Présentation de Azure ActiveDirectory et de la gestion des identités hybrides avec

Active Directory

Désignation
Azure Active Directory (Azure AD) est le service de gestion de l’accès et des identités basé sur le
cloud de Microsoft. Il permet à vos employés de se connecter et d’accéder aux ressources
suivantes :

 Ressources externes telles que Microsoft Office 365, le portail Azure et biens d’autres
applications SaaS.
 Ressources internes telles que les applications situées sur votre réseau d’entreprise et
intranet ainsi que les applications cloud développées par votre propre organisation.

Vous pouvez utiliser les différentes affiches de la série Microsoft Cloud pour architectes
d’entreprise afin de mieux comprendre les services d’identité de base dans Azure, Azure AD et
Office 365.

Qui utilise Azure AD ?

Azure AD s’adresse aux utilisateurs suivants :

 Les administrateurs informatiques. En tant qu’administrateur informatique, vous

pouvez utiliser Azure AD pour contrôler l’accès à vos applications et à leurs ressources
en fonction des besoins de votre entreprise. Par exemple, vous pouvez utiliser Azure AD
pour exiger que l’accès aux ressources importantes de l’organisation soit soumis à
l’authentification multifacteur. Vous pouvez également utiliser Azure AD pour
automatiser le provisionnement des utilisateurs entre votre AD Windows Server
existant et vos applications cloud, notamment Office 365. Azure AD vous offre enfin des
outils puissants pour vous aider à protéger automatiquement les identités et
informations d’identification des utilisateurs et à répondre à vos exigences en matière
de gouvernance.
 Les développeurs d’applications. En tant que développeur d’applications, Azure AD
vous permet de suivre une approche normalisée pour ajouter l’authentification unique
à votre application, laquelle peut alors fonctionner avec les informations
 d’identification existantes d’un utilisateur. Azure AD fournit également des API qui
peuvent vous aider à créer des expériences d’application personnalisées qui utilisent
des données organisationnelles existantes.. Pour plus d’informations, vous pouvez
également consulter
 Les abonnées à Office 365 et Azure.

En tant qu’abonné, vous utilisez déjà Azure AD. Chaque locataire Office 365 et Azure est
automatiquement un locataire Azure AD. Vous pouvez immédiatement commencer à
gérer l’accès à vos applications cloud intégrées.

Quelles sont les licences Azure AD ?

Les services d’entreprise Microsoft Online comme Office 365 ou Microsoft Azure nécessitent
Azure AD pour la connexion et la protection des identités. Si vous êtes abonnez à un service en
ligne Microsoft pour entreprise, vous disposez automatiquement d’Azure AD avec un accès à
toutes les fonctionnalités gratuites.

Pour enrichir votre implémentation Azure AD, vous pouvez ajouter des fonctionnalités
payantes en procédant à une mise à niveau vers les licences Azure Active Directory Basic,
Premium P1 ou Premium P2. Les licences payantes Azure AD s’appuient sur votre annuaire
gratuit existant et couvrent le libre-service, la supervision améliorée, les rapports de sécurité et
l’accès sécurisé pour vos utilisateurs mobiles.

Présentation de l’identité hybride avec Azure

Active Directory
Les entreprises et les organisations utilisent aujourd’hui de plus en plus souvent une
combinaison d’applications locales et cloud. Les utilisateurs doivent avoir accès à ces
applications en local et dans le cloud, Les scénarios de gestion des utilisateurs en local et dans
le cloud constituent un défi.

Les solutions d'identité de Microsoft regroupent des fonctionnalités, locales et cloud. Ces
solutions créent une identité d'utilisateur unique commune pour l'authentification et
l'autorisation d'accès à toutes les ressources, indépendamment de leur l'emplacement. Nous
appelons cette identité identité hybride.
Avec l’identité hybride pour Azure AD et la gestion de l’identité hybride, ces scénarios
deviennent possibles.

Pour obtenir l’identité hybride avec Azure AD, l'une des trois méthodes d’authentification peut
être utilisée, selon vos scénarios. Ces trois méthodes sont les suivantes :

 Synchronisation de hachage de mot de passe (PHS)

 Authentification directe (PTA)
 Fédération (AD FS)

Ces méthodes d’authentification s'accompagnent également de fonctionnalités

d'authentification unique. L’authentification unique connecte automatiquement les utilisateurs
lorsque leurs appareils d’entreprise sont connectés au réseau de l’entreprise.

Pour plus d'informations, consultez Choisir la méthode d’authentification adaptée à votre

solution d’identité hybride Azure Active Directory.

Scénarios et recommandations courants

Voici quelques scénarios courants de gestion des identités hybrides et des accès avec des
recommandations concernant l’option (ou les options) d’identité hybride la ou les mieux
appropriées dans chaque cas.

PHS et PTA et AD
J’ai besoin de : SSO 1
SSO 2
FS
3

Synchroniser de nouveaux comptes d’utilisateurs, de

contacts et de groupes créés automatiquement dans mon
Active Directory local vers le cloud.

Configurer mon client pour des scénarios hybrides Office

365.

Permettre à mes utilisateurs de se connecter et d’accéder

aux services cloud à l’aide de leur mot de passe local.

Implémenter l’authentification unique à l’aide des

informations d’identification d’entreprise.

M’assurer qu’aucun hachage du mot de passe n’est stocké

dans le cloud.

Activer des solutions d’authentification multifacteur cloud.

Activer des solutions d’authentification multifacteur locales.

 Prendre en charge l’authentification par carte à puce pour
mes utilisateurs.
4

Afficher les notifications d’expiration du mot de passe dans

le portail Office et sur le bureau Windows 10.

Qu’est-ce qu’Azure AD Connect ?

L’outil Microsoft Azure AD Connect a été conçu pour vous permettre d’atteindre et de
remplir vos objectifs en matière d’identité hybride. Elle fournit les fonctionnalités
suivantes :

 Synchronisation de hachage de mot de passe : méthode d’authentification qui

synchronise un hachage du mot de passe AD local d’un utilisateur avec Azure AD.
 Authentification directe : méthode d’authentification qui permet aux utilisateurs
d’utiliser le même mot de passe localement et dans le cloud, mais sans nécessiter
l’infrastructure supplémentaire d’un environnement fédéré.
 Intégration de fédération : la fédération est une partie facultative d’Azure AD
Connect qui peut servir à configurer un environnement hybride à l’aide d’une
infrastructure AD FS locale. Elle offre également des fonctionnalités de gestion AD
FS telles que le renouvellement de certificat et les déploiements de serveurs AD FS
supplémentaires.
 Synchronisation : ce composant est chargé de créer des utilisateurs, des groupes
et d’autres objets, et également de s’assurer que les informations d’identité
relatives aux utilisateurs et aux groupes dans votre environnement local
correspondent à celles qui se trouvent dans le cloud. Cette synchronisation inclut
également des hachages de mot de passe.
 Analyse du fonctionnement : Azure AD Connect Health peut assurer une
supervision robuste et offrir un emplacement central dans le Portail Azure pour la
visualisation de cette activité.
Qu’est-ce qu’Azure AD Connect Health ?
Azure Active Directory (Azure AD) Connect Health fournit une supervision robuste de
votre infrastructure d’identité locale. Il vous permet de conserver une connexion fiable à
Office 365 et Microsoft Online Services. Cette fiabilité est obtenue en fournissant des
fonctionnalités de supervision pour vos composants d’identités clés. De plus, il rend les
points de données clés relatifs à ces composants facilement accessibles.

Ces informations sont toutes présentées dans le portail Azure AD Connect

Health. Utilisez le portail Azure AD Connect Health pour voir les alertes, la supervision
des performances, l’analytique des utilisations et d’autres informations. Azure AD
Connect Health prend en compte l’intégrité des composants d’identité clé, le tout à un
seul endroit.
Pourquoi utiliser Azure AD Connect ?
L’intégration de vos annuaires locaux avec Azure AD améliore la productivité de vos
utilisateurs en leur fournissant une identité commune pour accéder aux ressources
cloud et locales. Les utilisateurs et les organisations bénéficient des avantages suivants :

 Les utilisateurs peuvent utiliser une identité unique pour accéder aux applications
locales et aux services cloud comme Office 365.
 Outil unique offrant une expérience de déploiement simple pour la
synchronisation et la connexion.
 Fournit les fonctionnalités les plus récentes pour vos scénarios. Azure AD Connect
remplace les versions antérieures des outils d’intégration d’identité tels que
DirSync et Azure AD Sync.
Pourquoi utiliser Azure AD Connect Health ?
Avec Azure AD, vos utilisateurs gagnent en productivité car ils disposent d’une identité
commune pour accéder aux ressources cloud et locales. Garantir la fiabilité de
l’environnement afin que les utilisateurs puissent accéder à ces ressources devient un
dé[Link] AD Connect Health vous aide à superviser et à obtenir des insights
concernant votre infrastructure d’identité locale, garantissant ainsi la fiabilité de cet
[Link] installation est aussi simple que celle d’un agent sur chacun de vos
serveurs d’identité local.

Azure AD Connect Health pour AD FS prend en charge AD FS 2.0 sur Windows Server
2008 R2, Windows Server 2012, Windows Server 2012 R2 et Windows Server 2016. Cette
prise en charge inclut également la surveillance de tous les serveurs proxy AD FS ou
serveurs proxy d’application web qui prennent en charge l’authentification pour l’accès
extranet. Avec une installation simple et rapide du programme Health Agent, Azure AD
Connect Health pour AD FS vous offre un ensemble de fonctionnalités clés.

Avantages clés et bonnes pratiques :

Principaux avantages Bonnes pratiques

Sécurité améliorée Tendances de verrouillage extranet

Rapport sur les échecs de connexions
Conformité aux réglementations
relatives à la confidentialité

Obtention d’alertes pour tous les problèmes Configuration et disponibilité de

critiques liés au système ADFS serveur
Performances et connectivité
Maintenance régulière

Facilité de déploiement et de gestion Installation d’agent rapide

Mise à niveau automatique d’agent
vers la dernière version
Données disponibles dans le portail en
quelques minutes

Métriques d’utilisation enrichies Utilisation des principales applications

Emplacements réseau et connexion
TCP
Demandes de jetons par serveur

Meilleure expérience utilisateur Présentation sous forme de tableaux de

bord du Portail Azure
Alertes par e-mail

Licences requises pour Azure AD Connect

L'utilisation de cette fonctionnalité est gratuite et incluse dans votre abonnement Azure.
1
Synchronisation de hachage de mot de passe avec authentification unique (SSO).

2
Authentification directe et authentification unique.

3
Authentification unique fédérée avec AD FS.

4
AD FS peut être intégré à l’infrastructure de clé publique (PKI) de votre entreprise pour
permettre l’authentification à l’aide de certificats. Ces certificats peuvent être des certificats
logiciels déployés via des canaux d’approvisionnement approuvés tels que les certificats de
gestion des périphériques mobiles (GPM), d’objet de stratégie de groupe (GPO), de carte à
puce (y compris les cartes PIV/CAC) ou Hello for Business (approbation de certificat).

Licences requises pour Azure AD Connect

L'utilisation de cette fonctionnalité est gratuite et incluse dans votre abonnement Azure.