Sergey Nivens - stock.adobe.com

Azure AD ? Un complément d’Active Directory

Les utilisateurs d’Azure ont à portée de clic une déclinaison Cloud de l’annuaire Active Directory. Mais ce n’est une réplique parfaite. Apprenez à utiliser les deux conjointement.

Les administrateurs d’environnements Microsoft ne connaissent que trop bien Active Directory. Il existe également une variante Azure disponible lorsque l’on est prêt à passer au cloud. Mais il ne faut pas s’attendre à ce qu'il s'agisse d'un remplacement.

Active Directory et Azure Active Directory (Azure AD) sont différents, mais ils ne constituent pas nécessairement des offres concurrentes. Au lieu de cela, Azure AD étend Active Directory au cloud et permet d’amener les utilisateurs et groupes existants dans Office 365 et Azure. Certaines fonctions, telles que l'authentification unique Azure (SSO) et la réinitialisation du mot de passe en libre-service, font partie de l'offre.

Connaître les bases de l'Azur AD

Azure AD est un service de gestion des identités et des accès qui fournit capacités d'ouverture de session et d'accès aux ressources, y compris Office 365, Azure et un nombre illimité d'applications développées en interne dans une organisation, et intégrée au service. Il se connecte à l’Active Directory sur site pour synchroniser les utilisateurs, les groupes et autres données afin que les identifiants de connexion soient cohérents dans toute l'entreprise. Inversement, et à partir d’Azure AD Premium P1, les mots de passe utilisateur peuvent être réinitialisés et poussés vers l’Active Directory local.

Les organisations peuvent inviter des utilisateurs externes au sein d’Azure AD pour leur donner accéder aux applications couvertes par le service. Il sert également de point final pour les configurations SSO pour toutes les applications utilisées par l'organisation, ce qui simplifie souvent le processus.

Azure AD Premium P2 supporte en outre le contrôle d’accès conditionnel basé sur le risque, pour le réseau d’entreprise. Cette fonction assure l’évaluation du risque d'une action et détermine si d'autres étapes d'authentification sont nécessaires ou si une connexion doit être bloquée. A cela s’ajoute Privileged Identity Management, qui offre des capacités de trace et d’audit étendues pour les comptes à droits élevés.

Différences avec Active Directory

Bien qu'Active Directory et Azure AD soient conçus pour fonctionner ensemble, il est important d’avoir conscience de leurs différences, ainsi que des limites de la version Cloud.

Microsoft Active Directory Domain Services (AD DS) utilise une structure hiérarchique pour stocker des informations aux objets d’un environnement Windows. Il dispose d'outils permettant d'authentifier les utilisateurs, d'accorder l'accès aux ressources du réseau et d'appliquer règles et politiques.

A un niveau plus profond, Active Directory contrôle également le DNS interne d'une organisation, ce qui le rend simple à gérer et hautement disponible à travers plusieurs contrôles de domaines.

Ces services et configurations sont au cœur de l’exploitation Windows, mais la plupart d'entre eux sont absent d’Azure AD telle qu'il existe aujourd'hui. Oui, les utilisateurs et les groupes peuvent se synchroniser entre une implémentation d'AD DS et d'Azure AD, ce qui rend le SSO et l’authentification à facteurs multiples plus faciles à configurer pour certains services, mais la stratégie de groupe et le DNS de Microsoft ne sont pas gérés dans Azure AD.

Un autre inconvénient potentiel peut être également vu comme l'un des plus grands aspects positifs d'Azure AD : le cloud. Si quelque chose interrompt la connexion au cloud de Microsoft, Azure AD devient injoignable, contrairement à une configuration AD DS interne. Bien sûr, un lien entre sites internes peut tomber temporairement, mais les deux côtés de l'environnement peuvent généralement encore traiter les événements de connexion.

D'autres fournisseurs de services d'annuaire en cloud ont accès aux services Active Directory

Microsoft n'est pas le seul fournisseur d'IaaS à proposer une déclinaison cloud d'Active Directory.

AWS Directory Service est une implémentation d'Active Directory, mais elle est très différente d'Azure AD ; c’est un service managé Active Directory Domain Services. Les utilisateurs n'ont pas besoin de synchroniser des données avec le service d’Amazon pour qu'il fonctionne, et ils peuvent utiliser les mêmes outils d’administration qu'ils connaissent déjà. Contrairement à Azure AD, AWS DS supporte les stratégies de groupe pour la gestion des objets car il s'agit d'un service Active Directory complet.

Google Cloud a également son propre service Active Directory durci, bien qu'il soit actuellement en préversion. Ses utilisateurs pourront lier des traitements de Google Cloud à un domaine Active Directory existant, et étendre leur annuaire local à leur environnement GCP. À bien des égards, le service se comportera comme un site dans un environnement d'annuaire d'entreprise.

En fin de compte, cependant, il est malavisé d’opposer Azure AD à AD DS. Encore une fois, Azure Active Directory n'est pas un remplacement complet de l’annuaire local, mais plutôt une extension de celui-ci. Le fait que les utilisateurs et les groupes existent dans les deux cas est à peu près le seul recouvrement fonctionnel des deux.

Azure AD est un excellent moyen d'intégrer Active Directory dans le cloud et de permettre aux services en ligne – Office 365, SharePoint, Azure et même une application Web à façon – d’offrir aux utilisateurs la possibilité de s’authentifier avec les mêmes données que pour Windows.

Démarrer avec Azure AD

La façon la plus simple d'obtenir une instance Azure AD est de commencer à utiliser Office 365, qui s’en charge automatiquement, à moins qu’il n’en existe déjà une, du fait, par exemple, de l’utilisation d’Azure pour son hébergement en Cloud public.

Cette configuration initiale effectuée, Azure AD aide à rationaliser l'utilisation des ressources cloud par rapport à l’administration d'un environnement cloud sans lui. Azure AD peut fournir une meilleure expérience aux administrateurs ainsi qu’aux utilisateurs. Azure AD synchronise une copie des objets utilisateurs et groupes sur le nuage. Cela permet de s'assurer que les comptes utilisateurs d'une entreprise sont déjà fonctionnels lorsque les discussions sur la migration dans le cloud commencent.

Pour approfondir sur Administration et supervision du Cloud