plans de déploiement Microsoft Entra

Azure Active Directory est désormais Microsoft Entra ID, qui peut protéger votre organisation avec la gestion des identités et des accès cloud. Cette solution connecte les employés, les clients et les partenaires à leurs applications, appareils et données.

Utilisez les conseils de cet article pour vous aider à créer votre plan de déploiement Microsoft Entra ID. Découvrez les principes de base de la création d'un plan, puis utilisez les sections suivantes pour le déploiement de l'authentification, les applications et les appareils, les scénarios hybrides, l'identité utilisateur, etc.

Conseil / Astuce

Vous recherchez des diagrammes d’architecture et des architectures de référence ? Pour obtenir des diagrammes d’architecture détaillés, des topologies d’identité hybride et des conseils de conception, consultez :

• vue d’ensemble de l’architecture Microsoft Entra : conception de service, scalabilité et disponibilité
• Renforcer la résilience dans votre architecture hybride : diagrammes d’architecture pour PHS, PTA et Fédération
• Choisir la méthode d’authentification appropriée : arbre de décision d’authentification
• Identity et architecture de gestion des accès dans Azure : architectures de référence, implémentations de base et conseils de conception
• Options de résidence des données et de cloud souverain : emplacements de stockage de données et contraintes d’environnement

Parties prenantes et rôles

Lorsque vous commencez vos plans de déploiement, incluez vos principales parties prenantes. Identifiez et documentez les parties prenantes, les rôles affectés et les zones de propriété et de responsabilités qui permettent un déploiement efficace. Si les titres et les rôles diffèrent d'une organisation à l'autre, les zones de propriété, elles, sont similaires. Consultez le tableau suivant pour plus d'informations sur les rôles courants et influents qui affectent un plan de déploiement.

Role	Responsabilité
Commanditaire	Un dirigeant d'entreprise a le pouvoir d'approuver ou d'affecter un budget et des ressources. Fait le lien entre les responsables et l’équipe de direction.
Utilisateurs finaux	Destinataires du service : peuvent participer à un programme pilote.
Responsable du support informatique	Fournit des informations sur la viabilité des modifications proposées.
Architecte d'identité	Définit les modalités d’alignement de la modification sur l’infrastructure de gestion des identités.
Propriétaire de l’application	Possède les applications concernées (avec ou non gestion des accès). Fournit des informations sur l’expérience utilisateur.
Propriétaire de la sécurité	Vérifie que le plan de modification répond aux exigences de sécurité.
Responsable conformité	Garantit la conformité aux exigences de l’entreprise, de l’industrie ou du gouvernement.

RACI

Le modèle RACI (Responsible, Accountable, Consulted, and Informed) est un modèle en vue de la participation par différents rôles à la réalisation des tâches ou des produits livrables dans le cadre d'un projet ou d'un processus d'entreprise. Utilisez ce modèle pour vous assurer que les rôles au sein de votre organisation comprennent bien les responsabilités du déploiement.

• Responsable : personne tenue pour responsable de la bonne exécution de la tâche.
  • Il existe au moins un rôle de Responsable, même si vous pouvez déléguer à autrui la contribution à la réalisation de la tâche.
• Redevable : personne responsable en dernier ressort de l'exactitude et de l'accomplissement du livrable ou de la tâche. Le rôle Redevable est de vérifier que les prérequis de la tâche sont réunis et de déléguer le travail aux rôles de Responsable. Le Redevable approuve le travail fourni par le Responsable. Nommez un Redevable pour chaque tâche ou livrable.
• Consulté : Le rôle Consulté consiste à fournir des conseils, généralement par l'intermédiaire d'un expert en la matière (SME).
• Informé : personne tenue informée de l'état d'avancement, généralement de l'accomplissement d'une tâche ou d'un livrable.

Déploiement de l'authentification

Appuyez-vous sur la liste suivante pour planifier le déploiement de l’authentification.

• Microsoft Entra l’authentification multifacteur (MFA) : à l’aide de méthodes d’authentification approuvées par l’administrateur, l’authentification multifacteur permet de protéger l’accès à vos données et applications tout en répondant à la demande de connexion facile :

  • Regardez la vidéo Comment configurer et appliquer l'authentification multifacteur dans votre locataire.
  • Consultez Planifier un déploiement d'authentification multifacteur

• Accès conditionnel : mettez en œuvre des décisions automatisées de contrôle d'accès pour permettre à vos utilisateurs d'accéder à vos applications cloud, sous réserve de conditions :

  • Consultez Qu’est-ce que l’accès conditionnel ?
  • Cf. Planification du déploiement de l’accès conditionnel.

• Microsoft Entra réinitialisation de mot de passe en libre-service (SSPR) - Permettre aux utilisateurs de réinitialiser un mot de passe sans intervention de l’administrateur :

  • Consultez la méthode d’authentification Passkeys (FIDO2) dans Microsoft Entra ID

  • Consultez Planifiez un déploiement Microsoft Entra de réinitialisation de mot de passe en libre-service

• Authentification sans mot de passe - Implémenter l’authentification sans mot de passe à l’aide de l’application Microsoft Authenticator ou des clés de sécurité FIDO2 :

  • Voir Activer la connexion sans mot de passe avec Microsoft Authenticator
  • Consultez Planer un déploiement d’authentification sans mot de passe dans Microsoft Entra ID

Applications et appareils

Appuyez-vous sur la liste suivante pour déployer des applications et des appareils.

• Authentification unique (SSO) : attribuez un accès utilisateur aux applications et ressources via une connexion unique, sans avoir à entrer de nouveau les informations d'identification :
  • Voir, Quelle est l’authentification unique dans Microsoft Entra ID ?
  • Cf. Planification du déploiement de l’authentification unique.
• My Apps portail - Découvrir et accéder aux applications. Augmentez la productivité des utilisateurs grâce au libre-service, par exemple pour demander l'accès à des groupes ou gérer l'accès à des ressources pour le compte d'autres utilisateurs.
  • Consultez la vue d’ensemble du portail My Apps
• Devices : évaluez les méthodes d’intégration des appareils avec Microsoft Entra ID, choisissez le plan d’implémentation, etc.
  • Voir Planifiez le déploiement de vos appareils Microsoft Entra

Scénarios hybrides

Pour obtenir des diagrammes d’architecture et des modèles de résilience pour les déploiements d’identités hybrides, consultez Renforcez la résilience dans votre architecture hybride. Pour obtenir des architectures de référence complètes avec des diagrammes Visio téléchargeables, consultez Integrate on-premises Active Directory avec Microsoft Entra ID.

La liste suivante décrit des fonctionnalités et des services de scénarios hybrides.

• Active Directory Federation Services (AD FS) : migrez l’authentification utilisateur de la fédération vers le cloud avec l’authentification directe ou la synchronisation de hachage de mot de passe :
  • Consultez l'article Quelle est la fédération avec Microsoft Entra ID ?
  • Cf. Migration de la fédération à l’authentification cloud.
• Microsoft Entra proxy d’application : permettre aux employés d’être productifs depuis un appareil. Découvrez les applications SaaS (software as a service) dans le cloud et les applications d’entreprise locales. Microsoft Entra proxy d’application permet l’accès sans réseaux privés virtuels (VPN) ou zones démilitarisées (DMZ) :
  • Voir accès à distance aux applications sur site via le proxy d'application Microsoft Entra
  • Consultez Planer un déploiement de proxy d’application Microsoft Entra
• Authentification unique (SSO) transparente : utilisez l'authentification unique transparente pour la connexion utilisateur, sur des appareils d'entreprise connectés à un réseau d'entreprise. Les utilisateurs n'ont pas besoin de mots de passe pour se connecter à Microsoft Entra ID et n'ont généralement pas besoin d'entrer des noms d'utilisateur. Les utilisateurs autorisés accèdent aux applications cloud sans composants locaux supplémentaires :
  • Consultez Microsoft Entra SSO : Démarrage rapide
  • Découvrez Microsoft Entra l'authentification unique transparente : analyse approfondie technique

utilisateurs ;

• Identités utilisateur : découvrez l'automatisation pour créer, gérer et supprimer des identités utilisateur dans des applications cloud (par exemple Dropbox, Salesforce et ServiceNow).
  • Voir Planifier un déploiement d’approvisionnement automatique d’utilisateurs dans Microsoft Entra ID
• Microsoft Entra ID Governance : créez une gouvernance des identités et améliorez les processus métier qui s’appuient sur les données d’identité. Avec les produits RH, notamment Workday et Successfactors, gérez le cycle de vie des identités des employés et du personnel occasionnel avec des règles. Ces règles font correspondre les processus JML (Joiner-Mover-Leaver), notamment Nouvelle embauche, Licenciement et Transfert, à des actions informatiques comme Créer, Activer et Désactiver. Pour plus d'informations, reportez-vous à la section suivante.
  • Consultez Planifier une application RH cloud pour l'approvisionnement d'utilisateurs Microsoft Entra
• Microsoft Entra B2B Collaboration - Améliorez la collaboration des utilisateurs externes avec un accès sécurisé aux applications :
  • Cf. Vue d’ensemble de B2B Collaboration.
  • Consultez Planifier un déploiement de Microsoft Entra B2B Collaboration

Gouvernance et création de rapports d’identité

Microsoft Entra ID Governance permet aux organisations d’améliorer la productivité, de renforcer la sécurité et de répondre plus facilement aux exigences réglementaires et de conformité. Utilisez Microsoft Entra ID Governance pour vous assurer que les bonnes personnes ont le droit d’accéder aux ressources appropriées. Améliorez l'automatisation des processus d'identité et d'accès, la délégation aux groupes d'entreprises et la visibilité. Appuyez-vous sur la liste suivante pour en savoir plus sur la gouvernance et la création de rapports d’identité.

En savoir plus :

• Accès sécurisé pour un monde connecté : rencontrez Microsoft Entra

• Régir l'accès aux applications dans votre environnement

• Privileged Identity Management (PIM) : gérez les rôles d’administration privilégiés entre les Microsoft Entra ID, les ressources Azure et d’autres Microsoft online services. Utilisez cette fonction pour l'accès juste-à-temps, les workflows d'approbation de demande et les révisions d'accès entièrement intégrées afin d'empêcher les activités malveillantes :

  • Consultez Commencez à utiliser Privileged Identity Management
  • Consultez Planifier le déploiement de la gestion des identités privilégiées

• Rapports et surveillance - La solution de rapports et de surveillance Microsoft Entra comporte des dépendances et des contraintes : juridique, sécurité, opérations, environnement et processus.

  • Consultez Dépendances de déploiement pour la création de rapports et la surveillance Microsoft Entra

• Révisions d'accès : comprenez et gérez l'accès aux ressources :

  • Cf. Présentation des révisions d’accès.
  • Cf. Planification du déploiement des révisions d’accès Microsoft Entra.

Bonnes pratiques pour un pilote

Avant d'apporter un changement à de grands groupes ou à tout le monde, utilisez des pilotes pour effectuer des tests sur un petit groupe. Assurez-vous que chacun des cas d’utilisation de votre organisation est testé.

Pilote : Phase 1

Au cours de la première phase, ciblez le service informatique, la convivialité et d’autres utilisateurs en mesure d’effectuer des tests et de formuler des commentaires. Utilisez ces commentaires pour obtenir des informations sur les problèmes potentiels pour le personnel de support, et pour développer les communications et les instructions que vous envoyez à tous les utilisateurs.

Pilote : Phase 2

Étendez le pilote à de plus grands groupes d'utilisateurs en utilisant l'appartenance dynamique ou en ajoutant manuellement des utilisateurs aux groupes ciblés.

En savoir plus : des règles d’appartenance dynamiques pour les groupes dans Microsoft Entra ID