Activation silencieuse d'Office 365 : anciennes implémentations

Remarque

Les étapes de cette rubrique s'appliquent aux orgs qui ont implémenté la version en accès anticipé de cette fonctionnalité avant la version 2019.09.0. Si vous implémentez cette fonctionnalité pour la première fois après le 1er septembre 2019 (version ultérieure à la version 2019.09.0), reportez-vous aux instructions dans Activation silencieuse d'Office 365 : nouvelles implémentations.

L'activation silencieuse d'Office 365 avec Okta offre une expérience fluide pour accéder à Microsoft Office. En utilisant Okta en tant que fournisseur d'identité, cette option permet l'activation silencieuse sur les postes de travail partagés ou les environnements VDI. Une fois que vos utilisateurs finaux sont connectés à une machine Windows jointe au domaine, ils seront automatiquement connectés aux applications Office 365.

Pour plus d'informations sur la manière de configurer un poste de travail partagé pour Microsoft Office 365, reportez-vous à l'article Vue d'ensemble de l'activation d'ordinateurs partagés pour les apps Office 365 sur le site Web de Microsoft.

Conditions nécessaires

  • Vous avez un domaine Active Directory (ou plusieurs domaines) intégré à votre org Okta. Pour plus d'informations sur l'intégration de domaines AD dans Okta, consultez la section Intégration Active Directory.

  • Dans Active Directory, vous avez les autorisations de configurer un nom de principal du service (SPN). Pour plus d'informations sur les autorisations, consultez la section Déléguer l'autorité pour modifier les SPN.

  • Vous aurez besoin de créer un compte de service comme décrit ci-dessous. Pour ce compte de service :
    • Pour le service Kerberos du tenant Okta, un compte d'utilisateur de domaine est recommandé plutôt qu'un compte d'administrateur de domaine pour des raisons de sécurité.
    • Pour verrouiller davantage le compte, la restriction Se connecter à peut être activée avec un nom d'hôte fictif, et le compte peut être marqué comme Le compte est sensible et ne peut pas être délégué. Cette configuration est également recommandée pour des raisons de sécurité.
  • L'UPN Active Directory de l'utilisateur doit correspondre à l'UPN Office 365. Le nom d'utilisateur de l'application Office 365 peut être configuré pour mapper n'importe quel attribut AD. Pour plus de détails, reportez-vous à l'article Préparer la synchronisation d'annuaires pour Microsoft 365 sur le site Web de Microsoft.
  • Vérifiez que tous les utilisateurs finaux Office 365 possèdent une licence valide.
  • Tous les utilisateurs finaux doivent être affectés à l'instance Office 365 associée à leur domaine spécifique.
  • Les utilisateurs doivent être en mesure de contacter les contrôleurs de domaine.

Limites

Les configurations et restrictions suivantes interdisent la mise en place de l'activation silencieuse pour Office 365 :

  • Si une politique d'accès client est configurée dans Office 365 pour refuser les navigateurs Web, elle bloquera également l'activation silencieuse.
  • Si votre app ou si la stratégie d'authentification Okta exige une MFA pour les navigateurs Web, il n'y aura pas de MFA lors de la connexion avec l'activation silencieuse.
  • L'authentification SWA n'est pas prise en charge.

Configurations prises en charge

  • Toutes les versions de Windows actuellement prises en charge par Microsoft
  • Office 2016 et versions ultérieures

Instructions de configuration

Okta utilise l'authentification Kerberos pour mettre en place l'activation silencieuse pour Office 365. La configuration de cet échange nécessite la création d'un nouveau compte de service, ainsi qu'un nom principal de service (SPN) unique pour ce compte.

ÉTAPE 1 : créer un compte de service et configurer un SPN

  1. Connectez-vous à un serveur à partir duquel vous pouvez accéder aux utilisateurs et ordinateurs Active Directory.

  2. Créez un nouveau compte avec les propriétés suivantes :

    Propriété

    Valeur
    Nom de connexion de l'utilisateur <username
    Nom de connexion de l'utilisateur (avant Windows 2000) <username> (peut être n'importe quel nom d'utilisateur)

    Remarque

    Les autorisations d'administrateur sont facultatives pour le compte de service, mais des autorisations spécifiques sont nécessaires pour configurer le SPN, comme indiqué dans la section Déléguer l'autorité pour modifier les SPN sur le site de Microsoft.

  3. Créez un mot de passe et cochez la case Le mot de passe n'expire jamais, comme indiqué ci-dessous :

  4. Ouvrez une invite de commande et utilisez la syntaxe suivante pour configurer un SPN pour le compte de service :

    Setspn -S HTTP/yourorg.kerberos.oktapreview.com <username>HTTP/yourorg.kerberos.oktapreview.com est le SPN et <username> est la valeur spécifiée à l'étape 2 de cette section.

    Exemple :

  5. Vérifiez que le SPN est correct en saisissant le texte suivant :

    Setspn -l <username>

ÉTAPE 2 : déployer les clés de registre

  1. Déployez les clés de registre sur les ordinateurs clients. Consultez la section Authentification unique de bureau sans agent Active Directory.
  2. Lors du déploiement des clés de registre sur un seul ordinateur, utilisez les lignes suivantes pour créer un fichier REG sur l'ordinateur client :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_USE_CNAME_FOR_SPN_KB911149] "winword.exe"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_USE_CNAME_FOR_SPN_KB911149] "powerpnt.exe"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_USE_CNAME_FOR_SPN_KB911149] "outlook.exe"=dword:00000001

ÉTAPE 3 : configurer vos navigateurs sur Windows

La configuration de vos navigateurs sur Windows comporte trois étapes principales :

  1. Activer l'IWA sur les navigateurs

  2. Ajouter Okta en tant que site de confiance à la zone Intranet local dans Internet Explorer (IE)

  3. Créer un GPO pour appliquer ces paramètres sur tous vos ordinateurs clients

Pour configurer vos navigateurs :

  1. Activez l'IWA sur les navigateurs

    1. Dans Internet Explorer, sélectionnez OutilsOptions Internet.

    2. Cliquez sur l'onglet Avancé, faites défiler vers le bas jusqu'aux paramètres de Sécurité et sélectionnez Activer Integrated Windows Authentication.

    3. Cliquez sur OK.

      Remarque

      Assurez-vous qu'Internet Explorer peut enregistrer les cookies de la session (Options Internet, Onglet Confidentialité). Dans le cas contraire, ni la SSO ni la connexion standard ne pourront fonctionner.

  2. Configurez la zone Intranet local pour qu'elle fasse confiance à Okta :

    1. Dans Internet Explorer, ouvrez Options InternetSécurité.

    2. Cliquez sur Intranet localSitesAvancé et ajoutez l'URL de votre org Okta telle que vous l'avez configurée au cours des étapes précédentes.

      Par exemple : https://<myorg>.kerberos.okta.com.

    3. Cliquez sur Fermer et OK dans les autres options de configuration.
  3. Créez un GPO pour déployer cette configuration sur tous les ordinateurs clients qui utiliseront l'activation silencieuse.

ÉTAPE 4 : mettre en place l'activation silencieuse

La prochaine étape consiste à activer Agentless Desktop SSO au sein d'Okta.

  1. Dans l'Administrative Dashboard, passez la souris sur le menu déroulant Sécurité.
  2. Faites défiler vers le bas et choisissez Authentification déléguée.
  3. Sur la page Authentification déléguée, cliquez sur l'onglet Active Directory.
  4. Faites défiler vers le bas pour trouver la section Agentless Desktop SSO.

  5. Cliquez sur le bouton Modifier dans le coin supérieur droit de la section Agentless Desktop SSO.

  6. Sous Instances AD, trouvez l'instance pour laquelle vous avez configuré nom d'utilisateur du compte de service.

  7. Configurez cette instance en utilisant le format de nom d'utilisateur suivant :

    Champ

    Valeur
    SSO de bureau Activée
    Nom d'utilisateur du compte de service

    <username>

    Remarque : il s'agit du nom d'authentification Active Directory que vous avez créé lors de l'ÉTAPE 1 : créer un compte de service et configurer un SPN, sans suffixe de domaine ni préfixe de nom NetBIOS. Cela peut être le sAMAccountName ou la partie correspondant au nom d'utilisateur de l'UPN. Il est possible que ces deux éléments soient une seule et même chaîne, à moins que l'administrateur de l'org n'ait choisi d'utiliser des valeurs différentes.
    Mot de passe du compte de service Votre mot de passe AD

  8. Cliquez sur le bouton Enregistrer.

Vous pouvez désormais tester votre activation silencieuse d'Office 365 sur un ordinateur joint Active Directory (VDI ou poste de travail partagé).

ÉTAPE 5 : valider l'activation silencieuse d'Office 365

Terminez les étapes suivantes sur une machine sur laquelle le client Office 2016 est installé :

  1. Lancez le client Office 365 :
    1. Ouvrez une application client Office 2016, comme Microsoft Word.

    2. Confirmez que vous êtes bien connecté(e) et que le client est automatiquement activé.

      Vous devriez voir apparaître un message similaire à celui-ci :

  2. Accédez à la page Journal système Okta pour vérifier l'authentification via le point de terminaison Kerberos.
  3. Dans l'Administrative Dashboard, passez la souris sur le menu déroulant Rapports.

  4. Faites défiler vers le bas et choisissez Journal système.

    Sur la page Journal système, trouvez l'événement et utilisez la flèche pour descendre dans la hiérarchie jusqu'à ÉvénementSystème LegacyEventType.

    L'entrée doit indiquer que l'utilisateur s'est authentifié via le point de terminaison Kerberos.

Une fois que vous avez fini de valider l’activation silencieuse, la configuration est terminée.

Rubriques liées