ainsi les dépendances héritées et les risques potentiels pour la sécurité. Pour tout conseil ou soutien supplémentaire, n'hésitez pas me contacter.