Microsoft Entra ID est la prochaine évolution des solutions de gestion des identités et des accès pour le cloud. Microsoft a introduit les services de domaine Active Directory dans Windows 2000 pour permettre aux organisations de gérer plusieurs composants d’infrastructure et systèmes sur site à l’aide d’une seule identité par utilisateur.
Microsoft Entra ID pousse cette approche à un niveau supérieur en fournissant aux organisations une solution Identity as a Service (IDaaS) pour toutes leurs applications, qu’elles soient dans le cloud ou sur site.
La plupart des administrateurs informatiques sont familiers avec les concepts des services de domaine Active Directory. Le tableau suivant décrit les différences et les similitudes entre les concepts d’Active Directory et de Microsoft Entra ID :
Utilisateurs
| Active Directory (AD) | Microsoft Entra ID |
|---|
Approvisionnement des utilisateurs: les organisations créent des utilisateurs internes manuellement ou utilisent un système d’approvisionnement interne ou automatisé, tel que le Microsoft Identity Manager, pour s’intégrer à un système de gestion des ressources humaines. Les organisations existantes utilisent Microsoft Entra Connect pour synchroniser les identités dans le cloud. Microsoft Entra ID ajoute la possibilité de créer automatiquement des utilisateurs à partir de systèmes cloud. Microsoft Entra ID peut provisionner des identités dans des applications SaaS compatibles SCIM pour fournir automatiquement les détails nécessaires aux utilisateurs pour accéder aux applications.
Approvisionnement des identités externes : les organisations créent manuellement des utilisateurs externes en tant qu’utilisateurs réguliers dans un domaine AD externe dédié, ce qui entraîne des charges administratives pour gérer le cycle de vie des identités externes (utilisateurs invités). Microsoft Entra ID fournit une classe spéciale d’identité pour prendre en charge les identités externes. Microsoft Entra B2B gère le lien vers l’identité de l’utilisateur externe pour s’assurer de sa validité.
Gestion des autorisations et des groupes : les administrateurs ajoutent des utilisateurs aux groupes. Les propriétaires d’applications et de ressources donnent ensuite aux groupes l’accès aux applications ou aux ressources. Les groupes sont également disponibles dans Microsoft Entra ID et les administrateurs peuvent les utiliser pour accorder des autorisations aux ressources. Dans Microsoft Entra ID, les administrateurs peuvent affecter manuellement des membres à des groupes ou utiliser une requête pour inclure dynamiquement des utilisateurs dans un groupe. Les administrateurs peuvent utiliser la gestion des autorisations dans Microsoft Entra ID pour donner aux utilisateurs l’accès à un ensemble d’applications et de ressources à l’aide de workflows et, si nécessaire, de critères basés sur le temps.
Gestion administrative : les organisations utilisent une combinaison de domaines, d’unités organisationnelles et de groupes dans AD pour déléguer les droits administratifs afin de gérer l’annuaire et les ressources qu’il contrôle. Microsoft Entra ID fournit des rôles intégrés avec son système de contrôle d’accès basé sur les rôles Microsoft Entra RBAC, avec une prise en charge limitée de la création de rôles personnalisés pour déléguer un accès privilégié au système d’identité, aux applications et aux ressources qu’il contrôle. La gestion des rôles peut être améliorée avec Privileged Identity Management (PIM) pour fournir un accès juste-à-temps, limité dans le temps ou basé sur des workflows aux rôles privilégiés.
Gestion des informations d’identification : les informations d’identification dans Active Directory sont basées sur des mots de passe, l’authentification par certificat et l’authentification par carte à puce. Les mots de passe sont gérés à l’aide de politiques de mots de passe basées sur la longueur du mot de passe, son expiration et sa complexité. Microsoft Entra ID utilise une protection intelligente des mots de passe pour le cloud et sur site. Cette protection inclut un verrouillage intelligent, ainsi que le blocage de phrases de passe communes ou personnalisées et de substitutions. Microsoft Entra ID renforce considérablement la sécurité grâce à l’authentification multi-facteurs et aux technologies sans mot de passe, telles que FIDO2. Microsoft Entra ID réduit les coûts de support en fournissant aux utilisateurs un système de réinitialisation de mot de passe en libre-service.
Applications
Applications d’infrastructure : Active Directory est à la base de nombreux composants d’infrastructure sur site, tels que DNS, DHCP, IPSec, WiFi, NPS et l’accès VPN. Dans un nouveau monde basé sur le cloud, Microsoft Entra ID est le nouveau plan de contrôle pour accéder aux applications, par opposition aux contrôles réseau. Lorsque les utilisateurs s’authentifient, l’Accès conditionnel contrôle les utilisateurs qui ont accès aux applications en fonction des conditions requises.
Applications traditionnelles et héritées : la plupart des applications sur site utilisent l’authentification LDAP, l’authentification intégrée à Windows (NTLM et Kerberos) ou l’authentification basée sur l’en-tête pour contrôler l’accès des utilisateurs. Microsoft Entra ID peut permettre l’accès à ce type d’applications sur site à l’aide d’agents de proxy d’application Microsoft Entra exécutés sur site. Grâce à cette méthode, Microsoft Entra ID peut authentifier les utilisateurs Active Directory sur site en utilisant Kerberos pendant la migration ou lorsque la coexistence avec des applications héritées est nécessaire.
Applications SaaS : Active Directory ne prend pas en charge nativement les applications SaaS et nécessite un système de fédération, tel que AD FS. Les applications SaaS prenant en charge l’authentification OAuth2, SAML et WS-* peuvent être intégrées à l’aide de Microsoft Entra ID pour l’authentification.
Applications métier avec une authentification moderne : les organisations peuvent utiliser AD FS avec Active Directory pour prendre en charge les applications métier nécessitant une authentification moderne. Les applications métier nécessitant une authentification moderne peuvent être configurées pour utiliser Microsoft Entra ID pour l’authentification.
Services intermédiaires/services démons : les services exécutés dans des environnements sur site utilisent généralement des comptes de service AD ou des comptes de service gérés par groupe (gMSA) pour s’exécuter. Ces applications hériteront alors des autorisations du compte de service. Microsoft Entra ID fournit des identités gérées pour exécuter d’autres charges de travail dans le cloud. Le cycle de vie de ces identités est géré par Microsoft Entra ID et est lié au fournisseur de ressources, elles ne peuvent donc pas être utilisées à d’autres fins pour accéder de manière détournée.
Appareils
Appareils mobiles : Active Directory ne prend pas en charge nativement les appareils mobiles sans solutions tierces. La solution de gestion des appareils mobiles de Microsoft, Microsoft Intune, est intégrée à Microsoft Entra ID. Microsoft Intune fournit des informations sur l’état de l’appareil au système d’identité pour évaluation lors de l’authentification.
Postes de travail Windows : Active Directory permet l’adhésion des appareils Windows au domaine pour les gérer à l’aide de la stratégie de groupe, de System Center Configuration Manager ou d’autres solutions tierces. Les appareils Windows peuvent être associés à Microsoft Entra ID. L’Accès conditionnel peut vérifier si un appareil est associé à Microsoft Entra lors du processus d’authentification. Les appareils Windows peuvent également être gérés avec Microsoft Intune. Dans ce cas, l’Accès conditionnel vérifiera si un appareil est conforme (par exemple, mises à jour de sécurité et signatures de virus à jour) avant d’autoriser l’accès aux applications.
Serveurs Windows : Active Directory offre de solides capacités de gestion pour les serveurs Windows sur site à l’aide de la stratégie de groupe ou d’autres solutions de gestion. Les machines virtuelles de serveurs Windows dans Azure peuvent être gérées avec Microsoft Entra Domain Services. Les identités gérées peuvent être utilisées lorsque les machines virtuelles ont besoin d’accéder à l’annuaire du système d’identité ou aux ressources.
Charges de travail Linux/Unix : Active Directory ne prend pas en charge nativement les systèmes non-Windows sans solutions tierces, bien que les machines Linux puissent être configurées pour s’authentifier auprès d’Active Directory en tant que domaine Kerberos. Les machines Linux/Unix peuvent utiliser des identités gérées pour accéder au système d’identité ou aux ressources. Certaines organisations migrent ces charges de travail vers des technologies de conteneurs cloud, qui peuvent également utiliser des identités gérées.
Étapes suivantes
- Qu’est-ce que Microsoft Entra ID ?
- Comparaison entre les services de domaine Active Directory auto-gérés, Microsoft Entra ID et les services de domaine Microsoft Entra gérés
- Questions fréquemment posées sur Microsoft Entra ID
- Quoi de neuf dans Microsoft Entra ID ?
