Tailwind Traders utilise Active Directory Domain Services (AD DS) comme fournisseur d’identité local dans son environnement réseau local depuis sa migration depuis Windows NT 4.0 au début des années 2000. De nombreuses applications existantes de Tailwind Traders ont une dépendance à Active Directory. Certaines de ces applications ont une dépendance simple à Active Directory en tant que fournisseur d’identité. D’autres ont des dépendances plus profondes, comme des exigences complexes liées aux stratégies de groupe (Group Policy), des partitions de domaine personnalisées et des extensions de schéma personnalisées.

À mesure que Tailwind Traders commence à déplacer certaines ressources et à développer de nouvelles applications dans Azure, l’entreprise souhaite éviter de créer une solution d’identité parallèle. Elle ne veut pas imposer des informations de connexion distinctes pour les ressources locales et cloud.

Dans cette unité, vous apprendrez les différentes manières d’implémenter une identité hybride.

Déployer des contrôleurs de domaine sur Azure

La façon la plus simple de fournir dans Azure le même environnement AD DS que celui que l’organisation utilise sur site consiste à effectuer les étapes suivantes :

1. Déployer une paire de contrôleurs de domaine AD DS sur un sous-réseau d’un réseau virtuel Azure.
2. Connecter ce réseau virtuel au réseau local.
3. Configurer ce sous-réseau comme un nouveau site AD DS, comme illustré dans l’image suivante.

Une autre option consiste à configurer le domaine AD DS hébergé dans le cloud comme le domaine enfant de la forêt du domaine local. Une autre option consiste à configurer des contrôleurs de domaine AD DS exécutés dans le cloud comme une forêt séparée ayant une relation d’approbation avec la forêt locale. L’image suivante montre la topologie de cette forêt de ressources.

Les organisations qui déploient des contrôleurs de domaine sur des machines virtuelles dans Azure peuvent ensuite déployer des charges de travail qui nécessitent une visibilité directe sur un contrôleur de domaine. Elles peuvent les déployer tant que les charges de travail se trouvent sur le même sous-réseau du réseau virtuel Azure où leurs machines virtuelles contrôleurs de domaine sont déployées. Ce modèle de cloud hybride est conceptuellement simple pour de nombreuses organisations, car les centres de données Azure sont traités comme un site Active Directory distant.

Pour Tailwind Traders, étendre son domaine Active Directory local ou sa forêt Active Directory locale dans Azure peut être suffisant selon les exigences de l’application. L’inconvénient de déployer cette option est que les machines virtuelles qui fonctionnent en permanence, comme les contrôleurs de domaine, entraînent des coûts continus.

Qu’est-ce que Microsoft Entra Connect ?

Microsoft Entra Connect (anciennement Azure AD Connect) permet aux organisations de synchroniser les identités dans leur Active Directory local avec Microsoft Entra ID (anciennement Azure AD). Cette méthode vous permet d’utiliser la même identité pour les ressources cloud et les ressources locales. Microsoft Entra Connect est le plus souvent utilisé lorsque les organisations adoptent Microsoft 365. Elles l’utilisent pour permettre aux applications telles que Microsoft SharePoint et Exchange, exécutées dans le cloud, d’être accessibles via des applications locales.

Si Tailwind Traders prévoit d’adopter des technologies Microsoft 365 comme Exchange Online ou Microsoft Teams, elle doit configurer Microsoft Entra Connect pour répliquer les identités de son environnement AD DS local vers Azure. Si l’entreprise souhaite également utiliser des identités locales avec des applications dans Azure, mais ne veut pas déployer de contrôleurs de domaine AD DS sur des machines virtuelles, elle doit également déployer Microsoft Entra Connect.

Introduction à Microsoft Entra Domain Services

Vous pouvez utiliser Microsoft Entra Domain Services pour projeter un domaine Microsoft Entra sur un sous-réseau virtuel Azure. Lorsque vous utilisez cette configuration, des services tels que l’intégration au domaine, les stratégies de groupe (Group Policy), le protocole LDAP, ainsi que l’authentification Kerberos et NTLM sont disponibles pour toute machine virtuelle déployée sur le sous-réseau.

Microsoft Entra Domain Services vous permet d’avoir un environnement Active Directory géré de base sur des machines virtuelles sans vous soucier de gérer, de maintenir ou de payer les machines virtuelles qui fonctionnent comme contrôleurs de domaine. Microsoft Entra Domain Services vous permet également d’utiliser des identités locales via Microsoft Entra Connect pour interagir avec les machines virtuelles exécutées sur un sous-réseau de réseau virtuel Azure spécialement configuré.

L’inconvénient de Microsoft Entra Domain Services est que l’implémentation des stratégies de groupe est basique. Elle inclut un ensemble fixe de stratégies et ne fournit aucune possibilité de créer des objets de stratégie de groupe (GPO). Même si les identités utilisées localement sont disponibles dans Azure, toutes les stratégies configurées sur site ne le sont pas.

Pour Tailwind Traders, Microsoft Entra Domain Services offre une bonne alternative pour les charges de travail hybrides. Le service permet d’utiliser une identité liée au domaine et un ensemble important de configurations de stratégies de groupe. Mais il ne prend pas en charge les applications qui nécessitent des fonctionnalités Active Directory complexes telles que les partitions de domaine personnalisées et les extensions de schéma.