Décrire les services d’annuaire Azure

  • 6 minutes

Microsoft Entra ID est un service d’annuaire qui vous permet de vous connecter et d’accéder aux applications cloud Microsoft et aux applications cloud que vous développez. Microsoft Entra ID peut également vous aider à gérer votre déploiement d’Active Directory local.

Pour les environnements locaux, Active Directory sur Windows Server propose un service de gestion des identités et des accès qui est géré par votre organisation. Microsoft Entra ID est le service cloud de Microsoft qui gère les identités et les accès. Avec Microsoft Entra ID, vous contrôlez les comptes d’identité, mais Microsoft assure la disponibilité du service à l’échelon mondial. Si vous avez déjà utilisé Active Directory, vous ne serez pas désorienté par Microsoft Entra ID.

Quand vous sécurisez les identités en local avec Active Directory, Microsoft ne supervise pas les tentatives de connexion. Lorsque vous connectez Active Directory à Microsoft Entra ID, Microsoft peut détecter les tentatives de connexion suspectes et ainsi renforcer votre protection sans coûts supplémentaires. Par exemple, Microsoft Entra ID peut détecter les tentatives de connexion en provenance de localisations inattendues ou d’appareils inconnus.

Qui utilise Microsoft Entra ID ?

Microsoft Entra ID est pour :

  • Administrateurs informatiques. Les administrateurs peuvent utiliser Microsoft Entra ID pour contrôler l’accès aux applications et aux ressources en fonction de leurs exigences opérationnelles.
  • Développeurs d’applications. Les développeurs peuvent utiliser Microsoft Entra ID pour ajouter des fonctionnalités aux applications qu’ils créent selon une approche basée sur les standards. Ils peuvent ainsi ajouter la fonctionnalité SSO à une application ou permettre à une application d’utiliser les informations d’identification existantes d’un utilisateur.
  • Utilisateurs. Les utilisateurs peuvent gérer leurs identités et effectuer des actions de maintenance telles que la réinitialisation de mot de passe en libre-service.
  • Abonnés aux services en ligne. Les abonnés Microsoft 365, Microsoft Office 365, Azure et Microsoft Dynamics CRM Online utilisent déjà Microsoft Entra ID pour s’authentifier dans leur compte.

Quel est le rôle Microsoft Entra ID ?

Microsoft Entra ID fournit des services tels que :

  • Authentification : ce processus inclut la vérification de l’identité avant d’accéder aux applications et aux ressources. ainsi que des fonctionnalités comme la réinitialisation de mot de passe en libre-service, l’authentification multifacteur, une liste de mots de passe interdits personnalisée, et des services de verrouillage intelligent.
  • Authentification unique : avec l’authentification unique, vous n’avez qu’un seul nom d’utilisateur et un seul mot de passe à retenir pour accéder à plusieurs applications. Une même identité est liée à un utilisateur, ce qui simplifie le modèle de sécurité. Quand un utilisateur change de rôle ou quitte l’organisation, les modifications d’accès s’appliquent à cette identité, ce qui réduit considérablement les efforts nécessaires pour modifier ou désactiver les comptes.
  • Gestion d’application : Vous pouvez gérer vos applications cloud et locales à l’aide de Microsoft Entra ID. Certaines fonctionnalités comme le proxy d’application, les applications SaaS, le portail Mes applications et l’authentification unique offrent une meilleure expérience utilisateur.
  • Gestion des périphériques : En plus des comptes individuels des personnes, Microsoft Entra ID prend en charge l’inscription des appareils. L’inscription permet de gérer les appareils avec des outils comme Microsoft Intune. Il est également possible d’appliquer des stratégies d’accès conditionnel basées sur les appareils pour limiter les tentatives d’accès aux seuls appareils connus, quel que soit le compte d’utilisateur qui en fait la demande.

Puis-je connecter mon environnement AD local à Microsoft Entra ID ?

Si vous aviez un environnement local exécutant Active Directory et un déploiement cloud utilisant Microsoft Entra ID, vous devriez gérer deux ensembles d’identités. Toutefois, vous pouvez connecter Active Directory à Microsoft Entra ID, ce qui permet une expérience d’identité cohérente entre le cloud et l’environnement local.

L’un des moyens de connecter Microsoft Entra ID à votre AD local consiste à utiliser Microsoft Entra Connect. Microsoft Entra Connect synchronise les identités utilisateur entre l’installation locale Active Directory et Microsoft Entra ID. Microsoft Entra Connect synchronise les modifications entre les deux systèmes d’identité, ce qui vous permet d’utiliser certaines fonctionnalités comme l’authentification unique (SSO), l’authentification multifacteur, et la réinitialisation de mot de passe en libre-service dans les deux systèmes.

Qu’est-ce que Microsoft Entra Domain Services ?

Microsoft Entra Domain Services est un service qui fournit des services de domaine managés, comme la jonction de domaine, la stratégie de groupe, le protocole LDAP et l’authentification Kerberos/NTLM. Tout comme Microsoft Entra ID vous permet d’utiliser des services d’annuaire sans avoir à gérer l’infrastructure qui la prend en charge, avec Microsoft Entra Domain Services, vous bénéficiez des services de domaine sans avoir à déployer, gérer et corriger des contrôleurs de domaine dans le cloud.

Un domaine managé Microsoft Entra Domain Services vous permet d’exécuter des applications héritées dans le cloud qui ne peuvent pas utiliser les méthodes d’authentification modernes, ou pour lesquelles vous ne voulez pas que les recherches d’annuaire retournent systématiquement à un environnement AD DS local. Vous pouvez effectuer un lift-and-shift de ces applications héritées de votre environnement local à un domaine managé sans devoir gérer l’environnement AD DS dans le cloud.

Microsoft Entra Domain Services s’intègre à votre locataire Microsoft Entra existant. Cette intégration permet aux utilisateurs de se connecter aux services et aux applications connectés au domaine managé en utilisant leurs informations d’identification existantes. Vous pouvez également utiliser des comptes d’utilisateurs et des groupes existants pour sécuriser l’accès aux ressources. Ces fonctionnalités fournissent une migration lift-and-shift plus simple des ressources locales vers Azure.

Comment fonctionne Microsoft Entra Domain Services ?

Quand vous créez un domaine managé Domain Services Microsoft Entra, vous définissez un espace de noms unique. Cet espace de noms est le nom de domaine. Deux contrôleurs de domaine Windows Server sont ensuite déployés dans votre région Azure sélectionnée. Ce déploiement de contrôleurs de domaine est appelé jeu de réplicas.

Vous n’avez pas besoin de gérer, configurer ou mettre à jour ces contrôleurs de domaine. La plateforme Azure gère les contrôleurs de domaine comme faisant partie du domaine managé, y compris les sauvegardes et le chiffrement au repos utilisant Azure Disk Encryption.

Les informations sont-elles synchronisées ?

Un domaine managé est configuré pour effectuer une synchronisation unidirectionnelle de Microsoft Entra ID vers Microsoft Entra Domain Services. Vous pouvez créer des ressources directement dans le domaine managé, mais elles ne sont pas resynchronisées sur Microsoft Entra ID. Dans un environnement hybride avec un environnement AD DS local, Microsoft Entra Connect synchronise les informations d’identité avec Microsoft Entra ID, qui sont ensuite synchronisées avec le domaine managé.

Diagram of Microsoft Entra Connect Sync synchronizing information back to the Microsoft Entra tenant from on-premises AD.

Dans Azure, les applications, les services et les machines virtuelles qui se connectent au domaine managé peuvent ensuite utiliser des fonctionnalités Microsoft Entra Domain Services courantes telles que la jonction de domaine, la stratégie de groupe, LDAP et l’authentification Kerberos/NTLM.