Comparer Active Directory à Azure Active Directory

Azure Active Directory constitue la toute dernière évolution des solutions de gestion des identités et des accès pour le cloud. Microsoft a introduit Active Directory Domain Services dans Windows 2000 pour permettre aux organisations de gérer plusieurs systèmes et composants d’infrastructure locaux à l’aide d’une identité unique par utilisateur.

Azure AD mène cette approche au niveau suivant en fournissant aux organisations une solution IDaaS (Identity as a Service) pour toutes leurs applications dans le cloud et localement.

La plupart des administrateurs informatiques maîtrisent les concepts liés à Active Directory Domain Services. Le tableau suivant présente les différences et les similarités entre les concepts propres à Active Directory et ceux propres à Azure Active Directory.

Concept Active Directory (AD) Azure Active Directory
Utilisateurs
Provisionnement : utilisateurs Les organisations créent manuellement des utilisateurs internes ou utilisent un système de provisionnement interne ou automatisé, tel que Microsoft Identity Manager, pour s’intégrer à un système RH. Les organisations Active Directory existantes utilisent Azure AD Connect pour synchroniser les identités dans le cloud.
Azure AD ajoute une prise en charge pour créer automatiquement des utilisateurs à partir de systèmes RH cloud.
Azure AD peut approvisionner des identités dans des applications SaaS prenant en charge SCIM afin de fournir automatiquement aux applications les informations nécessaires pour permettre l’accès des utilisateurs.
Provisionnement : identités externes Les organisations créent manuellement des utilisateurs externes en tant qu’utilisateurs standard dans une forêt AD externe dédiée, ce qui génère une surcharge administrative pour gérer le cycle de vie des identités externes (utilisateurs invités). Azure AD fournit une classe spéciale d’identité pour prendre en charge les identités externes. Azure AD B2B gère le lien à l’identité de l’utilisateur externe pour garantir sa validité.
Gestion des droits d’utilisation et groupes Les administrateurs définissent les utilisateurs comme membres de groupes. Les propriétaires des applications et des ressources accordent ensuite aux groupes l’accès aux applications et aux ressources. Les groupes sont également disponibles dans Azure AD et les administrateurs peuvent également utiliser des groupes pour accorder des autorisations aux ressources. Dans Azure AD, les administrateurs peuvent attribuer manuellement l’appartenance aux groupes ou utiliser une requête pour inclure de manière dynamique des utilisateurs dans un groupe.
Les administrateurs peuvent utiliser la gestion des droits d’utilisation dans Azure AD pour permettre aux utilisateurs d’accéder à un ensemble d’applications et de ressources à l’aide de flux de travail et, si nécessaire, de critères temporels.
Gestion d’administration Les organisations associent des domaines, des unités d’organisation et des groupes dans Active Directory pour déléguer les droits d’administration afin de gérer l’annuaire et les ressources qu’il contrôle. Azure AD fournit des rôles intégrés avec son système de contrôle d’accès en fonction du rôle Azure AD (RBAC Azure AD), avec une prise en charge limitée de la création de rôles personnalisés afin de déléguer l’accès privilégié au système d’identité, aux applications et aux ressources qu’il contrôle.
La gestion des rôles peut être améliorée avec Privileged Identity Management (PIM) pour fournir un accès juste-à-temps, limité dans le temps ou basé sur le flux de travail à des rôles privilégiés.
Gestion des informations d’identification Dans Active Directory, les informations d’identification sont basées sur les mots de passe, l’authentification par certificat et l’authentification par carte à puce. Les mots de passe sont gérés à l’aide de stratégies de mot de passe basées sur la longueur, l’expiration et la complexité des mots de passe. Azure AD utilise une protection par mot de passe intelligente pour le cloud et localement. Cette protection comprend le verrouillage intelligent, ainsi que le blocage des substitutions et phrases de mot de passe courantes et personnalisées.
Azure AD améliore de manière significative la sécurité via l’authentification multifacteur et des technologies sans mot de passe, comme FIDO2.
Azure AD réduit les coûts de support en fournissant aux utilisateurs un système de réinitialisation de mot de passe en libre-service.
Applications
Applications d’infrastructure Active Directory forme la base de nombreux composants locaux d’infrastructure, tels que l’accès DNS, DHCP, IPSec, WiFi, NPS et VPN Dans le nouveau monde du cloud, Azure AD est le nouveau plan de contrôle permettant d’accéder aux applications et de s’appuyer sur les contrôles de réseau. Lorsque les utilisateurs s’authentifient,l’accès conditionnel contrôle les utilisateurs qui auront accès aux applications dans les conditions requises.
Applications traditionnelles et héritées La plupart des applications locales utilisent LDAP, l’authentification Windows intégrée (NTLM et Kerberos) ou l’authentification basée sur l’en-tête pour contrôler l’accès aux utilisateurs. Azure AD peut fournir un accès à ces types d’applications locales à l’aide d’agents de proxy d’application Azure AD s’exécutant localement. En utilisant cette méthode, Azure AD peut authentifier localement les utilisateurs Active Directory à l’aide de Kerberos pendant que vous migrez ou avez besoin de coexister avec des applications héritées.
Applications SaaS Active Directory ne prend pas en charge les applications SaaS en mode natif et nécessite un système de fédération, tel qu’AD FS. Les applications SaaS prenant en charge l’authentification OAuth2, SAML et WS-* peuvent être intégrées afin d’utiliser Azure AD pour l’authentification.
Applications métier avec authentification moderne Les organisations peuvent utiliser AD FS avec Active Directory pour prendre en charge les applications métier nécessitant une authentification moderne. Les applications métier nécessitant une authentification moderne peuvent être configurées pour utiliser Azure AD pour l’authentification.
Services de niveau intermédiaire/démons Les services s’exécutant dans des environnements locaux utilisent normalement les comptes de service Active Directory ou les comptes de service administrés de groupe (gMSA) pour s’exécuter. Ces applications hériteront ensuite des autorisations du compte de service. Azure AD fournit des identités managées afin d’exécuter d’autres charges de travail dans le cloud. Le cycle de vie de ces identités est géré par Azure AD et lié au fournisseur de ressources, et il ne peut pas être utilisé à d’autres fins pour obtenir un accès par une porte dérobée.
Appareils
Mobile Active Directory ne prend pas en charge en mode natif les appareils mobiles sans solutions tierces. La solution de gestion des appareils mobiles de Microsoft, Microsoft Intune, est intégrée à Azure AD. Microsoft Intune fournit les informations d’état de l’appareil au système d’identité à des fins d’évaluation pendant l’authentification.
Postes de travail Windows Active Directory offre la possibilité d’effectuer une jonction de domaine des appareils Windows afin de les gérer à l’aide d’une stratégie de groupe, de System Center Configuration Manager ou d’autres solutions tierces. Les appareils Windows peuvent être joints à Azure AD. L’accès conditionnel peut vérifier si un appareil est joint à Azure AD dans le cadre du processus d’authentification. Les appareils Windows peuvent également être gérés avec Microsoft Intune. Dans ce cas, l’accès conditionnel déterminera si un appareil est conforme (par exemple, correctifs de sécurité et signatures de virus à jour) avant d’autoriser l’accès aux applications.
Serveurs Windows Active Directory fournit des fonctionnalités de gestion fortes pour les serveurs Windows locaux à l’aide d’une stratégie de groupe ou d’autres solutions de gestion. Les machines virtuelles des serveurs Windows dans Azure peuvent être gérées avec Azure AD Domain Services. Les identités managées peuvent être utilisées lorsque les machines virtuelles doivent accéder au répertoire ou aux ressources du système d’identité.
Charges de travail Linux/Unix Active Directory ne prend pas en charge de manière native les charges de travail non-Windows sans solutions tierces, même si les ordinateurs Linux peuvent être configurés pour s’authentifier auprès d’Active Directory en tant que domaine Kerberos. Les machines virtuelles Linux/Unix peuvent utiliser des identités managées pour accéder au système d’identité ou aux ressources. Certaines organisations migrent ces charges de travail vers des technologies de conteneur cloud, qui peuvent également utiliser des identités managées.

Étapes suivantes