Des identifiants cryptiques aux noms clairs : La fin de la confusion identitaire dans Entra

La build Insider de Windows 27881 introduit la résolution native d'Entra SID en noms, permettant enfin aux administrateurs de voir des groupes et rôles Entra clairs et lisibles par l'homme sur les appareils Windows sans scripts ni solutions de contournement.
Image de Stella

Stella

Table des matières

L'un des problèmes de longue date pour les administrateurs gérant des appareils joints à Entra trouve enfin une solution. À partir de la build Insider 27881 de Windows, Microsoft a introduit une amélioration attendue depuis longtemps : Windows peut désormais traduire automatiquement les SID de groupe Entra et de rôle Intune (comme Administrateurs de périphériques et Administrateurs de l'entreprise) en noms lisibles, directement sur l'appareil.

Les mystérieux S-1-12-1 SIDs

Si vous avez déjà ajouté un groupe Entra ou un rôle Intune à un groupe Windows local, vous avez probablement remarqué qu'au lieu d'un nom clair, vous étiez accueilli par un SID S-1-12-1-xxxx cryptique.

Bien que les utilisateurs Entra aient été correctement résolus depuis des années, les groupes Entra et les rôles intégrés étaient simplement invisibles pour le système d'identité locale de Windows. Même des rôles critiques comme “Administrateurs de l'appareil” apparaissaient comme “Compte inconnu”, laissant les administrateurs deviner qui avait réellement des privilèges élevés.

Pour donner un sens à ces SID, les administrateurs s'appuyaient sur des scripts PowerShell ou des outils communautaires, car Windows en lui-même ne pouvait pas demander à Entra qui étaient réellement ces identités.

Quoi de neuf dans la build Insider de Windows 27881

Microsoft a discrètement comblé cette lacune longtemps absente avec une nouvelle fonctionnalité connue en interne sous le nom d'AADSidToNameV2Support.
Cette amélioration étend le processus existant de recherche SID vers nom, qui gérait auparavant les utilisateurs Entra, pour inclure désormais aussi les groupes et les rôles.

Voici ce que cela signifie en pratique : lorsque Windows rencontre un SID Entra inconnu – qu'il s'agisse d'un utilisateur, d'un groupe ou d'un rôle – il suit désormais un processus de résolution plus intelligent.

Vérifie le cache local : Windows recherche d'abord le SID dans le cache d'identité local.

Demandez à Entra si nécessaire : S'il n'est pas mis en cache, Windows interroge Entra de manière sécurisée pour identifier à qui appartient cet identifiant de sécurité (SID).

Mettre le résultat en cache : Une fois résolu, le nom traduit est stocké localement afin qu'il apparaisse instantanément la prochaine fois, même hors ligne.

L'ensemble de ce processus se déroule silencieusement en arrière-plan, utilisant une authentification sécurisée entre l'appareil et Entra. Les données de traduction se trouvent sous le chemin du registre :


HKLM\SOFTWARE\Microsoft\IdentityStore\Cache\\IdentityCache
Le point de terminaison Entra SID-vers-Nom
Sous le capot, Windows contacte un nouveau point de terminaison Entra :
https://login.microsoftonline.com/<tenant>/sidtoname 


Windows crée un jeton Web JSON (JWT) signé par l'appareil, prouvant ainsi son identité, et inclut le SID inconnu dans la requête. Entra répond avec le nom d'identité correspondant et les informations d'affichage. Si la recherche réussit, Windows met à jour son cache local, ce qui signifie que le SID apparaîtra correctement à partir de ce moment-là. Si la recherche échoue, le SID reste tel quel jusqu'à ce qu'il puisse être résolu.

Rétrocompatibilité avec les noms de style NT4

Certains composants Windows hérités s'attendent toujours au format classique DOMAIN\Utilisateur. Pour les prendre en charge, Windows génère automatiquement un alias compatible (par exemple, AzureAD\NomduGroupe) à l'aide d'un processus d'arrière-plan appelé GenAndPersistNT4StyleName. Cela garantit que les identités Entra peuvent être affichées de manière cohérente sur les interfaces Windows modernes et héritées.

Avant et après : ce que vous verrez

Avec la fonctionnalité désactivée, le groupe Administrateurs locaux peut afficher des entrées telles que :

S-1-12-1-1234567890-987654321-…

Une fois AADSidToNameV2Support activé, les mêmes entrées apparaissent comme :

Administrateurs de l'appareil
Administrateurs de la société
apv2_utilisateurs

Autrement dit, les groupes et rôles Entra apparaissent désormais exactement comme vous vous y attendez : lisibles par l'homme, précis et instantanément reconnaissables.

Pourquoi ce changement est important

Cette amélioration ne concerne pas seulement l'esthétique. Il s'agit de clarté, de facilité de gestion et de sécurité. Administration simplifiée – Plus besoin de deviner quel SID correspond à quel groupe Entra. Ciblage de stratégie amélioré – Intune et les bases de référence de sécurité peuvent désormais identifier et appliquer correctement les paramètres aux groupes Entra nommés. Dépannage amélioré – Les administrateurs peuvent voir instantanément quelles identités cloud disposent de privilèges locaux, réduisant ainsi la confusion et les erreurs de configuration potentielles.

Pour l'instant, cette amélioration est exclusive aux versions Insider et n'a pas encore été déployée dans les versions de publication générale de Windows 11 (24H2 ou 25H2). Mais c'est un signal clair que Windows prend pleinement en compte Entra, réduisant l'écart entre la gestion des identités locales et celle du cloud.

En résumé

Après des années de visualisation d'identifiants SID incompréhensibles dans le groupe d'administrateurs local, Windows comprend enfin nativement les identités Entra. Avec AADSidToNameV2Support, Microsoft livre ce que les administrateurs demandaient depuis toujours : une vue lisible et précise de qui est qui sur un appareil, sans scripts ni solutions de contournement.

Windows apprend enfin à parler couramment Entra, et c'est une grande victoire pour tous les administrateurs informatiques gérant des appareils connectés au cloud.

Plus d'articles de blog comme celui-ci

Retour en haut