Plans de déploiement Microsoft Entra

Azure Active Directory s’appelle désormais Microsoft Entra ID, qui peut sécuriser votre organisation grâce à la gestion des identités et des accès cloud. La solution connecte les employés, les clients et les partenaires à leurs applications, appareils et données.

Suivez les conseils de cet article pour créer votre plan de déploiement de Microsoft Entra ID. Découvrez les principes de base de la création d’un plan, puis utilisez les sections suivantes pour le déploiement de l’authentification, les applications et les appareils, les scénarios hybrides, l’identité utilisateur, etc.

Parties prenantes et rôles

Lorsque vous commencez vos plans de déploiement, incluez vos principales parties prenantes. Identifiez et documentez les parties prenantes, les rôles affectés et les périmètres de propriété et de responsabilités qui permettent un déploiement efficace. Si les titres et les rôles diffèrent d’une organisation à l’autre, les périmètres de propriété sont en revanche similaires. Consultez le tableau suivant pour plus d’informations sur les rôles courants et influents qui affectent un plan de déploiement.

Rôle	Responsabilité
Commanditaire	Un haut responsable de l’entreprise qui a le pouvoir d’approuver ou d’affecter le budget et les ressources. Fait le lien entre les responsables et l’équipe de direction.
Utilisateurs finaux	Destinataires du service : peuvent participer à un programme pilote.
Responsable du support informatique	Fournit des informations sur la viabilité des modifications proposées.
Architecte d’identité	Définit les modalités d’alignement de la modification sur l’infrastructure de gestion des identités.
Propriétaire de l’application	Possède les applications concernées, ce qui peut inclure la gestion des accès. Fournit des informations sur l'expérience utilisateur.
Propriétaire de la sécurité	Vérifie que le plan de modification répond aux exigences de sécurité.
Compliance Manager	Garantit la conformité aux exigences de l’entreprise, de l’industrie ou du gouvernement.

RACI

Le modèle RACI (Responsible, Accountable, Consulted, and Informed) est un modèle de participation des différents rôles à la réalisation des tâches ou des produits livrables dans le cadre d’un projet ou d’un processus d’entreprise. Utilisez ce modèle pour vous assurer que les rôles au sein de votre organisation ont une bonne compréhension des responsabilités du déploiement.

• Réalisateur : personne responsable de la bonne exécution de la tâche.
  • Il existe au moins un rôle de réalisateur, mais vous pouvez faire participer d’autres personnes à la réalisation du travail.
• Approbateur : personne responsable en dernier ressort de la conformité et de la finalisation du livrable ou de la tâche. Le rôle de l’approbateur est de vérifier que les prérequis de la tâche sont réunis et de déléguer le travail aux rôles de réalisateur. L’approbateur approuve le travail fourni par le réalisateur. Nommez un approbateur pour chaque tâche ou livrable.
• Consulté : Le rôle de consultant consiste à fournir des conseils, généralement par l’intermédiaire d’un expert du domaine (SME).
• Informé : personne tenue informée de l’état d’avancement, généralement de la finalisation d’une tâche ou d’un livrable.

Déploiement de l’authentification

Appuyez-vous sur la liste suivante pour planifier le déploiement de l’authentification.

• Authentification multifacteur (MFA) Microsoft Entra : L’authentification multifacteur, qui utilise des méthodes d’authentification approuvées par l’administrateur, permet de protéger l’accès à vos données et applications tout en répondant à la demande d’une ouverture de session facile :

  • Consultez la vidéo Guide pratique pour configurer et appliquer l’authentification multifacteur dans votre locataire
  • Consultez Planifier un déploiement d’authentification multifacteur

• Accès conditionnel : mettez en œuvre des décisions de contrôle d’accès automatisées pour permettre à vos utilisateurs d’accéder à vos applications cloud sous différentes conditions :

  • Consultez Qu’est-ce que l’accès conditionnel ?
  • Cf. Planification du déploiement de l’accès conditionnel.

• Réinitialisation de mot de passe en libre-service (SSPR) Microsoft Entra : aide les utilisateurs à réinitialiser un mot de passe sans avoir besoin de l’intervention de l’administrateur :

  • Consultez Options d’authentification sans mot de passe pour Microsoft Entra ID

  • Consultez Planifier le déploiement de la réinitialisation de mot de passe en libre-service Microsoft Entra

• Authentification sans mot de passe : implémentez l’authentification sans mot de passe à l’aide de l’application Microsoft Authenticator ou de clés de sécurité FIDO2 :

  • Cf. Activation de la connexion sans mot de passe avec Microsoft Authenticator.
  • Consultez Planifier un déploiement d’authentification sans mot de passe dans Microsoft Entra ID

Applications et appareils

Appuyez-vous sur la liste suivante pour déployer des applications et des appareils.

• Authentification unique (SSO) : attribuez un accès utilisateur aux applications et ressources via une connexion unique, sans avoir à entrer de nouveau les informations d’identification :
  • Consultez Qu’est-ce que l’authentification unique dans Microsoft Entra ID ?
  • Cf. Planification du déploiement de l’authentification unique.
• Portail Mes applications : découvrez les applications et accédez-y. Favorisez la productivité des utilisateurs avec le libre-service, par exemple pour demander un accès à des groupes ou gérer l’accès à des ressources pour le compte d’autres utilisateurs.
  • Cf. Vue d’ensemble du portail Mes applications.
• Appareils : évaluez les méthodes d’intégration des appareils avec Microsoft Entra ID, choisissez le plan d’implémentation, etc.
  • Consultez Planifiez le déploiement de votre appareil Microsoft Entra

Scénarios hybrides

La liste suivante décrit des fonctionnalités et des services de scénarios hybrides.

• Services de fédération Active Directory (AD FS) : migrez l’authentification utilisateur de la fédération vers le cloud avec l’authentification directe ou la synchronisation de hachage de mot de passe :
  • Consultez Qu’est-ce que la fédération avec Microsoft Entra ID ?
  • Cf. Migration de la fédération à l’authentification cloud.
• Proxy d’application Microsoft Entra : favorisez la productivité des employés via un appareil. Découvrez les applications SaaS (software as a service) dans le cloud et les applications d’entreprise locales. Le proxy d’application Microsoft Entra permet l’accès sans réseaux privés virtuels (VPN) ni zones démilitarisées (DMZ) :
  • Consultez Accès à distance aux applications sur site via le proxy d'application Microsoft Entra
  • Consultez Planifier un déploiement de proxy d'application Microsoft Entra
• Authentification unique (SSO) transparente : utilisez l’authentification unique transparente pour la connexion utilisateur, sur les appareils d’entreprise connectés à un réseau d’entreprise. Les utilisateurs n’ont pas besoin de mots de passe pour se connecter à Microsoft Entra ID et n’ont généralement pas besoin d’entrer de noms d’utilisateur. Les utilisateurs autorisés accèdent aux applications cloud sans composants locaux supplémentaires :
  • Consultez Authentification unique Microsoft Entra : démarrage rapide
  • Consultez Authentification unique transparente de Microsoft Entra : présentation technique approfondie

Utilisateurs

• Identités utilisateur : découvrez l’automatisation pour créer, gérer et supprimer des identités utilisateur dans les applications cloud (par exemple Dropbox, Salesforce et ServiceNow).
  • Consultez Planification du déploiement de l’attribution automatique d’utilisateurs dans Microsoft Entra ID
• Gouvernance Microsoft Entra ID : établissez une gouvernance des identités et améliorez les processus métier qui reposent sur des données d’identité. Avec les produits RH, notamment Workday et Successfactors, gérez le cycle de vie des identités des employés et du personnel occasionnel avec des règles. Ces règles font correspondre les processus JML (Joiner-Mover-Leaver), notamment Nouvelle embauche, Licenciement et Transfert, à des actions informatiques comme Créer, Activer et Désactiver. Pour plus d’informations, consultez la section suivante.
  • Consultez Planifier l'application RH cloud pour l’approvisionnement des utilisateurs Microsoft Entra
• Microsoft Entra B2B Collaboration : améliorez la collaboration avec les utilisateurs externes grâce à un accès sécurisé aux applications :
  • Cf. Vue d’ensemble de B2B Collaboration.
  • Consultez Planifier un déploiement de collaboration B2B Microsoft Entra

Gouvernance et création de rapports d’identité

Gouvernance Microsoft Entra ID permet aux organisations d’améliorer la productivité, de renforcer la sécurité et de répondre plus facilement aux exigences réglementaires et de conformité. Utilisez Gouvernance Microsoft Entra ID pour vous assurer que les bonnes personnes disposent des droits d’accès appropriés aux ressources adéquates. Améliorez l’automatisation des processus d’identité et d’accès, la délégation aux groupes d’entreprises et la visibilité. Appuyez-vous sur la liste suivante pour en savoir plus sur la gouvernance et la création de rapports d’identité.

En savoir plus :

• Secure access for a connected world—meet Microsoft Entra

• Régir l’accès aux applications dans votre environnement

• Privileged Identity Management (PIM) : gérez les rôles d’administrateur privilégiés dans Microsoft Entra ID, les ressources Azure et d’autres services Microsoft Online Services. Utilisez-le pour l’accès juste-à-temps (JIT), les flux de travail d’approbation des demandes et les examens d’accès intégrés pour aider à prévenir les activités malveillantes :

  • Cf. Premiers pas avec Privileged Identity Management.
  • Cf. Planification du déploiement de Privileged Identity Management.

• Création de rapports et surveillance : la conception de la solution de création de rapports et de surveillance Microsoft Entra est soumise à des dépendances et à des contraintes concernant la réglementation, la sécurité, les opérations, l’environnement et les processus.

  • Consultez Dépendances de déploiement pour la création de rapports et la supervision Microsoft Entra

• Révisions d’accès : identifiez et gérez l’accès aux ressources :

  • Cf. Présentation des révisions d’accès.
  • Cf. Planification du déploiement des révisions d’accès Microsoft Entra.

Bonnes pratiques pour un pilote

Avant d’apporter une modification pour des groupes plus importants ou pour tout le monde, utilisez des pilotes pour effectuer des tests sur un petit groupe. Assurez-vous que chacun des cas d’utilisation de votre organisation est testé.

Pilote : Phase 1

Au cours de la première phase, ciblez le service informatique, la convivialité et d’autres utilisateurs en mesure d’effectuer des tests et de formuler des commentaires. Utilisez ces commentaires pour obtenir des informations sur les problèmes potentiels pour le personnel de support, et pour développer les communications et les instructions que vous envoyez à tous les utilisateurs.

Pilote : Phase 2

Étendez le pilote à des groupes d’utilisateurs plus importants en utilisant l’appartenance dynamique ou en ajoutant manuellement des utilisateurs aux groupes ciblés.

En savoir plus : Règles d’appartenance dynamique pour les groupes dans Microsoft Entra ID