Qu’est-ce qu’un annuaire Azure AD ?

Mise à jour : 6 juillet 2015

S’applique à : Azure, Office 365, Windows Intune

Notes

Cette rubrique fournit du contenu d’aide en ligne pour les services cloud, tels que Microsoft Intune et Office 365, qui reposent sur Microsoft Azure Active Directory pour les services d’identité et d’annuaire.

Cette rubrique décrit des concepts et tâches importants relatifs à la gestion des annuaires Azure AD, et comprend les sections suivantes :

• Qu’est-ce qu’un locataire Azure AD ?

• Obtention d'un annuaire Azure AD

  • Association d’un annuaire Azure AD à un abonnement Azure

  • Créer un annuaire Azure AD en s'inscrivant à un service en tant qu'entreprise

  • Gestion d’un annuaire par défaut fourni par Azure

• Ajouter et gérer plusieurs annuaires Azure AD

• Supprimer un annuaire Azure AD

  • Conditions qui doivent être remplies pour supprimer un annuaire Azure AD

Qu’est-ce qu’un locataire Azure AD ?

Dans le monde réel, le terme « client » peut être défini comme un groupe ou une société qui occupe un immeuble. Par exemple, votre organisation possède probablement des bureaux dans un immeuble. Cet immeuble se trouve peut-être dans une rue, entouré de nombreuses autres organisations. Votre organisation est dans ce cas considérée comme l’occupant des lieux. Cet immeuble est un actif de votre organisation qui vous permet d’exercer votre activité en toute sécurité. Il définit les limites entre votre entreprise et les autres entreprises de votre rue. Autrement dit, il vous permet d’isoler votre organisation et ses actifs des autres organisations.

Dans le contexte du cloud, un client peut être défini comme un client ou une organisation qui possède et gère une instance spécifique de ce service cloud. Avec la plateforme d’identité fournie par Microsoft Azure, un client consiste simplement en une instance dédiée d’Azure Active Directory (Azure AD) que votre organisation reçoit et possède quand elle s’inscrit à un service cloud Microsoft tel qu’Azure ou Office 365.

Chaque annuaire Azure AD est distinct et indépendant des autres annuaires Azure AD. De la même manière qu’un immeuble de bureaux d’entreprise est un élément d’actif sûr propre à votre organisation, un annuaire Azure AD est également conçu pour être un élément d’actif sûr pour les seuls besoins de votre organisation. Par son architecture, Azure AD isole les données et les informations d’identité des clients, ce qui évite tout risque de brassage. Autrement dit, les utilisateurs et les administrateurs d’un annuaire Azure AD ne peuvent pas accéder aux données d’un autre annuaire par accident ou malveillance.

Obtention d'un annuaire Azure AD

Pour obtenir un annuaire Azure AD, il vous suffit de vous inscrire à un service cloud Microsoft. Vous pouvez créer des annuaires supplémentaires en fonction des besoins. Par exemple, vous pouvez mettre à jour votre premier annuaire en tant qu’annuaire de production, puis créer un autre annuaire pour les tests ou l’environnement intermédiaire.

Notes

Une fois inscrit au premier service, nous vous recommandons d’utiliser le compte d’administrateur associé à votre organisation au moment de vous inscrire à d’autres services cloud Microsoft. Pour plus d’informations sur les ID d’utilisateur, consultez Qu’est-ce que mon ID d’utilisateur et pourquoi ai-je besoin de celui-ci ?.

La première fois que vous vous inscrivez à un service cloud Microsoft tel qu’Azure, Microsoft Office 365 ou Microsoft Intune, vous êtes invité à fournir des détails sur votre organisation et l’inscription de noms de domaine Internet de votre organisation. C’est sur la base de ces informations qu’est créée une nouvelle instance d’annuaire Azure AD pour votre organisation. Ce même annuaire sert à authentifier les tentatives de connexion quand vous vous abonnez à plusieurs services cloud Microsoft.

Les services supplémentaires tirent pleinement parti de tous les comptes d’utilisateur, stratégies, paramètres ou intégration d’annuaires locaux que vous configurez pour améliorer l’efficacité entre l’infrastructure d’identité de votre organisation localement et Azure AD.

Par exemple, si vous avez initialement souscrit un abonnement Microsoft Intune et exécuté les étapes nécessaires pour mieux intégrer votre service Active Directory local à votre annuaire Azure AD en déployant la synchronisation d’annuaires et/ou des serveurs d’authentification unique, vous pouvez vous inscrire à un autre service cloud Microsoft comme Office 365, qui peut également bénéficier des mêmes avantages liés à l’intégration d’annuaire que ceux dont vous bénéficiez actuellement avec Microsoft Intune.

Pour plus d’informations sur l’intégration de votre annuaire local à Azure AD, consultez la rubrique Intégration d’annuaire.

Association d’un annuaire Azure AD à un abonnement Azure

Vous pouvez associer un nouvel abonnement Azure au même annuaire qui authentifie les connexions pour un abonnement Office 365 ou Microsoft Intune existant. Connectez-vous au portail de gestion Azure à l’aide de votre compte professionnel ou scolaire. Le portail de gestion Azure vous renvoie un message pour indiquer qu'il n'a trouvé aucun abonnement pour ce compte. Sélectionnez S’inscrire à Azure, et votre annuaire sera disponible pour l’administration dans le portail de gestion Azure. Pour plus d’informations, consultez la rubrique Gestion de l’annuaire associé à votre abonnement Office 365 dans Azure.

Pour visualiser une vidéo qui traite de questions courantes sur l’utilisation d’Azure AD, consultez la rubrique Azure Active Directory - Questions courantes sur l’inscription, la connexion et l’utilisation.

Créer un annuaire Azure AD en s'inscrivant à un service en tant qu'entreprise

Si vous n’êtes pas encore abonné à un service cloud Microsoft, cliquez sur l’un des liens ci-dessous pour vous inscrire. Un annuaire Azure AD est créé automatiquement dès votre inscription à un premier service.

• Azure - Inscrivez-vous maintenant.

• Office 365 : inscrivez-vous maintenant.

• - Microsoft Intune Signer maintenant.

Gestion d’un annuaire par défaut fourni par Azure

Aujourd’hui, un annuaire est créé automatiquement quand vous vous inscrivez à Azure et que votre abonnement est associé à cet annuaire. Mais, si vous vous êtes inscrit à Azure avant octobre 2013, un annuaire n’a pas été créé automatiquement. Dans ce cas, Azure peut avoir « remblayé » votre compte en configurant un annuaire par défaut pour ce dernier. Dans ce cas, votre abonnement a été associé à cet annuaire par défaut.

Ce processus a été instauré en octobre 2013 dans le cadre d’une amélioration globale du modèle de sécurité pour Azure. Il permet d’offrir des fonctionnalités d’identité professionnelle à tous les clients Azure, et garantit que toutes les ressources Azure sont accessibles uniquement aux utilisateurs figurant dans l’annuaire. Vous ne pouvez pas utiliser Azure sans annuaire. Pour cela, tout utilisateur s’étant inscrit avant le 7 juillet 2013 mais ne disposant pas d’annuaire devait en créer un. Si vous aviez déjà créé un annuaire, votre abonnement était associé à celui-ci.

L’utilisation d’Azure AD est gratuite. L’annuaire est une ressource gratuite. Il existe un niveau de Azure Active Directory Premium supplémentaire qui est concédé sous licence séparément et fournit des fonctionnalités supplémentaires telles que la personnalisation de l’entreprise et la réinitialisation de mot de passe en libre-service.

Pour modifier le nom complet de votre annuaire, cliquez sur celui-ci dans le portail de gestion, puis cliquez sur Configurer. Comme expliqué plus loin dans cette rubrique, vous pouvez ajouter ou supprimer un annuaire. Pour associer votre abonnement à un autre annuaire, cliquez sur Paramètres>Subscriptions>Modifier l’annuaire. Vous pouvez également créer un domaine personnalisé à l’aide d’un nom DNS que vous avez enregistré à la place du domaine par défaut *.onmicrosoft.com, ce qui peut être préférable avec un service tel que SharePoint Online.

Pour plus d’informations sur la gestion de votre annuaire, l’administration de votre annuaire Azure AD.

Ajouter et gérer plusieurs annuaires Azure AD

Vous pouvez ajouter un annuaire Azure AD dans le portail de gestion Azure. Sélectionnez l'extension Active Directory à gauche et cliquez sur Ajouter.

Vous pouvez gérer chaque annuaire comme une ressource entièrement indépendante : chaque annuaire est un homologue complet et logiquement indépendant des autres annuaires que vous gérez ; il n’existe aucune relation parent-enfant entre les annuaires. Cette indépendance entre les annuaires vaut pour les ressources, l’administration et la synchronisation.

• Indépendance des ressources. Si vous créez ou supprimez une ressource dans un annuaire, cela n’a aucun effet sur les ressources d’un autre annuaire, si l’on excepte le cas des utilisateurs externes, comme décrit ci-dessous. Si vous utilisez un domaine personnalisé (par exemple, « contoso.com ») pour un annuaire, il ne peut être utilisé avec aucun autre annuaire.

• Indépendance de l'administration. Si un utilisateur non administrateur de l’annuaire « Contoso » crée l’annuaire de test « Test », alors :

  • Par défaut, l’utilisateur qui crée un annuaire est ajouté comme utilisateur externe dans le nouvel annuaire et se voit attribuer rôle d’administrateur global dans cet annuaire.

  • Les administrateurs de l’annuaire « Contoso » n’ont pas de privilèges d’administration directs sur l’annuaire « Test », à moins qu’un administrateur de « Test » leur ait spécifiquement accordé ces privilèges. Les administrateurs de « Contoso » peuvent contrôler l’accès à l’annuaire « Test » en vertu du contrôle qu’ils exercent sur le compte d’utilisateur qui a créé « Test ».

  Et si vous modifiez le rôle d’administrateur d’un utilisateur dans un annuaire (ou que vous l’ajoutez ou le modifiez), la modification n’affecte pas le rôle d’administrateur que l’utilisateur peut avoir dans un autre annuaire.

• Indépendance de la synchronisation. Vous pouvez configurer chaque annuaire Azure AD de manière indépendante pour obtenir la synchronisation des données depuis une même instance de l’un des éléments suivants :

  • l’outil de synchronisation d’annuaires, pour synchroniser les données avec une seule forêt Active Directory ;

  • le connecteur Azure Active Directory pour Forefront Identity Manager, pour synchroniser les données avec une ou plusieurs forêts locales et/ou des sources de données non AD.

De même, sachez qu’à la différence des autres ressources Azure, vos annuaires ne sont pas des ressources enfants d’un abonnement Azure. Ainsi, si vous annulez votre abonnement ou si vous le laissez expirer, vous pouvez toujours accéder à vos données d'annuaire à l'aide d'Azure PowerShell, de l'API Azure Graph ou d'autres interfaces, telles que le Centre d'administration Office 365. Vous pouvez également associer un autre abonnement à l’annuaire.

Supprimer un annuaire Azure AD

Un administrateur global peut supprimer un annuaire Azure AD à partir du portail de gestion Azure. Quand un annuaire est supprimé, toutes les ressources qu’il contient sont également supprimées ; vous devez donc vous assurer que vous n’avez pas besoin de l’annuaire avant de le supprimer.

Notes

Si l’utilisateur s’est connecté avec un compte professionnel ou scolaire, il ne doit pas essayer de supprimer son annuaire de base. Par exemple, si l’utilisateur s’est connecté avec le compte joe@contoso.onmicrosoft.com, il ne peut pas supprimer l’annuaire dont le domaine par défaut est contoso.onmicrosoft.com.

Conditions qui doivent être remplies pour supprimer un annuaire Azure AD

Azure AD nécessite que certaines conditions soient remplies pour supprimer un annuaire. Cela limite le risque que la suppression d’un annuaire n’affecte les utilisateurs ou les applications, avec par exemple l’incapacité pour les utilisateurs de se connecter à Office 365 ou d’accéder à des ressources dans Azure. Par exemple, en cas de suppression involontaire d’un annuaire associé à un abonnement, les utilisateurs ne pourraient plus accéder aux ressources Azure pour cet abonnement.

Les conditions à remplir sont les suivantes :

• Il ne reste qu’un seul utilisateur dans l’annuaire : l’administrateur général chargé de supprimer l’annuaire. Tous les autres utilisateurs doivent être supprimés avant de pouvoir supprimer le répertoire. Si les utilisateurs sont synchronisés en local, la synchronisation doit être désactivée et les utilisateurs supprimés dans l’annuaire cloud via le portail de gestion ou le module Azure pour Windows PowerShell. Il n’est pas nécessaire de supprimer des groupes ou des contacts, tels que les contacts ajoutés à partir du centre d’administration Office 365.

• Aucune application ne doit se trouver dans l’annuaire. Elles doivent toutes être supprimées avant de pouvoir supprimer l’annuaire.

• L’annuaire ne doit être associé à aucun abonnement Microsoft Online Services, tel que Microsoft Azure, Office 365 ou Azure AD. Par exemple, si un annuaire par défaut a été créé pour vous dans Azure, vous ne pouvez pas le supprimer si votre abonnement Azure utilise toujours cet annuaire à des fins d’authentification. De même, vous ne pouvez pas supprimer un annuaire auquel un autre utilisateur a associé un abonnement. Pour associer votre abonnement à un annuaire différent, connectez-vous au portail de gestion Azure et cliquez sur Paramètres dans le volet de navigation gauche. Cliquez sur Abonnements et Modifier l'annuaire. Pour plus d’informations sur les abonnements Azure, consultez la page Comment sont associés les abonnements Azure et Azure AD ?.

  Notes

  Si votre abonnement a été annulé et que vous souhaitez supprimer un annuaire, connectez-vous à l'aide d'un autre abonnement et ajoutez l'administrateur général de l'annuaire en tant que coadministrateur de l'abonnement. Ensuite, déconnectez-vous et reconnectez-vous à l'aide du compte de coadministrateur de l'abonnement. Ensuite, vous devriez être en mesure de supprimer l'annuaire si toutes les autres conditions sont remplies.

• L’annuaire ne doit être lié à aucun fournisseur d’authentification Multi-Factor Authentication.

Ressources communautaires

Plan du contenu Azure AD Forum Azure AD pour les informaticiens Forum Azure AD pour les développeurs