top of page

Azure Active Directory

1. Qu'est-ce qu'Azure Active Directory ?

  • Active Directory (AD) :

    • Active Directory est une base de données et un ensemble de services connectant les utilisateurs aux ressources réseau dont ils ont besoin pour faire leur travail.

    • La base de données (ou répertoire) contient des informations critiques liées à votre environnement informatique, y compris les utilisateurs et les ordinateurs présents et qui est autorisé à faire quoi.

    • Les services contrôlent la plupart des activités en cours dans votre environnement informatique.

    • Par conséquent, Windows AD fournit l'authentification et l'autorisation aux applications, aux services de fichiers et aux autres ressources d'un réseau.
       

  • Azure Active Directory (AAD) :

    • Si nous voulons gérer l'accès à l'application Azure Cloud et aux ressources associées, nous avons besoin d'Azure AD.

    • Cela aide vos employés à accéder à des ressources externes, telles que les services Azure, le portail Azure et d'autres applications.

    • Azure AD est un service de gestion des identités et des accès basé sur le cloud de Microsoft, qui aide vos employés à se connecter et à accéder aux ressources suivantes:

      1) Ressources externes : Microsoft Office 365, le portail Azure et des milliers d'autres applications SaaS.
      2) Les ressources internes : les applications sur votre réseau d'entreprise et votre intranet, ainsi que toutes les applications cloud développées par votre propre organisation.

​

  • Si nous avons une configuration traditionnelle sur site avec AD et que nous souhaitons l'intégrer à Azure AD afin de pouvoir gérer l'accès à l'application Cloud, nous pouvons le faire facilement en utilisant AD Connect.

  • En termes simples, Azure Active Directory n'est pas une extension d'un annuaire local. Il s'agit plutôt d'une copie qui contient les mêmes objets et identités.
     

2. Windows AD vs. Azure AD

​

3. Comment fonctionne Azure Active Directory ?

  • Azure AD, un service basé sur le cloud pour la gestion des identités et des accès qui entre dans la catégorie Identité en tant que service (IDaaS), est un magasin d'authentification en ligne sécurisé pour les profils utilisateur individuels et les groupes de profils utilisateur.

  • Il gère l'accès via des comptes d'utilisateurs, qui ont un nom d'utilisateur et un mot de passe.

    • Les utilisateurs peuvent être organisés en différents groupes, qui peuvent avoir des privilèges d'accès différents pour les applications individuelles.

    • Des identités de Microsoft ou de logiciels tiers en tant que service (SaaS) peuvent également être créées pour les applications cloud afin d'accorder l'accès aux utilisateurs.

  • Pour connecter les utilisateurs aux applications SaaS
    • Azure Active Directory utilise SSO qui permet à chaque utilisateur d'accéder à la suite complète d'applications pour laquelle il a l'autorisation, sans avoir à se connecter à plusieurs reprises à chaque fois.
    • Il crée des jetons d'accès (qui peuvent être créés avec des dates d'expiration) qui sont stockés localement sur les appareils des employés.

4. Concepts Azure AD

  1. Identité : Tout ce qui peut être authentifié. Il peut s'agir d'un utilisateur avec un nom d'utilisateur et un mot de passe, des applications ou d'autres services nécessitant une authentification.

  2. Compte : Identité avec les données associées.

  3. Compte Azure AD : Identité créée à l'aide d'Azure AD ou d'autres services cloud Microsoft.

  4. Tenant Azure : une instance d'Azure AD est créée lorsqu'une organisation s'inscrit à un abonnement au service Microsoft Cloud.

  5. Annuaire Azure AD : chaque locataire Azure dispose d'un annuaire Azure AD dédié et approuvé.

  6. Abonnement utilisateur : pour payer les services cloud Azure utilisés.
     

5. Avantages d'Azure Active Directory

  1. Azure AD est hautement disponible et réparti sur 32 centres de données dans différentes zones géographiques.

  2. L'utilisation d'Azure AD pour accéder aux applications sur le cloud ou sur site peut être simplifiée.

  3. Authentification unique pour accéder à des milliers d'applications SaaS et d'applications sur site.

  4. Authentification multifacteur, accès conditionnel, gestion des identités privilégiées et groupe dynamique.

6. Fonctionnalités et Licences Azure AD

  • Azure AD fonctionne sur un modèle de licence.

    • Vous pouvez accéder à Azure AD avec ces deux licences :

      • Services en ligne Microsoft

      • Licences Azure AD Premium

    • Si vous avez une licence Office 365 ou Microsoft Azure, vous obtiendrez toutes les fonctionnalités Azure non payantes, sinon, vous pouvez obtenir des fonctionnalités Azure premium via des licences Power BI premium :

      • Prime P1

      • Licences P2 Premium
         

  • Fonctionnalités d'Azure AD

    • Gestion des applications : il gère vos applications cloud et sur site à l'aide de services tels que le proxy d'application, le portail Mes applications, l'authentification unique et les applications SaaS (Software as a Service).

    • Authentification : les utilisateurs peuvent gérer la fonction de réinitialisation de mot de passe en libre-service d'Azure AD, l'authentification multifacteur, la liste de mots de passe interdits personnalisés et le verrouillage intelligent.

    • Azure Active Directory pour les développeurs : il crée des applications qui peuvent se connecter à toutes les identités Microsoft et récupérer des jetons pour appeler Microsoft Graph et d'autres API Microsoft ou personnalisées

    • Business-to-Business : vous pouvez gérer vos utilisateurs invités et vos partenaires externes tout en gardant le contrôle sur vos propres données d'entreprise.

    • Business-to-Customer (B2C) : avec Azure AD, les utilisateurs peuvent personnaliser et contrôler la façon dont les autres s'inscrivent, se connectent et gèrent leurs profils lorsqu'ils utilisent leurs applications.

    • Identités managées pour les ressources Azure : Fournissez à vos services Azure une identité gérée automatiquement dans Azure AD qui peut authentifier tout service d'authentification pris en charge par Azure AD, y compris Key Vault.

    • Rapports et surveillance : les utilisateurs peuvent obtenir des informations sur les modèles de sécurité et d'utilisation dans leur environnement de travail.

    • Gestion des identités privilégiées (PIM) : cette fonctionnalité inclut l'accès aux ressources dans Azure AD et Azure, y compris certains autres services en ligne Microsoft, comme Microsoft 365 ou Intune. Les utilisateurs peuvent gérer, contrôler et surveiller l'accès au sein de leur organisation.

    • Protection de l'identité : détectez les vulnérabilités potentielles affectant les identités de votre organisation, configurez des politiques pour répondre aux actions suspectes et prenez en conséquence les mesures appropriées pour les résoudre.

    • Gouvernance des identités : gérez l'identité de votre organisation grâce aux contrôles d'accès des employés, des partenaires commerciaux, des fournisseurs, des services et des applications.

    • Utilisateurs d'entreprise : gérez les attributions de licences, l'accès aux applications et la configuration des délégués à l'aide de groupes et de rôles d'administrateur.

7. Azure AD Connect

  • Il est utilisé pour intégrer les on-premise directories (Active Directory) à Azure Active Directory qui fournit une identité commune pour accéder aux ressources cloud et sur site.
     

  • Il existe différentes fonctionnalités d'Azure AD Connect :

  1. Synchronisation du hachage du mot de passe : méthode de connexion qui synchronise un mot de passe AD utilisateur haché sur site avec Azure AD.

  2. Authentification directe : méthode de connexion qui permet
    aux utilisateurs d'utiliser le même mot de passe sur site
    sur le cloud.

  3. Synchronisation : responsable de la création d'utilisateurs,
    de groupes et d'autres objets, ainsi que de la validation de
    la correspondance des informations d'identité de vos utilisateurs
    et groupes sur site avec le cloud.

  4. Surveillance de la santé : un endroit central pour visualiser
    l'activité et également fournir une surveillance.




     

8. Azure AD Join

  • Azure AD Join est utilisée pour connecter les appareils directement à Azure AD et nous n'avons pas besoin de les joindre à l'AD local.

  • Les appareils Azure AD Join sont connectés pour utiliser un compte Azure AD organisationnel

  • Les appareils qui sont Azure AD Join peuvent toujours s'authentifier auprès de serveurs locaux tels que les applications de fichiers, d'impression et autres.









     

9. Création et Gestion d'utilisateurs et de groupes dans Azure AD

Il existe de nombreuses façons d'ajouter des utilisateurs et des groupes à Azure Active Direct.

  • En synchronisant à partir d'un Windows Server AD sur site à l'aide de AAD Sync.
    C'est ainsi que la plupart des entreprises clientes verront leurs utilisateurs ajoutés à l'annuaire et nécessitent une configuration de serveur supplémentaire sur site pour être configurée.

  • Manuellement à l'aide du portail de gestion Azure.

  • Utilisation de PowerShell et des applets de commande Azure Active Directory

  • Par programmation à l'aide de l'API Azure AD Graph.
    Il s'agit d'une option extrêmement puissante qui vous donne essentiellement un contrôle total sur la façon dont les utilisateurs sont ajoutés au répertoire.







     

10. Accès aux ressources Azure

  • C'est une tâche très difficile et importante pour toute organisation de gérer l'accès aux ressources Azure.

  • Le contrôle d'accès basé sur les rôles (RBAC) vous aide à gérer qui a accès aux ressources Azure, ce qu'ils peuvent faire avec ces ressources et à quelles zones ils ont accès.

  • RBAC est un système d'autorisation basé sur Azure Resource Manager qui fournit une gestion précise des accès aux ressources Azure.

  • Nous pouvons séparer les tâches et la quantité d'accès aux utilisateurs d'une équipe dont ils ont besoin pour effectuer leurs tâches à l'aide de RBAC.

  • C'est une bonne pratique d'accorder aux utilisateurs
    le moindre privilège pour faire leur travail.








     

bottom of page