Plans de déploiement Microsoft Entra

Azure Active Directory s'appelle désormais Microsoft Entra ID, qui peut sécuriser votre organisation grâce à la gestion des identités et des accès cloud. Cette solution connecte les employés, les clients et les partenaires à leurs applications, appareils et données.

Suivez les conseils de cet article pour créer votre plan de déploiement de Microsoft Entra ID. Découvrez les principes de base de la création d'un plan, puis utilisez les sections suivantes pour le déploiement de l'authentification, les applications et les appareils, les scénarios hybrides, l'identité utilisateur, etc.

Parties prenantes et rôles

Lorsque vous commencez vos plans de déploiement, incluez vos principales parties prenantes. Identifiez et documentez les parties prenantes, les rôles affectés et les zones de propriété et de responsabilités qui permettent un déploiement efficace. Si les titres et les rôles diffèrent d'une organisation à l'autre, les zones de propriété, elles, sont similaires. Consultez le tableau suivant pour plus d'informations sur les rôles courants et influents qui affectent un plan de déploiement.

Role	Responsabilité
Commanditaire	Un dirigeant d'entreprise a le pouvoir d'approuver ou d'affecter un budget et des ressources. Fait le lien entre les responsables et l’équipe de direction.
Utilisateurs finaux	Destinataires du service : peuvent participer à un programme pilote.
Responsable du support informatique	Fournit des informations sur la viabilité des modifications proposées.
Architecte d'identité	Définit les modalités d’alignement de la modification sur l’infrastructure de gestion des identités.
Propriétaire de l’application	Possède les applications concernées (avec ou non gestion des accès). Fournit des informations sur l’expérience utilisateur.
Propriétaire de la sécurité	Vérifie que le plan de modification répond aux exigences de sécurité.
Responsable conformité	Garantit la conformité aux exigences de l’entreprise, de l’industrie ou du gouvernement.

RACI

Le modèle RACI (Responsible, Accountable, Consulted, and Informed) est un modèle en vue de la participation par différents rôles à la réalisation des tâches ou des produits livrables dans le cadre d'un projet ou d'un processus d'entreprise. Utilisez ce modèle pour vous assurer que les rôles au sein de votre organisation comprennent bien les responsabilités du déploiement.

• Responsable : personne tenue pour responsable de la bonne exécution de la tâche.
  • Il existe au moins un rôle de Responsable, même si vous pouvez déléguer à autrui la contribution à la réalisation de la tâche.
• Redevable : personne responsable en dernier ressort de l'exactitude et de l'accomplissement du livrable ou de la tâche. Le rôle Redevable est de vérifier que les prérequis de la tâche sont réunis et de déléguer le travail aux rôles de Responsable. Le Redevable approuve le travail fourni par le Responsable. Nommez un Redevable pour chaque tâche ou livrable.
• Consulté : Le rôle Consulté consiste à fournir des conseils, généralement par l'intermédiaire d'un expert en la matière (SME).
• Informé : personne tenue informée de l'état d'avancement, généralement de l'accomplissement d'une tâche ou d'un livrable.

Déploiement de l'authentification

Appuyez-vous sur la liste suivante pour planifier le déploiement de l’authentification.

• Authentification multifacteur (MFA) Microsoft Entra : L'authentification multifacteur, qui utilise des méthodes d'authentification approuvées par l'administrateur, permet de protéger l'accès à vos données et applications tout en répondant à la nécessité d'une connexion facile :

  • Regardez la vidéo Comment configurer et appliquer l'authentification multifacteur dans votre locataire.
  • Consultez Planifier un déploiement d'authentification multifacteur

• Accès conditionnel : mettez en œuvre des décisions automatisées de contrôle d'accès pour permettre à vos utilisateurs d'accéder à vos applications cloud, sous réserve de conditions :

  • Consultez Qu’est-ce que l’accès conditionnel ?
  • Cf. Planification du déploiement de l’accès conditionnel.

• Réinitialisation de mot de passe en libre-service (SSPR) Microsoft Entra : aidez les utilisateurs à réinitialiser un mot de passe sans intervention de l'administrateur :

  • Consultez Options d'authentification sans mot de passe pour Microsoft Entra ID

  • Consultez Planifier le déploiement de la réinitialisation de mot de passe en libre-service Microsoft Entra

• Authentification sans mot de passe : implémentez l'authentification sans mot de passe à l'aide de l'application Microsoft Authenticator ou de clés de sécurité FIDO2 :

  • Cf. Activation de la connexion sans mot de passe avec Microsoft Authenticator.
  • Consultez Planifier un déploiement d'authentification sans mot de passe dans Microsoft Entra ID

Applications et appareils

Appuyez-vous sur la liste suivante pour déployer des applications et des appareils.

• Authentification unique (SSO) : attribuez un accès utilisateur aux applications et ressources via une connexion unique, sans avoir à entrer de nouveau les informations d'identification :
  • Consultez Qu'est-ce que l'ID externe Microsoft Entra ?
  • Cf. Planification du déploiement de l’authentification unique.
• Portail Mes applications : découvrez les applications et accédez-y. Augmentez la productivité des utilisateurs grâce au libre-service, par exemple pour demander l'accès à des groupes ou gérer l'accès à des ressources pour le compte d'autres utilisateurs.
  • Cf. Vue d’ensemble du portail Mes applications.
• Appareils : évaluez les méthodes d'intégration des appareils avec Microsoft Entra ID, choisissez le plan d'implémentation, etc.
  • Consultez Planifier le déploiement de votre appareil Microsoft Entra

Scénarios hybrides

La liste suivante décrit des fonctionnalités et des services de scénarios hybrides.

• Services de fédération Active Directory (AD FS) : migrez l'authentification utilisateur de la fédération vers le cloud avec l'authentification directe ou la synchronisation de hachage de mot de passe :
  • Consultez Qu'est-ce que la fédération avec Microsoft Entra ID ?
  • Cf. Migration de la fédération à l’authentification cloud.
• Proxy d'application Microsoft Entra : favorisez la productivité des employés via un appareil. Découvrez les applications SaaS (software as a service) dans le cloud et les applications d’entreprise locales. Le Proxy d'application Microsoft Entra permet un accès sans réseaux privés virtuels (VPN) ni zones démilitarisées (DMZ) :
  • Consultez Accès à distance aux applications sur site via le proxy d'application Microsoft Entra
  • Consultez Planifier un déploiement de proxy d'application Microsoft Entra
• Authentification unique (SSO) transparente : utilisez l'authentification unique transparente pour la connexion utilisateur, sur des appareils d'entreprise connectés à un réseau d'entreprise. Pour se connecter à Microsoft Entra ID, les utilisateurs n'ont pas besoin d'entrer leur mot de passe, ni en général leur nom d'utilisateur. Les utilisateurs autorisés accèdent aux applications cloud sans composants locaux supplémentaires :
  • Consultez Authentification unique Microsoft Entra : démarrage rapide
  • Consultez Authentification unique transparente de Microsoft Entra : présentation technique approfondie

utilisateurs ;

• Identités utilisateur : découvrez l'automatisation pour créer, gérer et supprimer des identités utilisateur dans des applications cloud (par exemple Dropbox, Salesforce et ServiceNow).
  • Consultez Planifier un déploiement d'attribution automatique d'utilisateurs dans Microsoft Entra ID
• Gouvernance de Microsoft Entra ID : établissez une gouvernance des identités et améliorez les processus métier qui s'appuient sur des données d'identité. Avec les produits RH, notamment Workday et Successfactors, gérez le cycle de vie des identités des employés et du personnel occasionnel avec des règles. Ces règles font correspondre les processus JML (Joiner-Mover-Leaver), notamment Nouvelle embauche, Licenciement et Transfert, à des actions informatiques comme Créer, Activer et Désactiver. Pour plus d'informations, reportez-vous à la section suivante.
  • Consultez Planifier une application RH cloud pour l'approvisionnement d'utilisateurs Microsoft Entra
• B2B Collaboration Microsoft Entra : améliorez la collaboration avec les utilisateurs externes grâce à un accès sécurisé aux applications :
  • Cf. Vue d’ensemble de B2B Collaboration.
  • Consultez Planifier un déploiement de Collaboration B2B Microsoft Entra

Gouvernance et création de rapports d’identité

La gouvernance Microsoft Entra ID permet aux organisations d'améliorer la productivité, de renforcer la sécurité et de répondre plus facilement aux exigences réglementaires et de conformité. Utilisez le service Gouvernance Microsoft Entra ID pour vous assurer que les bonnes personnes disposent des droits d'accès appropriés aux ressources adéquates. Améliorez l'automatisation des processus d'identité et d'accès, la délégation aux groupes d'entreprises et la visibilité. Appuyez-vous sur la liste suivante pour en savoir plus sur la gouvernance et la création de rapports d’identité.

En savoir plus :

• Accès sécurisé pour un monde connecté : rencontrez Microsoft Entra

• Régir l'accès aux applications dans votre environnement

• Privileged Identity Management (PIM) : gérez les rôles d'administrateur privilégiés dans Microsoft Entra ID, les ressources Azure et d'autres services en ligne de Microsoft. Utilisez cette fonction pour l'accès juste-à-temps, les workflows d'approbation de demande et les révisions d'accès entièrement intégrées afin d'empêcher les activités malveillantes :

  • Cf. Premiers pas avec Privileged Identity Management.
  • Cf. Planification du déploiement de Privileged Identity Management.

• Création de rapports et surveillance : la conception de la solution de création de rapports et de surveillance Microsoft Entra est soumise à des dépendances et à des contraintes concernant la réglementation, la sécurité, les opérations, l'environnement et les processus.

  • Consultez Dépendances de déploiement pour la création de rapports et la surveillance Microsoft Entra

• Révisions d'accès : comprenez et gérez l'accès aux ressources :

  • Cf. Présentation des révisions d’accès.
  • Cf. Planification du déploiement des révisions d’accès Microsoft Entra.

Bonnes pratiques pour un pilote

Avant d'apporter un changement à de grands groupes ou à tout le monde, utilisez des pilotes pour effectuer des tests sur un petit groupe. Assurez-vous que chacun des cas d’utilisation de votre organisation est testé.

Pilote : Phase 1

Au cours de la première phase, ciblez le service informatique, la convivialité et d’autres utilisateurs en mesure d’effectuer des tests et de formuler des commentaires. Utilisez ces commentaires pour obtenir des informations sur les problèmes potentiels pour le personnel de support, et pour développer les communications et les instructions que vous envoyez à tous les utilisateurs.

Pilote : Phase 2

Étendez le pilote à de plus grands groupes d'utilisateurs en utilisant l'appartenance dynamique ou en ajoutant manuellement des utilisateurs aux groupes ciblés.

En savoir plus : Règles d'appartenance dynamique pour les groupes dans Microsoft Entra ID