Principes fondamentaux Microsoft Entra
Microsoft Entra ID fournit une limite d’identité et d’accès pour les applications d’approbation et les ressources Azure. La plupart des exigences de séparation d’environnement peuvent être satisfaites avec l’administration déléguée dans un seul locataire Microsoft Entra. Cette configuration réduit la charge de gestion de vos systèmes. Toutefois, certains cas spécifiques, par exemple l’isolation complète des ressources et des identités, nécessitent plusieurs locataires.
Vous devez déterminer l’architecture de séparation de votre environnement en fonction de vos besoins. Voici certains domaines à prendre en considération :
Séparation des ressources. Si une ressource peut modifier des objets annuaire tels que des objets utilisateur et que la modification interfère avec d’autres ressources, il peut être nécessaire d’isoler la ressource dans une architecture multi-locataire.
Séparation de configuration. Les configurations à l’échelle du locataire affectent toutes les ressources. L’effet de certaines configurations à l’échelle du locataire peut être délimité avec des stratégies d’accès conditionnel et d’autres méthodes. Si vous avez besoin de configurations de locataire différentes qui ne peuvent pas être délimitées avec des stratégies d’accès conditionnel, vous aurez peut-être besoin d’une architecture multi-locataire.
Séparation administrative. Vous pouvez déléguer l’administration des groupes d’administration, des abonnements, des groupes de ressources, des ressources et de certaines stratégies au sein d’un seul locataire. Un administrateur général a toujours accès à tout ce qui se trouve dans le locataire. Si vous devez vous assurer que l’environnement ne partage pas d’administrateurs avec un autre environnement, vous avez besoin d’une architecture multi-locataire.
Pour maintenir votre sécurité, vous devez suivre les bonnes pratiques relatives au provisionnement des identités, à la gestion de l’authentification, à la gouvernance des identités, à la gestion du cycle de vie et aux opérations de manière cohérente, sur tous les locataires.
Terminologie
Cette liste de termes est généralement associée à Microsoft Entra et s’applique à ce contenu :
Locataire Microsoft Entra. Instance dédiée et approuvée Microsoft Entra ID qui est automatiquement créée quand votre organisation souscrit un abonnement à un service cloud Microsoft. Ces abonnements comprennent, par exemple, Microsoft Azure, Microsoft Intune ou Microsoft 365. Un locataire Microsoft Entra représente généralement une seule organisation ou une seule limite de sécurité. Le locataire Microsoft Entra comprend les utilisateurs, les groupes, les appareils et les applications utilisés pour effectuer la gestion des identités et des accès (IAM) pour les ressources du locataire.
Environnement. Dans le contexte de ce contenu, un environnement est une collection d’abonnements Azure, de ressources Azure et d’applications associés à un ou plusieurs principes Microsoft Entra. Le locataire Microsoft Entra fournit le plan de contrôle d’identité pour gouverner l’accès à ces ressources.
Environnement de production. Dans le contexte de ce contenu, un environnement de production est l’environnement avec l’infrastructure et les services avec lesquels les utilisateurs finaux interagissent directement. Il peut s’agir, par exemple, d’un environnement d’entreprise ou côté client.
Environnements hors production. Dans le contexte de ce contenu, un environnement hors production fait référence à un environnement utilisé dans les domaines suivants :
Développement
Test
Usage en laboratoire
Les environnements hors production sont souvent appelés environnements de bac à sable.
Identités. Une identité est un objet annuaire qui peut être authentifié et autorisé à accéder à une ressource. Les objets d’identité existent pour les identités humaines et les identités non humaines. Les entités non humaines comprennent :
Objets d’application
Identités de charge de travail (anciennement décrites comme principaux de service)
Identités managées
Appareils
Les identités humaines sont des objets utilisateur qui représentent généralement des personnes d’une organisation. Ces identités sont soit créées et gérées directement dans Microsoft Entra ID, soit synchronisées à partir d'un Active Directory sur site vers Microsoft Entra ID pour une organisation donnée. Ces types d’identités sont appelés identités locales. Des objets utilisateur peuvent également être invités à partir d’une organisation partenaire ou d’un fournisseur d’identité sociale à l’aide deMicrosoft Entra B2B collaboration. Dans ce contenu, nous désignons ces types d’identité comme identités externes.
Les identités non humaines incluent toutes les identités non associées à un humain. Ce type d’identité fait référence à un objet tel qu’une application, dont l’exécution nécessite une identité. Dans ce contenu, nous désignons ce type d’identité comme identité de charge de travail. Différents termes sont utilisés pour décrire ce type d’identité, notamment objets d’application et principaux de service.
Objet d’application. Une application Microsoft Entra est définie par son objet application. L’objet réside dans le locataire Microsoft Entra où l’application est inscrite. Le locataire est appelé « locataire d’accueil » de l’application.
Les applications monolocataires sont créées pour autoriser uniquement les identités provenant du « locataire d’accueil ».
Les applications multilocataires permettent aux identités de n’importe quel locataire Microsoft Entra de s’authentifier.
Objet principal de service. Bien qu’il existe des exceptions, les objets d’application peuvent être considérés comme la définition d’une application. Les objets principal de service peuvent être considérés comme une instance d’une application. En règle générale, les principaux de service référencent un objet d’application, et un objet d’application est référencé par plusieurs principaux de service sur plusieurs annuaires.
Les objets principal de service sont également des identités d’annuaire qui peuvent effectuer des tâches indépendamment de toute intervention humaine. Le principal de service définit la stratégie d’accès et les autorisations d’un utilisateur ou d’une application dans le locataire Microsoft Entra. Ce mécanisme rend possibles les fonctionnalités de base telles que l’authentification de l’application ou de l’utilisateur lors de la connexion et l’autorisation lors de l’accès aux ressources.
Microsoft Entra ID permet aux objets d’application et principal de service de s’authentifier avec un mot de passe (également appelé secret d’application) ou avec un certificat. L’utilisation de mots de passe pour les principaux de service est déconseillée et nous vous recommandons d’utiliser un certificat dans la mesure du possible.
Identités managées pour les ressources Azure. Les identités managées sont des principaux de service spéciaux dans Microsoft Entra ID. Ce type de principal de service peut être utilisé pour s’authentifier auprès des services qui prennent en charge l’authentification Microsoft Entra sans avoir à stocker les informations d’identification dans votre code ou à gérer des secrets. Pour plus d’informations, consultez Que sont les identités managées pour les ressources Azure ?
Identité d’appareil : une identité d’appareil vérifie que l’appareil dans le flux d’authentification a été soumis à un processus permettant d’attester que l’appareil est légitime et qu’il répond aux exigences techniques. Lorsque l’appareil a terminé ce processus, l’identité associée peut être utilisée pour contrôler davantage l’accès aux ressources d’une organisation. Avec Microsoft Entra ID, les appareils peuvent s’authentifier avec un certificat.
Dans le cadre d’anciens scénarios non humains, une identité humaine devait être utilisée. Par exemple, quand des comptes de service utilisés dans des applications locales comme des scripts ou des programmes de traitement par lots nécessitent l’accès à Microsoft Entra ID. Ce modèle n’est pas recommandé et nous vous recommandons d’utiliser des certificats. Toutefois, si vous utilisez une identité humaine avec mot de passe pour l’authentification, protégez vos comptes Microsoft Entra avec Microsoft Entra l’authentification multifacteur.
Identité hybride. Une identité hybride est une identité qui s’étend sur des environnements locaux et cloud. Elle offre pour avantage de pouvoir utiliser la même identité pour accéder aux ressources locales et cloud. Dans ce scénario, la source d’autorité est généralement un annuaire local et le cycle de vie des identités est également piloté à partir d’un environnement local pour le provisionnement, le déprovisionnement et l’attribution des ressources. Pour plus d’informations, consultez la documentation sur les identités hybrides.
Objets annuaire. Un locataire Microsoft Entra contient les objets courants suivants :
Les objets utilisateur représentent des identités humaines et non humaines pour les services qui ne prennent actuellement pas en charge les principaux de service. Les objets utilisateur contiennent des attributs qui ont les informations requises sur l’utilisateur, y compris des détails personnels, les appartenances aux groupes, les appareils et les rôles attribués à l’utilisateur.
Les objets d’appareil représentent les appareils associés à un locataire Microsoft Entra. Les objets d’appareil contiennent des attributs qui ont les informations requises sur l’appareil, Ces objets incluent le système d’exploitation, l’utilisateur associé, l’état de conformité et la nature de l’association avec le locataire Microsoft Entra. Cette association peut prendre plusieurs formes, selon la nature de l’interaction et le niveau de confiance de l’appareil.
Joint à un domaine hybride. Appareils appartenant à l’organisation et associés à Active Directory local et à Microsoft Entra ID. Il s’agit généralement d’un appareil acheté et géré par une organisation et managé par System Center Configuration Manager.
Microsoft Entra Domain Joint. Appareils appartenant à l’organisation et associés au locataire Microsoft Entra de l’organisation. Il s’agit généralement d’un appareil acheté et géré par une organisation, joint à Microsoft Entra ID et managé par un service tel que Microsoft Intune.
Inscrit auprès de Microsoft Entra. Appareils n’appartenant pas à l’organisation, par exemple, un appareil personnel, utilisés pour accéder aux ressources de l’entreprise. Les organisations peuvent exiger que l’appareil soit inscrit dans la gestion des périphériques mobiles (MDM), ou utilisé dans le cadre de la gestion des applications mobiles (GAM) sans inscription pour accéder aux ressources. Cette fonctionnalité peut être fournie par un service tel que Microsoft Intune.
Les objets de groupe contiennent des objets servant à l’attribution de l’accès aux ressources, à l’application de contrôles ou à la configuration. Les objets de groupe contiennent des attributs qui ont les informations requises sur le groupe, notamment le nom, la description, les membres du groupe, les propriétaires du groupe et le type de groupe. Les groupes dans Microsoft Entra ID prennent plusieurs formes en fonction des exigences d’une organisation. Ces exigences peuvent être remplies à l’aide de Microsoft Entra ID ou synchronisées à partir d’Active Directory Domain Services (AD DS) local.
Groupes attribués. Dans les groupes attribués, les utilisateurs sont ajoutés au groupe ou supprimés du groupe manuellement, synchronisés à partir d’AD DS local ou mis à jour dans le cadre d’un workflow par script automatisé. Un groupe attribué peut être synchronisé à partir d’AD DS local ou être hébergé dans Microsoft Entra ID.
Groupes d’appartenance dynamiques. Dans les groupes d’appartenance dynamique basés sur les attributs, les utilisateurs sont affectés automatiquement au groupe en fonction d’attributs définis. Ce scénario permet de mettre à jour dynamiquement les appartenance aux groupes en fonction des données contenues dans les objets utilisateur. Un groupe d’appartenance dynamique peut uniquement être hébergé dans Microsoft Entra ID.
Compte Microsoft (MSA). Vous pouvez créer des abonnements et des locataires Azure à l’aide de comptes Microsoft (MSA). Un compte Microsoft est un compte personnel (par opposition à un compte professionnel), couramment utilisé par les développeurs et pour les scénarios d’essai. Quand le compte personnel est utilisé, il est toujours défini comme compte invité dans un locataire Microsoft Entra.
Microsoft Entra zones fonctionnelles
Ces zones fonctionnelles sont fournies par Microsoft Entra ID, et sont pertinentes pour les environnements isolés. Pour en savoir plus sur les fonctionnalités de Microsoft Entra ID, consultez Qu’est-ce que l’ID Microsoft Entra ?.
Authentification
Authentification. Microsoft Entra ID prend en charge les protocoles d’authentification conformes aux normes ouvertes telles qu’Open ID Connect, OAuth et SAML. Microsoft Entra ID offre également des fonctionnalités permettant aux organisations de fédérer des fournisseurs d’identité locaux existants comme les services de fédération Active Directory (AD FS) pour authentifier l’accès aux applications intégrées Microsoft Entra ID.
Microsoft Entra ID offre des options d’authentification de pointe fortes, que les organisations peuvent utiliser pour sécuriser l’accès aux ressources. L’authentification multifacteur Microsoft Entra, l’authentification des appareils et les fonctionnalités sans mot de passe permettent aux organisations de déployer des options d’authentification fortes qui répondent aux exigences de leurs employés.
Authentification unique (SSO). Avec l’authentification unique, les utilisateurs se connectent une fois avec un seul compte pour accéder à toutes les ressources qui font confiance à l’annuaire comme les appareils joints à un domaine, les ressources d’entreprise, les applications SaaS (software as a service) et toutes les applications intégrées Microsoft Entra. Pour plus d’informations, consultez Authentification unique pour les applications dans Microsoft Entra ID.
Autorisation
Attribution de l’accès aux ressources. Microsoft Entra ID fournit et sécurise l’accès aux ressources. L’attribution de l’accès à une ressource dans Microsoft Entra ID peut être effectuée de deux façons :
Attribution aux utilisateurs : l’accès à la ressource est directement attribué à l’utilisateur et le rôle ou l’autorisation approprié lui est attribué.
Attribution aux groupes : un groupe contenant un ou plusieurs utilisateurs est attribué à la ressource et le rôle ou l’autorisation approprié lui est attribué.
Stratégies d’accès aux applications. Microsoft Entra ID offre des fonctionnalités permettant de mieux contrôler et sécuriser l’accès aux applications de votre organisation.
Accès conditionnel. Microsoft Entra stratégies d’accès conditionnel sont des outils permettant d’intégrer le contexte utilisateur et appareil dans le flux d’autorisation lors de l’accès aux ressources Microsoft Entra. Les organisations doivent explorer l’utilisation de stratégies d’accès conditionnel pour autoriser, refuser ou améliorer l’authentification en fonction de l’utilisateur, du risque, de l’appareil et du contexte réseau. Pour plus d'informations, voir la documentation de Microsoft Entra Conditional Access.
Microsoft Entra ID Protection. Cette fonctionnalité permet aux organisations d’automatiser la détection et la correction des risques sur la base de l’identité, d’investiguer les risques et d’exporter les données de détection des risques vers des utilitaires tiers pour une analyse plus poussée. Pour plus d'informations, consultez vue d’ensemble Microsoft Entra ID Protection.
Administration
Gestion des identités. Microsoft Entra ID offre des outils permettant de gérer le cycle de vie des identités d’utilisateurs, de groupes et d’appareils. Microsoft Entra Connect permet aux organisations d’étendre la solution de gestion des identités locale actuelle vers le cloud. Microsoft Entra Connect gère l’approvisionnement, le déprovisionnement et les mises à jour de ces identités dans Microsoft Entra ID.
Microsoft Entra ID offre également un portail et l’API Microsoft Graph, permettant aux organisations de gérer les identités ou d’intégrer la gestion des identités Microsoft Entra dans un processus d’automatisation ou des workflows existants. Pour en savoir plus sur Microsoft Graph, consultez Utiliser l’API Microsoft Graph.
Gestion des appareils. Microsoft Entra ID permet de gérer le cycle de vie et l’intégration aux infrastructures de gestion des appareils cloud et locales. Il est également utilisé pour définir des stratégies permettant de contrôler l’accès à vos données organisationnelles à partir d’appareils cloud ou locaux. Microsoft Entra ID offre les services de cycle de vie des appareils dans l’annuaire et assure le provisionnement des informations d’identification pour permettre l’authentification. Il gère également un attribut clé d’un appareil dans le système, à savoir le niveau de confiance. Il s’agit d’un détail important dans le cadre de la conception d’une stratégie d’accès aux ressources. Pour plus d’informations, consultez la documentation sur la gestion des appareils Microsoft Entra.
Gestion des configurations. Microsoft Entra ID dispose d’éléments de service qui doivent être configurés et gérés pour que le service soit configuré selon les exigences d’une organisation. Ces éléments incluent, entre autres, la gestion de domaine, la configuration de l’authentification unique et la gestion des applications. Microsoft Entra ID offre un portail et l’API Microsoft Graph, permettant aux organisations de gérer ces éléments ou d’en intégrer la gestion dans des processus existants. Pour en savoir plus sur Microsoft Graph, consultez Utiliser l’API Microsoft Graph.
Gouvernance
Cycle de vie des identités. Microsoft Entra ID fournit des fonctionnalités permettant de créer, récupérer, supprimer et mettre à jour des identités dans l’annuaire, y compris des identités externes. Microsoft Entra ID fournit également des services permettant d’automatiser le cycle de vie des identités et ainsi de s’assurer qu’il est géré conformément aux besoins de votre organisation. Par exemple, vous pouvez utiliser les révisions d’accès pour supprimer des utilisateurs externes qui ne se sont pas connectés pendant une période spécifiée.
Création de rapports et analytique. La visibilité des actions des utilisateurs est un aspect important de la gouvernance des identités. Microsoft Entra ID fournit des insights sur les modèles de sécurité et d’utilisation de votre environnement. Ces insights incluent des informations détaillées sur :
Ce à quoi accèdent vos utilisateurs
La source de l’accès
Les appareils qu’ils utilisent
Les applications utilisées pour l’accès
Microsoft Entra ID fournit également des informations sur les actions effectuées dans Microsoft Entra ID et des rapports sur les risques de sécurité. Pour plus d’informations, consultez Rapports et analyse Microsoft Entra.
Audit : L’audit permet de suivre, à l’aide de journaux, toutes les modifications effectuées par des fonctionnalités spécifiques au sein de Microsoft Entra ID. Par exemple, les journaux d’audit peuvent inclure des activités telles que les modifications apportées à des ressources dans Microsoft Entra ID comme l’ajout ou la suppression d’utilisateurs, d’applications, de groupes, de rôles et de stratégies. La création de rapports dans Microsoft Entra ID vous permet d’auditer les activités de connexion, les connexions risquées et les utilisateurs marqués d’un indicateur de risque. Pour plus d’informations, consultez Rapports d’activité d’audit dans le portail Azure.
Certification d’accès. La certification d’accès est le processus qui consiste à prouver qu’un utilisateur a le droit d’avoir accès à une ressource à un moment donné. Les révisions d’accès Microsoft Entra passent en revue en permanence les appartenances de groupes ou d’applications et fournissent des insights permettant de déterminer si l’accès est requis ou doit être supprimé. Cette certification permet aux organisations de gérer efficacement les appartenances aux groupes, l’accès aux applications d’entreprise et les attributions de rôles pour s’assurer que seules les personnes appropriées ont un accès. Pour plus d’informations, consultez Qu’est-ce que les révisions d’accès Microsoft Entra ?
Accès privilégié. Microsoft Entra Privileged Identity Management (PIM) assure une activation de rôle basée sur l’heure et l’approbation pour atténuer les risques d’autorisations d’accès excessives, injustifiées ou malveillantes à des ressources Azure. Il permet de protéger les comptes privilégiés en réduisant le temps d’exposition des privilèges et en augmentant la visibilité sur leur utilisation grâce à des rapports et alertes.
Gestion en libre-service
Inscription des informations d’identification. Microsoft Entra ID offre des fonctionnalités permettant de gérer tous les aspects du cycle de vie des identités utilisateur et des fonctionnalités en libre-service pour réduire la charge de travail du support technique d’une organisation.
Gestion des groupes. Microsoft Entra ID offre des fonctionnalités permettant aux utilisateurs de demander d’appartenir à un groupe pour accéder à des ressources. Utilisez Microsoft Entra ID pour créer des groupes qui peuvent être utilisés pour sécuriser les ressources ou la collaboration. Les organisations peuvent donc utiliser les contrôles appropriés qu’elles ont mis en place pour contrôler ces fonctionnalités.
Gestion des identités et des accès des consommateurs (IAM)
Azure AD B2C. Azure AD B2C est un service qui peut être activé dans un abonnement Azure, permettant de fournir des identités aux consommateurs pour les applications côté client de votre organisation. Ce service est une offre d’identité distincte et ces utilisateurs n’apparaissent donc généralement pas dans le locataire Microsoft Entra ID de l’organisation. Azure AD B2C est géré par les administrateurs dans le locataire associé à l’abonnement Azure.