Identité hybride avec Active Directory et Microsoft Entra ID dans les zones d’atterrissage Azure
Cet article fournit des conseils sur la manière de concevoir et de mettre en œuvre Microsoft Entra ID et l’identité hybride pour les zones d’atterrissage Azure.
Les organisations opérant dans le cloud nécessitent un service de répertoire pour gérer les identités des utilisateurs et l’accès aux ressources. Microsoft Entra ID est un service d’identité et de gestion des accès basé sur le cloud qui offre des capacités robustes pour gérer les utilisateurs et les groupes. Vous pouvez l’utiliser comme une solution d’identité autonome, ou l’intégrer à une infrastructure de Services de domaine Microsoft Entra ou à une infrastructure de Services de domaine Active Directory (AD DS) local.
Microsoft Entra ID fournit une gestion moderne et sécurisée de l’identité et des accès adaptée à de nombreuses organisations et charges de travail, et est au cœur des services Azure et Microsoft 365. Si votre organisation dispose d’une infrastructure AD DS sur site, vos charges de travail basées dans le cloud peuvent nécessiter une synchronisation de l’annuaire avec Microsoft Entra ID pour un ensemble cohérent d’identités, de groupes et de rôles entre vos environnements sur site et dans le cloud. Ou si vous avez des applications qui dépendent de mécanismes d’authentification hérités, vous pourriez devoir déployer des Services de domaine gérés dans le cloud.
La gestion des identités basée sur le cloud est un processus itératif. Vous pourriez commencer avec une solution native du cloud avec un petit ensemble d’utilisateurs et de rôles correspondants pour un déploiement initial, et à mesure que votre migration se précise, vous pourriez avoir besoin d’intégrer votre solution d’identité en utilisant la synchronisation de répertoire ou ajouter des services de domaine hébergés dans le cloud dans le cadre de vos déploiements dans le cloud.
Avec le temps, réexaminez votre solution d’identité en fonction des exigences d’authentification de votre charge de travail et d’autres besoins, tels que les changements dans votre stratégie d’identité organisationnelle et les exigences de sécurité, ou l’intégration avec d’autres services d’annuaire. Lorsque vous évaluez les solutions Active Directory, comprenez les différences entre Microsoft Entra ID, les Services de domaine et AD DS sur Windows Server.
Pour obtenir de l’aide sur votre stratégie d’identité, consultez le guide de décision sur l’identité.
Services de gestion de l’identité et des accès dans les zones d’atterrissage Azure
L’équipe de plate-forme est responsable de l’administration de l’identité et de la gestion des accès. Les services de gestion de l’identité et des accès sont fondamentaux pour la sécurité organisationnelle. Les organisations peuvent utiliser Microsoft Entra ID pour protéger les ressources de la plate-forme en contrôlant l’accès administratif. Cette approche empêche les utilisateurs extérieurs à l’équipe de plate-forme de modifier la configuration ou les principaux de sécurité contenus dans Microsoft Entra ID.
Les organisations qui utilisent AD DS ou les Services de domaine doivent également protéger les contrôleurs de domaine contre l’accès non autorisé. Les contrôleurs de domaine sont des cibles particulièrement attrayantes pour les attaquants et doivent avoir des contrôles de sécurité stricts et une ségrégation des charges de travail des applications.
Les contrôleurs de domaine et les composants associés, tels que les serveurs Microsoft Entra ID Connect, sont déployés dans l’abonnement Identité, qui se trouve dans le groupe de gestion de plate-forme. Les contrôleurs de domaine ne sont pas délégués aux équipes d’application. En fournissant cette isolation, les propriétaires d’application peuvent consommer les services d’identité sans avoir à les gérer, et le risque que les services de gestion de l’identité et des accès soient compromis est réduit. Les ressources dans l’abonnement de la plate-forme Identité sont un point critique de sécurité pour vos environnements cloud et sur site.
Les zones d’atterrissage doivent être approvisionnées pour que les propriétaires d’application puissent utiliser Microsoft Entra ID ou AD DS et les Services de domaine, selon les besoins de leurs charges de travail. Selon la solution d’identité que vous utilisez, vous pourriez avoir besoin de configurer d’autres services au besoin. Par exemple, vous pourriez avoir besoin d’activer et de sécuriser la connectivité réseau au réseau virtuel Identité. Si vous utilisez un processus de fourniture d’abonnement, incluez ces informations de configuration dans votre demande d’abonnement.
Domaines Azure et sur site (identité hybride)
Les objets utilisateur créés entièrement dans Microsoft Entra ID sont connus comme les comptes pour le cloud seulement. Ils prennent en charge l’authentification moderne et l’accès aux ressources Azure et Microsoft 365, et l’accès pour les appareils locaux utilisant Windows 10 ou Windows 11.
Cependant, de nombreuses organisations ont déjà des annuaires AD DS de longue date qui pourraient être intégrés à d’autres systèmes, tels que les applications métier ou la planification des ressources d’entreprise (ERP) via le protocole d’accès à l’annuaire léger (LDAP). Ces domaines peuvent avoir de nombreux ordinateurs et applications joints au domaine qui utilisent les protocoles Kerberos ou NTLMv2 plus anciens pour l’authentification. Dans ces environnements, vous pouvez synchroniser les objets utilisateur avec Microsoft Entra ID afin que les utilisateurs puissent se connecter à la fois aux systèmes sur site et aux ressources cloud avec une identité unique. Unir les services d’annuaire sur site et dans le cloud est connu sous le nom identité hybride. Vous pouvez étendre les domaines sur site dans les zones d’atterrissage Azure :
Pour maintenir un seul objet utilisateur dans les environnements cloud et sur site, vous pouvez synchroniser les utilisateurs de domaine AD DS avec Microsoft Entra ID via Microsoft Entra Connect ou Microsoft Entra Connect Sync. Pour déterminer la configuration recommandée pour votre environnement, veuillez consulter les Topologies pour Microsoft Entra Connect.
Pour joindre des VM Windows et d’autres services au domaine, vous pouvez déployer des contrôleurs de domaine AD DS ou des Services de domaine dans Azure. Avec cette approche, les utilisateurs AD DS peuvent se connecter à des serveurs Windows, à des partages de fichiers Azure et à d’autres ressources utilisant Active Directory comme source d’authentification. Vous pouvez également utiliser d’autres technologies Active Directory, telles que la stratégie de groupe. Pour plus d’informations, veuillez consulter les Scénarios de déploiement courants pour les Services de domaine Microsoft Entra.
Recommandations d’identité hybride
Vous pourriez utiliser les Services de domaine pour les applications qui s’appuient sur des services de domaine et utilisent des protocoles plus anciens. Parfois, les domaines AD DS existants prennent en charge la compatibilité ascendante et permettent des protocoles hérités, ce qui peut affecter négativement la sécurité. Plutôt que d’étendre un domaine sur site, envisagez d’utiliser les Services de domaine pour créer un nouveau domaine qui n’autorise pas les protocoles hérités, et utilisez-le comme service d’annuaire pour les applications hébergées dans le cloud.
Évaluez les exigences de votre solution d’identité en comprenant et en documentant le fournisseur d’authentification que chaque application utilise. Prenez en compte les avis pour aider à planifier le type de service que votre organisation devrait utiliser. Pour plus d’informations, consultez Comparer Active Directory à Microsoft Entra ID et le Guide de décision pour l’identité..
Évaluez les scénarios impliquant la configuration d’utilisateurs externes, de clients ou de partenaires afin qu’ils puissent accéder aux ressources. Déterminez si ces scénarios impliquent Microsoft Entra B2B ou Microsoft Entra Identité Externe pour les clients. Pour plus d’informations, consultez la Microsoft Entra External ID.
N’utilisez pas le proxy d’application Microsoft Entra pour l’accès intranet car cela ajoute de la latence à l’expérience utilisateur. Pour plus d’informations, veuillez consulter la Planification du proxy d’application Microsoft Entra et les Considérations de sécurité du proxy d’application Microsoft Entra.
Considérez diverses méthodes que vous pouvez utiliser pour Intégrer Active Directory sur site avec Azure afin de répondre aux exigences organisationnelles.
Vous pouvez utiliser une synchronisation de hachage du mot de passe en tant que sauvegarde si vous utilisez les services de fédération Active Directory (AD FS) avec Microsoft Entra ID. AD FS ne prend pas en charge la connexion unique (SSO) transparente de Microsoft Entra.
Déterminez l’outil de synchronisation approprié pour votre identité dans le cloud.
Si vous avez des exigences pour utiliser AD FS, veuillez consulter la rubrique Déployer AD FS dans Azure.
Important
Nous recommandons fortement de migrer vers Microsoft Entra ID à moins qu’il n’y ait une exigence spécifique pour utiliser AD FS. Pour plus d’informations, veuillez consulter les ressources pour le déclassement d’AD FS et la migration d’AD FS vers Microsoft Entra ID.
Microsoft Entra ID, Services de domaine et AD DS
Les administrateurs doivent se familiariser avec les options pour mettre en œuvre les services d’annuaire Microsoft :
Vous pouvez déployer des contrôleurs de domaine AD DS dans Azure comme machines virtuelles (VM) Windows sur lesquelles les administrateurs de plate-forme ou d’identité ont un contrôle total. Cette approche est une solution d’infrastructure en tant que service (IaaS). Vous pouvez joindre les contrôleurs de domaine à un domaine Active Directory existant, ou vous pouvez héberger un nouveau domaine qui a une relation de confiance optionnelle avec les domaines locaux existants. Pour plus d’informations, veuillez consulter l’architecture de base des machines virtuelles Azure dans une zone d’atterrissage Azure.
Les Services de domaine sont un service géré par Azure que vous pouvez utiliser pour créer un nouveau domaine Active Directory géré hébergé dans Azure. Le domaine peut avoir une relation de confiance avec les domaines existants et peut synchroniser les identités à partir de Microsoft Entra ID. Les administrateurs n’ont pas d’accès direct aux contrôleurs de domaine et ne sont pas responsables des opérations de maintenance et de mise à jour.
Lorsque vous déployez les Services de domaine ou intégrez des environnements sur site dans Azure, utilisez des emplacements avec des zones de disponibilité pour une disponibilité accrue.
Après la configuration d’AD DS ou des Services de domaine, vous pouvez joindre au domaine des VM Azure et des partages de fichiers en utilisant la même méthode que pour les ordinateurs locaux. Pour plus d’informations, veuillez consulter la rubrique Comparer les services basés sur l’annuaire de Microsoft.
Recommandations pour Microsoft Entra ID et AD DS
Pour accéder à distance via Microsoft Entra ID à des applications utilisant l’authentification sur site, utilisez le proxy d’application Microsoft Entra. Cette fonctionnalité offre un accès à distance sécurisé aux applications web sur site. Elle ne nécessite pas de VPN ni de modifications de l’infrastructure réseau. Cependant, elle est déployée comme une instance unique dans Microsoft Entra ID, donc les propriétaires d’applications et les équipes de plate-forme ou d’identité doivent collaborer pour s’assurer que l’application est correctement configurée.
Évaluez la compatibilité des charges de travail pour AD DS sur Windows Server et les Services de domaine. Pour plus d’informations, consultez les cas d’utilisation et scénarios usuels.
Déployez des VM de contrôleurs de domaine ou des ensembles de réplicas des Services de domaine dans l’abonnement de la plate-forme Identité au sein du groupe de gestion de la plate-forme.
Sécurisez le réseau virtuel contenant les contrôleurs de domaine. Prévenez la connectivité internet directe vers et depuis ces systèmes en plaçant les serveurs AD DS dans un sous-réseau isolé avec un groupe de sécurité réseau (NSG), fournissant une fonctionnalité de pare-feu. Les ressources qui utilisent les contrôleurs de domaine pour l’authentification doivent avoir une route réseau vers le sous-réseau du contrôleur de domaine. Activez uniquement une route réseau pour les applications nécessitant un accès aux services dans l’abonnement Identité. Pour plus d’informations, consultez Déployer AD DS dans un réseau virtuel Azure.
Dans une organisation multi-régionale, déployez les Services de domaine dans la région qui héberge les composants principaux de la plate-forme. Vous pouvez déployer les Services de domaine dans un seul abonnement. Vous pouvez étendre les Services de domaine à d’autres régions en ajoutant jusqu’à quatre ensembles de réplicas supplémentaires dans des réseaux virtuels séparés qui sont reliés au réseau virtuel principal. Pour minimiser la latence, gardez vos applications principales proches de, ou dans la même région que, le réseau virtuel de vos ensembles de réplicas.
Lorsque vous déployez des contrôleurs de domaine AD DS dans Azure, déployez-les à travers des zones de disponibilité pour une résilience accrue. Pour plus d’informations, veuillez consulter les rubriques Créer des VM dans des zones de disponibilité et Migrer des VM vers des zones de disponibilité.
L’authentification peut se produire dans le cloud et localement, ou localement uniquement. Dans le cadre de votre planification d’identité, consultez les méthodes d’authentification pour Microsoft Entra ID.
Si un utilisateur Windows nécessite Kerberos pour les partages de fichiers Azure Files, envisagez d’utiliser l’authentification Kerberos pour Microsoft Entra ID plutôt que de déployer des contrôleurs de domaine dans le cloud.
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour