Pourquoi et comment se débarrasser de son Active Directory ?

Important

Depuis août 2023, le produit « Azure Active Directory » a été remplacé par « Microsoft Entra ID ». Toutes les licences et fonctionnalités restent inchangées.

En savoir plus

Depuis son introduction dans Windows 2000 Server Edition, Active Directory (AD) s’est imposé comme la pierre angulaire de très nombreux réseaux informatiques d’entreprise. Il centralise la gestion des identités et des accès à l’aide d’une authentification unique par utilisateur (Single Sign On). 

En deux décennies, ce service d’annuaire local a fait l’objet de nombreuses évolutions. Microsoft concentre aujourd’hui son énergie sur le Cloud avec Microsoft Entra ID, une solution IDaaS (Identity as a Service). Elle contribue à garantir que les utilisateurs sont bien ceux qu’ils prétendent être lorsqu’ils tentent d’accéder à des ressources, tout en empêchant les cybercriminels et autres utilisateurs non autorisés d’accéder aux données de l’entreprise. 

Alors, le temps de quitter Active Directory pour le Cloud est-il venu ? 

Pourquoi se débarrasser d’un Active Directory ?

La création d’Active Directory a été une révolution en elle-même. C’était LA solution pour gérer les comptes utilisateurs, les mots de passe, les ordinateurs,… 
Elle permettait de déployer des stratégies qui s’appliquent à tous les ordinateurs, de prendre la main sur les postes et les serveurs, et de déployer des applications. 

Puis, il s’est passé 20 ans. L’un des changements majeurs est l’impact des failles de sécurité et des failles informatiques dans les entreprises. Désormais, les utilisateurs sont nomades (télétravail, déplacement…) et accèdent aux données de l’entreprise hors des bureaux, depuis leurs smartphones et parfois avec leurs appareils personnels (BYOD). L’utilisation d’un annuaire AD doit donc intégrer ces nouveaux usages. 

Le Cloud offre des opportunités technologiques plus sécurisées, plus flexibles et moins coûteuses que ce qu’il est possible de réaliser et surtout de maintenir sur site dans votre entreprise.

Gérer parfaitement un AD local est coûteux et nécessite une équipe technique parfaitement formée et pouvant consacrer du temps au maintien en condition opérationnel (MCO) de l’AD local et des services Windows connexes. Entra ID ne nécessite aucun investissement matériel initial de la part de votre entreprise.  Sa mise en place, son administration et son utilisation quotidienne d’Entra ID se font depuis le portail, via un navigateur. 

Avec Entra ID, en plus de réduire vos coûts, vous réduisez votre vulnérabilité face à une attaque informatique, la perte d’un serveur ou le vol de matériels. Entra ID et ses fonctionnalités de sécurité avancées (Authentification multifacteur, Conditional Access, Privileged Access Management et bien d’autres) offrent un niveau de sécurité complet, ajustable et efficace, quelle que soit la taille de votre organisation. 

Comment se débarrasser d’un Active Directory ?

La configuration d’un Active Directory est souvent le fruit d’un travail de plusieurs années par le service informatique. Sa reproduction égale ou supérieure en version Cloud (politiques de configuration, politique de sécurité, déploiement automatisé des applications…) représente donc un projet conséquent pour votre entreprise qui doit être réalisé en plusieurs étapes comme nous allons le voir maintenant.

Inventorier les dépendances à l’Active Directory 

La suppression d’un AD ne se fait pas sans condition. Dans un premier temps, vous devez identifier l’ensemble des dépendances à l’Active Directory dans votre entreprise, c’est-à-dire l’ensemble des identités, serveurs, appareils, fichiers…qui sont gérés actuellement par l’AD et qui n’ont, dans la plupart des cas, pas vocation à disparaître. Profitez-en pour faire le tri ! 

Dans un second temps, il va falloir remplacer tout ou partie de ces dépendances, en fonction de votre problématique métier (suppression totale ou partielle de l’AD). Vous l’aurez compris, un Active Directory ne pourra être supprimé entièrement et définitivement qu’à partir du moment où vous n’en dépendrez plus et que vous n’en aurez donc plus besoin. 

Remplacer les dépendances à l’Active Directory 

Cette liste n’est pas exhaustive mais doit constituer une base pour inventorier les dépendances de votre entreprise à Active Directory et les prérequis pour s’en débarrasser : 

•  Les identités utilisateurs : Entra ID Connect synchronise votre annuaire local (Active Directory On Premise) avec Azure pour répliquer et synchroniser vos identités et vos accès dans le Cloud et garantir une transition efficace vers Azure Active Directory. 
  AAD Connect fournit un identifiant unique à vos utilisateurs pour se connecter et accéder à vos ressources d’entreprises, qu’elles soient en local ou dans le Cloud (Microsoft 365, applications en mode SaaS, applications situées sur votre réseau…).  
   
• La messagerie : Si vous possédez un serveur Exchange On Premise, un projet de migration vers Exchange Online est à prévoir en amont. Il s’agit d’un projet à part entière. Contactez-nous pour en parler. 
   
• Les serveurs de fichiers : Migrer vos données sur SharePoint Online (et OneDrive et Teams par extension) est l’un des prérequis pour supprimer un Active Directory. SharePoint Online sécurise et facilite l’accès à vos données sans contraintes : plus besoin de VPN ou de connexion à un réseau local pour y accéder.  
   
• La gestion du parc informatique : Entra ID est pensé pour la mobilité de vos utilisateurs. Si vous avez passé plusieurs années à configurer soigneusement vos appareils avec Active Directory, confier leur gestion à Microsoft Intune représente un projet à part entière, indispensable pour se débarrasser de votre AD.  
  💡Le conseil Openhost : Commencez par intégrer vos nouveaux appareils dans Intune petit à petit au fil des remplacements, avant de vous attaquer aux anciens. 
   

• Les applications : Ce point est directement lié aux identités. Il est nécessaire de reconfigurer vos applications pour qu’elles n’interrogent pas l’AD local mais Entra ID lorsque vous tentez de vous connecter. La plupart des applications sont compatibles avec Entra ID. Pour celles qui ne le sont pas, on les traite en dernier (en attendant qu’elles le soient) ou on choisit un fonctionnement hybride. 
   
• La gestion des imprimantes : L’abandon d’Active Directory devra souvent être précédé d’un projet de transition vers une solution de gestion des impressions dans le Cloud telle que Microsoft Universal Print. Si vos imprimantes ne sont pas nativement compatibles, le déploiement d’une passerelle peut être nécessaire. 

Peut-on faire coexister un Active Directory et Entra ID ? 

Grâce à la synchronisation Entra ID Connect, les identités existent à la fois sur votre AD et sur Entra ID.  Ce qui change, c’est l’annuaire qui va être interrogé lorsque l’utilisateur va tenter de se connecter à une application. 

Il est tout à fait possible de faire coexister un Active Directory et Entra ID pour commencer à profiter des avantages du Cloud tout en continuant votre transition vers le Cloud à votre rythme. 

Par exemple, si vous êtes une grande entreprise composée de plusieurs milliers de salariés et que vous possédez énormément de dépendances à Active Directory, ce modèle hybride est particulièrement adapté. 

Il s’adresse également aux sociétés qui n’ont aucune et n’auront jamais la volonté de passer sur du 100% Cloud et qui voudront simplement profiter des avantages de Microsoft 365 que nous avons cités précédemment, à savoir la fiabilité, la sécurité, la réduction des coûts et la facilité de maintenance. 

Pour conclure  

Investir ou maintenir un Active Directory a peu de sens en 2022. La réaffectation du budget de MCO d’un AD local (matériel & ressources humaines) doit vous permettre, soit de faire des économies à iso fonctionnalités, soit de mettre en place plus de services à valeur ajouté pour un même coût annuel de fonctionnement.

Entra ID garantit, à moindre coût, plus de stabilité, de fiabilité et un haut niveau de sécurité. Ainsi, pour une PME, le maintien à long terme d’une infrastructure basée sur Active Directory et synchronisée avec Entra ID peut être difficile à justifier compte tenu de sa complexité. 

Vous l’avez compris, se débarrasser d’un AD est un projet à part entière, un projet sur la durée qui s’inscrit dans votre stratégie globale de transformation digitale. Il sera segmenté en sous-projets en lien avec le nombre d’opérations à effectuer. Nous établirons pour vous les procédures et les protocoles à mener.