Sergey Nivens - stock.adobe.com

Comment Azure AD complète Active Directory

Les utilisateurs d’Azure ont à portée de clic une version cloud d’Active Directory. Mais ce n’est pas une copie parfaite de la version locale de l’annuaire. Apprenez comment utiliser les deux ensemble.

Les clients de Microsoft ne connaissent que trop bien Active Directory pour leurs systèmes internes. Il en existe également une variante Azure disponible pour ceux qui sont prêts à passer au cloud, mais il ne faut pas s’attendre à un remplacement complet.

Active Directory et Azure Active Directory (Azure AD) sont différents, mais pas nécessairement concurrents. Au contraire, Azure AD étend Active Directory au cloud et amène les utilisateurs et groupes existants à Office 365 et Azure. Avec à la clé notamment, l’accès à certaines fonctionnalités telles que le Single Sign-On (SSO) d’Azure et la réinitialisation des mots de passe en libre-service.

Connaître les bases d’Azure AD

Azure AD est un service de gestion des identités et des accès qui fournit des capacités de connexion et d’accès aux ressources, dont Office 365, Azure et même toutes les applications développées en interne enregistrées au préalable. Il se connecte à l’Active Directory local pour synchroniser les utilisateurs, les groupes et d’autres données afin que les identifiants de connexion soient cohérents dans toute l’entreprise. Selon la version choisie pour Azure AD, les mots de passe des utilisateurs peuvent être réinitialisés et poussés vers un déploiement local d’Active Directory.

Les entreprises peuvent inviter des utilisateurs externes dans Azure AD pour leur donner accès aux applications enregistrées avec le service. Il sert également de point d’accès pour les configurations SSO de toutes les applications utilisées par l’organisation, ce qui simplifie souvent le processus.

Les fonctionnalités supplémentaires dépendent du niveau d’abonnement à Azure AD retenu :

  • Basique : fournit une connectivité hybride pour les utilisateurs de l’entreprise ainsi qu’une gestion des accès basée sur les groupes, la réinitialisation des mots de passe pour les applications cloud, et un proxy Web qui peut être utilisé pour mettre à disposition les applications Web internes.
  • Premium P1 : ajoute à cela l’adhésion dynamique à un groupe, et la mise à jour du mot de passe à partir d’Azure AD, ainsi que la synchronisation avec les comptes d’utilisateurs hybrides.
  • Premium P2 : permet d’établir un contrôle d’accès conditionnel. Suivant le risque associé à une action, d’autres étapes d’authentification peuvent être automatiquement requises. L’ouverture de session peut même être bloquée le cas échéant. L’offre Premium P2 supporte en outre la gestion des comptes à privilèges, avec le renforcement, pour ceux-ci, de la journalisation et des capacités d’audit.

Différences avec Active Directory

Bien qu’Active Directory et Azure AD soient destinés à fonctionner ensemble, il est important de connaître les différences entre eux – ainsi que les limites de la version cloud.

Microsoft Active Directory Domain Services (AD DS) utilise une structure hiérarchique pour stocker des informations sur les objets d’un environnement Windows. Il dispose d’outils pour authentifier les utilisateurs, autoriser l’accès aux ressources et appliquer règles et stratégies.

Plus en profondeur, Active Directory contrôle également le DNS interne d’une organisation, ce qui le rend simple à gérer et hautement disponible à travers plusieurs contrôles de domaine.

Ces services et configurations sont au cœur de l’exploitation d’un environnement Windows, mais la plupart d’entre eux sont absents d’Azure Active Directory tel qu’il existe aujourd’hui. Oui, les utilisateurs et les groupes peuvent se synchroniser entre une implémentation d’AD DS et Azure AD, ce qui rend le SSO et l’authentification à facteurs multiples (MFA) faciles à configurer pour certains services, mais la politique de groupe et le DNS ne sont pas administrés dans le cadre d’Azure AD.

Un autre inconvénient potentiel est également l’un des plus grands avantages d’Azure AD : le cloud. Si quelque chose interrompt la connexion au nuage public de Microsoft, Azure AD devient inaccessible, contrairement à un déploiement interne d’AD DS. Bien sûr, un lien entre les différents sites d’une organisation peut être indisponible lorsque l’Internet est coupé, mais les deux côtés de l’environnement peuvent généralement continuer à traiter les événements de connexion.

D’autres fournisseurs de cloud proposent des services Active Directory

Microsoft n’est pas le seul fournisseur d’IaaS à proposer une version d’Active Directory en mode cloud. Ainsi, le AWS Directory Service est une implémentation d’Active Directory, mais très différente d’Azure AD.

AWS DS est un service managé construit Active Directory Domain Services. Les utilisateurs n’ont pas besoin de synchroniser des données avec le service Amazon pour qu’il fonctionne, et ils peuvent utiliser les mêmes outils d’administration que ceux qu’ils utilisent déjà, jusqu’à Active Directory Administrative Center et PowerShell. Contrairement à Azure AD, AWS supporte la stratégie de groupe pour l’administration des objets, car il s’agit d’un service Active Directory complet.

Google Cloud prépare son propre service Active Directory durci, actuellement version bêta. À bien des égards, le service se comporte comme un site dans un environnement d’annuaire d’entreprise.

En définitive, il n’est pas judicieux d’opposer Azure AD à AD DS. Encore une fois, le premier ne remplace pas complètement le second, mais en constitue plutôt une extension. Le fait que des utilisateurs et des groupes existent dans les deux est à peu près la seule parité de fonctionnalités entre les produits.

Azure AD est un excellent moyen de faire entrer Active Directory dans le monde du cloud et d’assurer une continuité des contrôles d’authentification du poste de travail Windows aux services en ligne – Office 365, SharePoint, Azure et même une application web interne.

Démarrer avec Azure AD

La façon la plus simple d’obtenir une instance ou un tenant d’Azure AD est de commencer à utiliser Office 365 : la création d’un tenant Azure AD est automatique s’il n’en existe pas déjà un. Pour ceux qui utilisent déjà Microsoft Azure pour de l’hébergement en cloud public, il y a de fortes chances qu’Azure AD soit déjà configuré.

Partant de là, Azure AD aide à rationaliser l’utilisation des ressources cloud par rapport à l’administration d’un environnement cloud sans lui. Azure AD peut offrir une meilleure expérience de gestion aux administrateurs et simplifier l’expérience des utilisateurs. Azure AD synchronise une copie des objets utilisateurs et groupes ; cela permet de s’assurer que les comptes utilisateurs d’une entreprise sont déjà fonctionnels lorsque les discussions sur la migration vers le cloud commencent.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)