---
locale: "fr"
updated_at: "2025-10-28T13:04:35.507Z"
canonical: "https://www.isdecisions.com/fr/userlock/docs/guides/sso/configurer-applications/microsoft/configuration-standard"
---

# Sécurisez l’accès à Microsoft avec UserLock Single Sign-On

Configurer la fédération SSO pour les services Microsoft.

## Vue d'ensemble

Ce guide explique comment préparer votre environnement et fournit des recommandations clés pour garantir une intégration sécurisée et fiable avant la configuration finale. Il décrit également les étapes nécessaires à la mise en place du SSO.

> **Note**
>
> Si votre environnement Microsoft est un **locataire gouvernemental (GCC)**, veuillez contacter **le support IS Decisions** pour obtenir des instructions spécifiques.
> La configuration décrite dans cette documentation ne s’applique pas aux environnements gouvernementaux.

## Considérations importantes

### Éviter le verrouillage des administrateurs

- Conservez le domaine `onmicrosoft.com` comme **domaine Entra ID par défaut.** Microsoft empêche ce domaine d’être fédéré, garantissant ainsi que les comptes associés restent accessibles même en cas de problème de fédération.
- Maintenez au moins un **compte administrateur** dans le domaine `*.onmicrosoft.com`, protégé par l’**authentification multifacteur native (MFA)** d’Entra ID. Ce compte vous permettra de récupérer l’accès ou de reconfigurer les paramètres de fédération en cas de problème d’authentification.

### Fédération d’un utilisateur

- Modifier le domaine par défaut dans Entra ID n’a **aucun impact** sur les informations d’identification ou les autorisations d’accès des utilisateurs.
En revanche, modifier le domaine auquel un utilisateur est associé affecte son adresse e-mail, son URL OneDrive et ses identifiants de connexion.
- Si vous migrez un utilisateur vers un autre domaine pour activer le SSO, veillez à **anticiper ces impacts** avant de poursuivre.

> **Note**
>
> Dans le cas d’un domaine **“Managed”**, l’authentification est gérée par Entra ID.
> Dans le cas d’un domaine **“Federated”**, l’authentification est assurée par un tiers.
> Avec **UserLock SSO**, elle est effectuée par l’Active Directory local mis en place par l’organisation.

## Étape 1 : Configurer Microsoft dans UserLock SSO

1. Dans la **console UserLock**, ouvrez ⚙ **Paramètres du serveur ▸ Single Sign-On.**
2. Dans la liste des applications, sélectionnez **Microsoft.**
3. Saisissez le **domaine Entra ID** que vous souhaitez fédérer.
Pour les sous-domaines, reportez-vous à [Fédérer un sous-domaine](/userlock/docs/guides/sso/configure-the-applications/microsoft/#fdrer-un-sous-domaine).
  ![](https://a.storyblok.com/f/122374/467x517/273515f068/microsoft_parameters.png)
4. Cliquez sur **Créer** pour valider la configuration.

## Étape 2 : Synchroniser les utilisateurs

Avant de fédérer votre domaine Entra ID, vérifiez que tous les utilisateurs peuvent se connecter.

La synchronisation des utilisateurs entre un Active Directory local et Entra ID peut s’effectuer de deux manières :

- **[Microsoft Entra Connect](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/whatis-azure-ad-connect)**[ & ](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/whatis-azure-ad-connect)**[Microsoft Entra Cloud Sync](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/whatis-azure-ad-connect)**** **– *Recommandé.*
  Une fois configurée, **la synchronisation s’exécute automatiquement** et maintient la cohérence entre les deux annuaires.
- **Assistant UserLock SSO** : une méthode manuelle, simple à configurer, idéale pour les tests initiaux ou les **petits environnements**, mais moins adaptée aux déploiements à grande échelle.

### Synchroniser à l’aide de l’assistant UserLock SSO

1. Dans l’assistant de configuration UserLock, accédez à **Authentification unique (Single Sign-On) ▸ Outils.** Cela ouvrira la nouvelle application Assistant UserLock SSO.
2. Si l’installation du module PowerShell Microsoft.Graph est proposée, sélectionnez **Oui.**
3. Choisissez **Synchronize Active Directory and Azure Active Directory**, puis cliquez sur **Configure.**
4. Connectez-vous avec votre compte **Administrateur de domaine Entra ID.**
5. Sélectionnez l’**OU Active Directory** et le **domaine Entra ID** contenant vos utilisateurs fédérés.
6. Appliquez le filtre **Unsynchronized** **.**
7. Cliquez sur **Synchronize** pour chaque utilisateur afin de finaliser le processus.
8. Choisissez l’une des options suivantes :
  - **Create a new Microsoft 365 user**
  Crée un nouveau compte Entra ID synchronisé avec l’utilisateur AD local correspondant.
  - **Synchronize with an existing Microsoft 365 user**
  Associe un compte Entra ID existant à une identité Active Directory sélectionnée.

## Étape 3 : Configurer Microsoft pour l’authentification unique (Single Sign-On)

1. Dans l’assistant de configuration UserLock, accédez à **Authentification unique (Single Sign-On) ▸ Outils.** Cela ouvrira l’application Assistant UserLock SSO.
2. Si l’installation du module PowerShell Microsoft.Graph est proposée, cliquez sur **Yes.**
3. Sélectionnez **Federate an Azure Active Directory domain with UserLock SSO**, puis cliquez sur **Configure.**
4. Connectez-vous avec votre compte **Administrateur de domaine Entra ID.**
5. Sélectionnez le domaine à fédérer.
6. Cliquez sur **Federate **pour lancer le processus de fédération.

Votre domaine est désormais fédéré avec **UserLock SSO.**

> **Note**
>
> Si vous rencontrez des problèmes avec l’assistant UserLock SSO, vous pouvez réaliser la configuration à l’aide de [PowerShell](/userlock/docs/guides/sso/configure-the-applications/microsoft/configure-powershell).
> 
> Cette méthode est recommandée pour les administrateurs avancés qui privilégient les scripts ou doivent intégrer la configuration SSO à un **déploiement automatisé** ou à des **procédures de récupération.**

## Étape 4 : Tester l’authentification

1. Ouvrez votre navigateur Web préféré.
  > **Note**
  >
  > Pour tester le SSO **avec un autre utilisateur** que celui de votre session Windows actuelle, ouvrez une fenêtre privée ou incognito.
  > Dans Firefox, vous devrez peut-être ajuster les paramètres d’authentification afin d’autoriser la redirection SSO.
2. Rendez-vous sur `login.microsoftonline.com`.
3. Entrez l’**adresse e-mail d’un utilisateur fédéré** et cliquez sur **Next.**
  > **Note**
  >
  > La propagation de la fédération peut prendre plusieurs minutes. Pendant ce délai, certains services Microsoft peuvent encore demander des identifiants.
  > Si cela se produit, **attendez quelques minutes** avant de réessayer.
4. Si aucun mot de passe n’est demandé, la connexion via SSO a été établie avec succès.
5. Dans la **console UserLock**, accédez à **Rapports ▸ Rapports d'historique ▸ Événements SSO **pour vérifier la connexion.
  ![](https://a.storyblok.com/f/122374/1276x698/54b83bbf1b/evenement-sso-microsoft.png)

## Mettre à jour le certificat SAML dans Microsoft

Pour mettre à jour le certificat SAML, vous devez fédérer à nouveau votre domaine**.**

1. Revenez à [l'étape 3.](/userlock/docs/guides/sso/configure-the-applications/microsoft/configure#tape-3-configurer-microsoft-pour-lauthentification-unique-single-sign-on)
2. Modifiez l’état du domaine pour le remettre en **Managed** (géré).
3. **Attendez quelques secondes** afin de permettre aux services Microsoft de propager les modifications.
4. Fédérez à nouveau le domaine pour appliquer le nouveau certificat.

## Fédérer un sous-domaine

Si vous essayez de fédérer un sous-domaine d’un domaine déjà répertorié dans la configuration Microsoft, un message d’avertissement s’affichera.

### Cas 1. Sous-domaines dans le même locataire

L’entreprise XYZ utilise le locataire Microsoft 365 `mydomain.onmicrosoft.com`, avec `mydomain.com` comme domaine de messagerie principal.
Deux autres domaines sont utilisés :

- `sales.mydomain.com` – pour l’équipe commerciale
- `myotherdomain.com` – pour l’équipe française

Lors de la configuration du SSO (authentification unique), assurez-vous d’ajouter **les trois domaines**.
Comme `sales.mydomain.com` appartient à un autre locataire, il ne peut pas être fédéré automatiquement avec `mydomain.com`.
Ajoutez-le manuellement et ignorez simplement l’avertissement concernant la fédération automatique.

### Cas 2. Sous-domaines dans des locataires différents

L’entreprise XYZ utilise deux locataires Microsoft 365 : `mydomain.onmicrosoft.com` et `myotherdomain.onmicrosoft.com`.
Les domaines sont attribués comme suit :

- `mydomain.com` – domaine de messagerie principal
- `sales.mydomain.com` – équipe commerciale *(appartient à myotherdomain.onmicrosoft.com)*
- `myotherdomain.com` – équipe française

Lors de la configuration du SSO, vous devez ajouter **les trois domaines.**
Comme `sales.mydomain.com` appartient à un autre locataire, il ne peut pas être fédéré automatiquement avec `mydomain.com`.
Ajoutez-le manuellement et ignorez l’avertissement de fédération automatique.

## Prochaines étapes

Vous pouvez renforcer la sécurité des sessions SSO en appliquant des **règles d’accès UserLock** en complément des contrôles d’authentification.

- [Appliquez la MFA sur les connexions SaaS](/userlock/docs/guides/mfa-implementation/mfa-for-sso) pour renforcer l’authentification.
- [Définissez des restrictions horaires](/userlock/docs/reference/access-policies/time-restriction) pour contrôler les périodes de connexion autorisées.
- [Utilisez des règles de Géolocalisation](/userlock/docs/reference/access-policies/geolocation) pour restreindre les accès en fonction de la position des utilisateurs.
- [Configurez des limites de session](/userlock/docs/reference/access-policies/session-limit) pour autoriser ou interdire entièrement les connexions SaaS à certains utilisateurs.
