Microsoft Entra ID est un service d’annuaire conçu pour les applications basées sur le cloud et le web, qui partage certaines fonctionnalités avec les déploiements traditionnels d’AD DS. L’équipe informatique de Contoso peut implémenter Microsoft Entra ID et synchroniser ses identités locales vers le cloud. Ces étapes permettraient au personnel de Contoso d’utiliser l’authentification unique (SSO) pour accéder à la fois aux ressources locales et aux ressources associées dans leur locataire Azure.

L’équipe informatique peut utiliser Microsoft Entra ID pour accroître la productivité des employés, rationaliser les processus informatiques et améliorer la sécurité lors de l’adoption de divers services cloud. Les employés de Contoso peuvent accéder aux applications en ligne en utilisant un seul compte utilisateur. Contoso peut également effectuer une gestion centralisée des utilisateurs en utilisant les cmdlets bien connues de Windows PowerShell. Il convient également de noter que, comme Microsoft Entra ID est hautement évolutif et disponible par conception, l’équipe informatique n’aura pas à maintenir l’infrastructure associée ni à se soucier de la reprise après sinistre.

En tant que composant d’Azure, Microsoft Entra ID peut prendre en charge l’authentification multifacteur dans le cadre d’une stratégie globale d’accès aux services cloud, offrant ainsi une couche de sécurité supplémentaire. Le contrôle d’accès basé sur les rôles (RBAC), la réinitialisation de mot de passe en libre-service, la gestion des groupes et l’enregistrement des appareils fournissent des solutions de gestion des identités prêtes pour l’entreprise. Microsoft Entra ID offre également une protection avancée des identités, ainsi que des fonctionnalités améliorées de rapports et d’alertes qui peuvent vous aider à détecter les menaces plus efficacement.

Vue d’ensemble de Microsoft Entra ID

Microsoft Entra ID fait partie de l’offre de plateforme en tant que service (PaaS) et fonctionne comme un service d’annuaire géré par Microsoft dans le cloud. Il ne fait pas partie de l’infrastructure principale que les clients possèdent et gèrent, et ce n’est pas une offre IaaS. Cela signifie que vous avez moins de contrôle sur sa mise en œuvre, mais aussi que vous n’avez pas à consacrer de ressources à son déploiement ou à sa maintenance.

Avec Microsoft Entra ID, vous avez également accès à un ensemble de fonctionnalités qui ne sont pas disponibles nativement dans AD DS, telles que la prise en charge de l’authentification multifacteur, la protection des identités et la réinitialisation de mot de passe en libre-service. Vous pouvez utiliser Microsoft Entra ID pour fournir un accès plus sécurisé aux ressources basées sur le cloud pour les organisations et les individus en :

• Configurant l’accès aux applications
• Configurant le SSO pour les applications SaaS basées sur le cloud
• Gérant les utilisateurs et les groupes
• Provisionnant les utilisateurs
• Activant la fédération entre organisations
• Fournissant une solution de gestion des identités
• Identifiant les activités de connexion irrégulières
• Configurant l’authentification multifacteur
• Étendant les implémentations Active Directory locales existantes vers Microsoft Entra ID
• Configurant Application Proxy pour les applications cloud et locales
• Configurant l’accès conditionnel pour les utilisateurs et les appareils

Locataires Microsoft Entra

Contrairement à AD DS local, Microsoft Entra ID est multitenant par conception et est mis en œuvre spécifiquement pour garantir l’isolation entre ses instances d’annuaire individuelles. C’est le plus grand annuaire multitenant au monde, hébergeant plus d’un million d’instances de services d’annuaire, avec des milliards de demandes d’authentification par semaine. Le terme locataire dans ce contexte représente généralement une entreprise ou une organisation ayant souscrit à un service cloud Microsoft tel que Microsoft 365, Microsoft Intune ou Azure, chacun utilisant Microsoft Entra ID.

Cependant, d’un point de vue technique, le terme locataire représente une instance individuelle de Microsoft Entra. Dans une souscription Azure, vous pouvez créer plusieurs locataires Microsoft Entra. Avoir plusieurs locataires peut être pratique si vous souhaitez tester les fonctionnalités de Microsoft Entra dans un locataire sans affecter les autres.

Chaque locataire Microsoft Entra se voit attribuer un nom de domaine DNS par défaut composé d’un préfixe unique. Ce préfixe est dérivé du nom du compte Microsoft utilisé pour créer la souscription Azure, ou fourni explicitement lors de la création du locataire Microsoft Entra, suivi du suffixe onmicrosoft.com. Il est possible et courant d’ajouter au moins un nom de domaine personnalisé au même locataire Microsoft Entra. Ce nom utilise l’espace de noms DNS que l’entreprise ou l’organisation possède, par exemple Contoso.com. Le locataire Microsoft Entra sert de limite de sécurité et de conteneur pour les objets Microsoft Entra tels que les utilisateurs, les groupes et les applications.

Caractéristiques de Microsoft Entra ID

Bien que Microsoft Entra ID présente de nombreuses similitudes avec AD DS, il existe également de nombreuses différences. Il est important de comprendre que l’utilisation de Microsoft Entra ID n’est pas équivalente au déploiement d’un contrôleur de domaine AD DS sur une machine virtuelle Azure, puis à son ajout à votre domaine local.

Lors de la comparaison entre Microsoft Entra ID et AD DS, il est essentiel de noter les caractéristiques suivantes de Microsoft Entra ID :

• Microsoft Entra ID est principalement une solution d’identité, conçue pour les applications basées sur Internet utilisant les communications HTTP (port 80) et HTTPS (port 443).
• Microsoft Entra ID est un service d’annuaire multitenant.
• Les utilisateurs et groupes Microsoft Entra sont créés dans une structure plate, sans unités d’organisation (OU) ni objets de stratégie de groupe (GPO).
• Vous ne pouvez pas interroger Microsoft Entra ID via LDAP ; à la place, il utilise l’API REST sur HTTP et HTTPS.
• Microsoft Entra ID n’utilise pas l’authentification Kerberos ; il utilise les protocoles HTTP et HTTPS tels que SAML, WS-Federation et OpenID Connect pour l’authentification, ainsi que OAuth pour l’autorisation.
• Microsoft Entra ID inclut des services de fédération, et de nombreux services tiers sont fédérés avec et font confiance à Microsoft Entra ID.

Options d’intégration Microsoft Entra

Les petites organisations qui ne disposent pas d’un annuaire local tel qu’AD DS peuvent s’appuyer entièrement sur Microsoft Entra ID comme service d’authentification et d’autorisation. Cependant, le nombre de ces organisations reste faible, donc la plupart des entreprises cherchent un moyen d’intégrer AD DS local avec Microsoft Entra ID. Microsoft propose une gestion des identités et des accès à l’échelle du cloud via Microsoft Entra ID, qui offre plusieurs options pour intégrer AD DS à Azure. Ces options sont décrites dans le tableau suivant :

Options	Description
Extension d’AD DS local vers Azure	Avec cette option, vous hébergez des machines virtuelles dans Azure que vous promouvez ensuite en tant que contrôleurs de domaine dans votre AD DS local.
Synchronisation d’AD DS local avec Microsoft Entra ID	La synchronisation d’annuaire propage les informations des utilisateurs, groupes et contacts vers Microsoft Entra ID et maintient ces informations synchronisées. Dans ce scénario, les utilisateurs utilisent des mots de passe différents pour accéder aux ressources cloud et locales, et les processus d’authentification sont séparés.
Synchronisation d’AD DS avec Microsoft Entra ID en utilisant la synchronisation de hachage de mot de passe	Dans cette approche, AD DS local synchronise les objets avec Microsoft Entra ID, mais envoie également les hachages de mot de passe des objets utilisateur à Microsoft Entra ID. Avec cette option, les utilisateurs peuvent accéder aux applications et ressources compatibles avec Microsoft Entra ID en utilisant le même mot de passe que celui de leur connexion locale actuelle. Pour les utilisateurs finaux, cette approche offre la même expérience de connexion.
Implémentation du SSO entre AD DS local et Microsoft Entra ID	Cette option prend en charge la plus large gamme de fonctionnalités d’intégration, et permet à un utilisateur de se connecter à Azure après s’être authentifié via AD DS local. La technologie qui fournit cette fonctionnalité s’appelle fédération, que vous pouvez implémenter en utilisant Active Directory Federation Services (AD FS). AD FS repose sur un ensemble de serveurs de fédération et de proxys, qui prennent la forme du rôle de service Web Application Proxy. Comme alternative au déploiement d’AD FS, vous pouvez également utiliser la technologie d’authentification par transmission (pass-through authentication), qui offre presque les mêmes résultats qu’AD FS. Cependant, elle n’utilise pas de Web Application Proxy et nécessite une infrastructure moins complexe que AD FS.

Le répertoire Microsoft Entra n’est pas une extension d’un annuaire local. Il s’agit plutôt d’une copie contenant les mêmes objets et identités. Les modifications apportées à ces éléments en local sont copiées vers Microsoft Entra ID, mais les modifications effectuées dans Microsoft Entra ID ne sont pas répliquées vers le domaine local.

Unité suivante : Planifier l’intégration avec Microsoft Entra