Important
Depuis août 2023, Azure Active Directory a été remplacé par le Microsoft Entra ID.
Toutes les licences et fonctionnalités restent inchangées.
En savoir plus
De plus en plus d’entreprises s’appuient sur le Cloud Azure et plus particulièrement sur des solutions comme Microsoft 365, Teams, SharePoint et OneDrive qui permettent de collaborer efficacement, aussi bien sur site qu’en télétravail. La gestion des droits de connexion (la gestion des identités) se complique lorsque votre entreprise héberge une partie de ses données sur son serveur local et l’autre sur le Cloud. Si vos utilisateurs ont une identité distincte sur chaque environnement de données, ils devront inévitablement se connecter deux fois :
Sans synchronisation des gestionnaires d’identités, l’utilisateur John aura très probablement deux identifications à gérer pour se connecter : d’un côté aux données de son entreprise stockées sur site (à gauche sur le schéma) et de l’autre aux donnés de son entreprise stockées dans le cloud O365 ou Azure (à droite sur le schéma).
Utiliser en même temps des logiciels en local et des logiciels hébergés sur le Cloud peut s’avérer compliqué pour les utilisateurs. C’est pour cette raison que Microsoft propose une solution à ce problème avec Azure Active Directory Connect. En raccordant les deux systèmes de gestion d’identité, celui de l’entreprise et celui d’Office 365 et Azure, les utilisateurs disposent alors d’une seule identité et d’un seul mot de passe pour accéder à leurs ressources, qu’elles soient stockées en local ou sur le Cloud.
Avant d’entrer dans le vif du sujet, rappelons ce qu’est un Active Directory (AD).
Active Directory est un service de gestion centralisée des utilisateurs et des accès. Il regroupe un ensemble de fonctionnalités qui permettent aux administrateurs de votre système d’information de mettre en lien des utilisateurs avec les ressources (en local) dont ils ont besoin pour mener à bien leurs missions.
Un utilisateur se voit ainsi accordé des droits d’accès à des données localisées sur les serveurs informatiques situés dans l’entreprise (ordinateur, serveurs de fichiers, ressources ou logiciels métier, NAS…).
L’Active Directory est donc l’annuaire qui contient un grand nombre d’informations stratégiques sur votre environnement telles que les utilisateurs, les ordinateurs et les serveurs qui le composent ainsi que les différentes autorisations d’accès.
Prenons l’exemple d’une PME avec 50 comptes utilisateurs. L’annuaire (Active Directory local) recense le poste occupé par chacun de vos utilisateurs, son nom, prénom, nom d’utilisateur, son login de connexion, son adresse email, son numéro de téléphone, son mot de passe, sa position hiérarchique, le service dans lequel il exerce…
Sur le schéma ci-dessous, Franck qui appartient au groupe d’utilisateurs “Compta” est autorisé à accéder uniquement au dossier dénommé “Documents compta ” sur le serveur de fichiers de l’entreprise. Mathilde, qui appartient au groupe “Vente” a accès aux “Documents vente” mais aussi aux “Documents Compta”, mais uniquement en lecture seule. Contrairement à Franck, elle peut consulter les données liées à la comptabilité de l’entreprise mais n’a pas la possibilité de les modifier.
Il est donc particulièrement important de bien organiser la répartition du personnel de l’entreprise à minima en plusieurs services reflétant l’organisation de l’entreprise et d’entendre les groupes d’utilisateurs avec des groupes transversaux comme cela peut être le cas dans certains métiers où le personnel est amené à travailler en équipe projet, équipe sécurité, équipe de nuit, par agence ou filiale. L’objectif ? Gérer précisément et facilement les droits d’accès de chacun des collaborateurs.
En résumé, grâce à l’annuaire Active Directory, vous pouvez :
Pour les utilisateurs des services Office 365 et Azure, le même mode de fonctionnement est disponible. Microsoft propose dans son cloud public un annuaire dénommé Azure Active Directory.
Nous arrivons donc à la problématique suivante : Comment interconnecter ces deux annuaires pour simplifier la gestion des identités en appliquant les droits des utilisateurs et des groupes d’utilisateurs aussi bien dans l’annuaire local que dans l’annuaire Azure ?
Azure AD Connect synchronise votre annuaire local (Active Directory On Premise) avec le cloud Azure et améliore la productivité de vos utilisateurs en leur fournissant un identifiant unique pour se connecter et accéder aux ressources du Cloud Microsoft ainsi qu’aux ressources locales de votre entreprise :
Azure AD Connect remplace les anciennes versions des outils de synchronisation d’identités dénommés DirSync et Azure AD Sync.
Azure AD Connect propose 5 fonctionnalités principales.
Le fait de n’avoir qu’un seul mot de passe pour tous les services simplifie la vie des utilisateurs. Ils n’ont qu’un seul mot de passe à retenir et sont donc moins susceptibles de l’oublier et d’avoir besoin d’aide. Avec AD Connect, un utilisateur dispose du même mot de passe pour les services Active Directory en local et pour les services Azure et Microsoft 365.
La synchronisation se fait en toute sécurité entre les environnements, la synchronisation AD Connect envoie uniquement un hachage* du mot de passe Le mot de passe n’est jamais transmis, stocké ou envoyé en clair.
L’authentification directe Azure AD permet à vos utilisateurs de se connecter aux applications locales et aux services et applications Cloud à l’aide du même mot de passe. Cette fonctionnalité offre aux utilisateurs une meilleure expérience : moins de mots de passe à mémoriser pour les utilisateurs et un gain pour le service informatique car les utilisateurs sont moins susceptibles d’oublier* comment se connecter.
Lorsque les utilisateurs se connectent à l’aide d’Azure AD, l’authentification directe valide les mots de passe utilisateurs directement à partir de votre Active Directory local. Cette fonctionnalité est une alternative au partage sécurisé du mot de passe (hachage). Certaines organisations qui souhaitent appliquer leurs stratégies de mot de passe et de sécurité Active Directory locales, peuvent choisir d’utiliser l’authentification directe à la place.
* À ce titre Azure AD propose un service de réinitialisation de mot de passe avec double authentification permettant de décharger votre service technique de nombreux appels d’assistance quand les collaborateurs reviennent de vacances et ont oublié leur mot de passe.
La fédération est un principe technique permettant d’établir un lien entre plusieurs annuaires. Ce lien de confiance entre les annuaires Active Directory permet d’étendre considérablement la facilité de mise en place d’Azure AD Connect. Une fédération classique peut inclure plusieurs sociétés ayant leur propre annuaire mais qui souhaitent établir une relation de confiance entre elles pour mettre en place un accès partagé à un ensemble de ressources/données pour un groupe d’utilisateurs.
Avec Active Directory Federation Services, vous pouvez fédérer votre environnement local avec Azure AD et utiliser cette fédération pour l’authentification et la connexion. Cette méthode de connexion garantit que toutes les opérations d’authentification de l’utilisateur se produisent localement (sur votre annuaire local). Les utilisateurs se connectent à l’aide de leurs informations de connexion locales et accèdent aux ressources mises à disposition dans le Cloud Microsoft (O365 et Azure).
Azure AD Connect Sync se charge de toutes les opérations liées à la synchronisation des données entre votre environnement local et Azure AD :
Par défaut, la synchronisation se fait toutes les 30 minutes mais si vous avez besoin de réaliser une synchronisation en urgence pour appliquer des modifications sans attendre le prochain cycle, il est possible de forcer la synchronisation Azure AD au travers d’une commande PowerShell.
Azure AD Connect Health vous aide à superviser et à obtenir des informations (alertes, analyse de la performance, utilisations…) concernant votre infrastructure d’identité locale (annuaire local) pour garantir la fiabilité de votre environnement. Ces informations sont disponibles dans le portail Azure AD Connect Health.
Exemples d’alertes que vous pouvez recevoir en tant qu’administrateur :
Vous pouvez configurer le service Azure AD Connect Health pour qu’il envoie des notifications par courrier électronique quand des alertes indiquent que votre infrastructure d’identité présente un défaut d’intégrité. Cet envoi se produit à la fois quand une alerte est générée et quand elle est résolue.
Quatre éditions d’Azure Active Directory sont disponibles en fonction de vos besoins opérationnels :
Les préconisations de Microsoft sur l’installation et l’utilisation de la synchronisation Azure AD Connect sont les suivantes :
Remarque : Cette partie a été rédigée grâce aux informations mises à disposition par Microsoft en Janvier 2022. Celle-ci peut être amenée à évoluer par la suite. N’hésitez pas à nous contacter pour en savoir plus. Cet article n’est pas un guide de mise en service.
4.1 Je possède un domaine Active Directory en .local, comment faire ?
Azure AD Connect synchronise uniquement les utilisateurs avec les domaines qui sont vérifiés par Microsoft 365 (et donc par Azure AD car les identités Microsoft 365 sont gérées par Azure AD). Le domaine doit être un domaine Internet valide (par exemple, .com, .org, .net, .us). Si votre entreprise utilise uniquement un domaine non routable (par exemple, « .local »), cela ne peut pas correspondre au domaine vérifié dont vous avez besoin pour votre client Microsoft 365.
Vous avez deux solutions pour résoudre ce problème :
4.2 Les comptes utilisateurs sont-ils gérés côté Active Directory (local) ou côté Azure Active Directory (Cloud) ?
Lorsque la synchronisation Azure AD est en place, les modifications doivent se faire uniquement dans l’Active Directory local.
En effet, la synchronisation se fait d’Active Directory vers Azure Active Directory et pas dans l’autre sens.
4.3 Mon entreprise possède plusieurs domaines, comment faire ?
Il existe plusieurs scénarios :
Fin 2018, Microsoft avait dévoilé la nouvelle version Remote Desktop Services (RDS) aux côtés du nouveau Windows Server 2019. Remote Desktop Services 2019 étend les déploiements de bureau et d’applications à n’importe quel appareil, avec une flexibilité et une mise à l’échelle plus puissante pour votre environnement de virtualisation. Tout récemment, Microsoft a annoncé la […]
Lire la suiteMicrosoft Teams a déjà 2 ans d’existence… Et pour fêter un tel anniversaire, Microsoft a prévu de nombreux cadeaux pour ses utilisateurs ! Avec désormais plus de 500 000 entreprises clientes, Teams est le produit Office 365 ayant connu le démarrage le plus fulgurant. De nombreuses grandes organisations ont rapidement migrées vers Teams afin de profiter […]
Lire la suiteGestion des périphériques mobiles, des tablettes Surface, amélioration du système d’authentification biométrique Windows Hello Nous le disons de plus en plus fort et ne sommes pas les seuls : oui, la sécurité informatique est au cœur de notre démarche [...]
Lire la suite