Concevoir des stratégies d’accès aux solutions cloud, hybrides et multicloud (notamment Microsoft Entra ID)
Cette unité a récapitulé les recommandations de conception relatives à la gestion des identités et des accès dans un environnement cloud, basée sur Zone de conception de la gestion des identités et des accès Azure du Cloud Adoption Framework. Pour une présentation plus détaillée de tous les aspects relatifs à la conception, consultez les articles suivants :
- Microsoft Entra ID et identité hybride
- Accès à la plateforme
- Conditions préalables pour une zone d’atterrissage
Comparaison des solutions d’identité
Active Directory et Microsoft Entra ID : Gestion des utilisateurs
| Concept | Active Directory (AD) | Microsoft Entra ID |
|---|---|---|
| Utilisateurs | ||
| Provisionnement : utilisateurs | Les organisations créent manuellement des utilisateurs internes ou utilisent un système de provisionnement interne ou automatisé, tel que Microsoft Identity Manager, pour s’intégrer à un système RH. | Les organisations Active Directory existantes utilisent Microsoft Entra ID pour synchroniser les identités dans le cloud. Microsoft Entra ID ajoute la prise en charge de la création automatique d’utilisateurs à partir de systèmes RH cloud. Microsoft Entra ID peut provisionner des identités dans les applications SaaS prenant en charge SCIM afin de fournir automatiquement aux applications les détails nécessaires pour autoriser l’accès des utilisateurs. |
| Provisionnement : identités externes | Les organisations créent manuellement des utilisateurs externes en tant qu’utilisateurs standard dans une forêt AD externe dédiée, ce qui génère une surcharge administrative pour gérer le cycle de vie des identités externes (utilisateurs invités). | Microsoft Entra ID fournit une classe spéciale d’identité pour prendre en charge les identités externes. Microsoft Entra B2B gère le lien à l’identité de l’utilisateur externe pour garantir sa validité. |
| Gestion des droits d’utilisation et groupes | Les administrateurs définissent les utilisateurs comme membres de groupes. Les propriétaires des applications et des ressources accordent ensuite aux groupes l’accès aux applications et aux ressources. | Les groupes sont également disponibles dans Microsoft Entra ID et les administrateurs peuvent également utiliser des groupes pour accorder des autorisations aux ressources. Dans Microsoft Entra ID, les administrateurs peuvent attribuer manuellement l’appartenance aux groupes ou utiliser une requête pour inclure de manière dynamique des utilisateurs dans un groupe. Les administrateurs peuvent utiliser la gestion des droits d’utilisation dans Microsoft Entra ID pour permettre aux utilisateurs d’accéder à un ensemble d’applications et de ressources à l’aide de workflows et, si nécessaire, de critères à durée définie. |
| Gestion d’administration | Les organisations associent des domaines, des unités d’organisation et des groupes dans Active Directory pour déléguer les droits d’administration afin de gérer l’annuaire et les ressources qu’il contrôle. | Microsoft Entra ID fournit des rôles intégrés avec son système de contrôle d’accès en fonction du rôle Microsoft Entra (RBAC Microsoft Entra), avec une prise en charge limitée de la création de rôles personnalisés pour déléguer l’accès privilégié au système d’identité, aux applications et aux ressources qu’il contrôle.La gestion des rôles peut être améliorée avec PIM (Privileged Identity Management) pour fournir un accès juste-à-temps, limité dans le temps ou basé sur un workflow, aux rôles privilégiés. |
| Gestion des informations d’identification | Dans Active Directory, les informations d’identification sont basées sur les mots de passe, l’authentification par certificat et l’authentification par carte à puce. Les mots de passe sont gérés à l’aide de stratégies de mot de passe basées sur la longueur, l’expiration et la complexité des mots de passe. | Microsoft Entra ID utilise une protection par mot de passe intelligente pour le cloud et localement. Cette protection comprend le verrouillage intelligent, ainsi que le blocage des substitutions et phrases de mot de passe courantes et personnalisées. Microsoft Entra ID renforce considérablement la sécurité via l’authentification multifacteur et les technologies sans mot de passe, par exemple FIDO2. Microsoft Entra ID réduit les coûts de support en offrant aux utilisateurs un système de réinitialisation de mot de passe en libre-service. |
Services basés sur Active Directory dans Azure : AD DS, Microsoft Entra ID et Microsoft Entra Domain Services
Pour fournir aux applications, aux services ou aux appareils un accès à une identité centrale, il existe trois façons courantes d’utiliser des services Active Directory dans Azure. Ce choix de solutions d’identité vous offre la possibilité d’utiliser le répertoire le plus approprié pour les besoins de votre organisation. Par exemple, si vous gérez principalement des utilisateurs uniquement dans le cloud qui exécutent des appareils mobiles, il n’est pas judicieux de créer et d’exécuter votre propre solution d’identité Active Directory Domain Services (AD DS). Vous pouvez plutôt simplement utiliser Microsoft Entra ID.
Même si les trois solutions d’identité basées sur Active Directory ont un nom et une technologie en commun, elles sont conçues pour fournir des services qui répondent à différentes demandes des clients. Au niveau supérieur, ces solutions d’identité et ensembles de fonctionnalités sont les suivants :
- Active Directory Domain Services (AD DS) : serveur LDAP (Lightweight Directory Access Protocol) prêt pour l’entreprise qui fournit des fonctionnalités clés telles que l’identité et l’authentification, la gestion des objets ordinateur, la stratégie de groupe et les approbations.
- AD DS est un composant central dans de nombreuses organisations disposant d’un environnement informatique local et fournit des fonctionnalités d’authentification de compte d’utilisateur et de gestion d’ordinateurs de base.
- Microsoft Entra ID - Gestion des identités et des appareils mobiles basée sur le cloud, qui fournit des services de comptes d’utilisateur et d’authentification pour les ressources telles que Microsoft 365, le portail Azure ou les applications SaaS.
- Microsoft Entra ID peut être synchronisé avec un environnement AD DS local pour fournir une identité unique aux utilisateurs qui travaillent en mode natif dans le cloud.
- Microsoft Entra Domain Services (Microsoft Entra Domain Services) - Fournit des services de domaine managé avec un sous-ensemble de fonctionnalités AD DS traditionnelles entièrement compatibles, par exemple la jonction de domaine, la stratégie de groupe, le protocole LDAP et l’authentification Kerberos/NTLM.
- Microsoft Entra Domain Services s’intègre à Microsoft Entra ID, qui peut lui-même se synchroniser avec un environnement AD DS local. Cette capacité étend les cas d’usage de l’identité centrale aux applications web traditionnelles qui s’exécutent dans Azure dans le cadre d’une stratégie lift-and-shift.
Pour accéder à une discussion plus approfondie sur la comparaison de ces trois options, consultez Comparer le service Active Directory Domain Services automanagé, Microsoft Entra ID et le service Microsoft Entra Domain Services managé.
Recommandations en matière de conception transversale
- Utilisez des responsabilités centralisées et déléguées pour gérer les ressources déployées à l’intérieur de la zone d’atterrissage en fonction des exigences de rôle et de sécurité.
- Les types d’opérations privilégiées suivants nécessitent des autorisations spéciales. Prenez en compte les utilisateurs qui traiteront ces requêtes et la manière de sécuriser et surveiller leurs comptes de façon adéquate.
- Création d’objets de principal de service.
- Inscription d’applications dans Microsoft Entra ID.
- Obtention et gestion des certificats ou des certificats génériques.
- Pour accéder aux applications qui utilisent l’authentification locale à distance via Microsoft Entra ID, utilisez le proxy d’application Microsoft Entra.
- Évaluez la compatibilité des charges de travail pour Microsoft Entra Domain Services et pour Active Directory Domain Services sur Windows Server.
- Assurez-vous que la conception de votre réseau autorise les ressources qui nécessitent AD DS sur Windows Server pour l’authentification et la gestion locales afin d’accéder à leurs contrôleurs de domaine. Pour AD DS sur Windows Server, envisagez les environnements de services partagés qui offrent une gestion locale de l’authentification et de l’hôte dans un contexte de réseau à l’échelle de l’entreprise plus vaste.
- Lorsque vous déployez Microsoft Entra Domain Services ou intégrez des environnements locaux dans Azure, utilisez des emplacements avec des Zones de disponibilité pour une disponibilité accrue.
- Déployez Microsoft Entra Domain Services dans la région primaire, car vous pouvez uniquement projeter ce service dans un seul abonnement. Vous pouvez développer Microsoft Entra Domain Services vers d’autres régions avec des jeux de réplicas.
- Utilisez des identités gérées au lieu de principaux de service pour l’authentification auprès des services Azure. Cette approche réduit l’exposition au vol d’informations d’identification.
Identité hybride Azure et locale - Recommandations de conception
Pour l’hébergement des solutions d’identité hybride IaaS (Infrastructure as a Service), évaluez les recommandations suivantes :
- Pour les applications hébergées en partie localement et en partie dans Azure, vérifiez quelle intégration est logique en fonction de votre scénario. Pour plus d’informations, consultez Déployer AD DS dans un réseau virtuel Azure.
- Si vous avez AD FS, passez au cloud pour centraliser l’identité et réduire l’effort opérationnel. Si AD FS fait toujours partie de votre solution d’identité, installez et utilisez Microsoft Entra Connect.
Identité pour les ressources de la plateforme Azure - recommandations pour la conception
Une identité centralisée utilise un emplacement unique dans le cloud et l’intégration du service Active Directory, et contrôle l’accès, l’authentification et les applications. Cette approche offre une meilleure gestion pour l’équipe informatique. Pour les services d’annuaire centralisés, la bonne pratique est d’avoir un seul locataire Microsoft Entra.
Quand vous accordez l’accès aux ressources, utilisez des groupes Microsoft Entra uniquement pour les ressources de plan de contrôle Azure et Microsoft Entra Privileged Identity Management. Ajoutez des groupes locaux au groupe Microsoft Entra uniquement si un système de gestion de groupe est déjà en place. Notez que Microsoft Entra uniquement est également appelé cloud uniquement.
En utilisant des groupes Microsoft Entra uniquement, vous pouvez ajouter aussi bien des utilisateurs que des groupes qui sont synchronisés localement en utilisant Microsoft Entra Connect. Vous pouvez également ajouter des utilisateurs et des groupes Microsoft Entra uniquement à un seul groupe Microsoft Entra uniquement, y compris des utilisateurs invités.
Les groupes qui sont synchronisés à partir d’un emplacement local ne peuvent être gérés et mis à jour qu’à partir de la source d’identité de vérité, à savoir l’instance Active Directory locale. Ces groupes peuvent contenir seulement des membres de la même source d’identité, ils sont donc moins flexibles que les groupes Microsoft Entra uniquement.
Intégrez les journaux Microsoft Entra à l’espace de travail Log Analytics au centre de la plateforme. Cette approche permet d’obtenir une seule source de vérité relative aux données de journalisation et de monitoring dans Azure. Cette source offre aux organisations des options natives cloud pour répondre aux exigences relatives à la collecte et à la conservation des journaux.
Les stratégies utilisateur personnalisées peuvent appliquer toutes les exigences de souveraineté des données pour l’organisation.
Si la protection des identités est utilisée dans le cadre de votre solution d’identité, assurez-vous d’exclure le compte d’administrateur de secours.
Recommandations de conception - Identité et accès Azure pour les zones d’atterrissage
Déployez des stratégies d’accès conditionnel Microsoft Entra pour les utilisateurs disposant de droits sur les environnements Azure. L’accès conditionnel est un autre mécanisme pour aider à protéger un environnement Azure contrôlé contre tout accès non autorisé.
Appliquez une authentification multifacteur (MFA) pour les utilisateurs disposant de droits sur les environnements Azure. De nombreux cadres de conformité nécessitent l’application de l’authentification multifacteur. L’authentification multifacteur réduit considérablement le risque de vol d’informations d’identification et d’accès non autorisé.
Envisagez d’utiliser des principaux de service pour les connexions de ressources non interactives, de sorte que l’authentification multifacteur et les actualisations de jetons n’affectent pas les opérations.
Utilisez les identités managées Microsoft Entra pour les ressources Azure afin d’éviter l’authentification basée sur les informations d’identification. De nombreuses violations de sécurité des ressources de cloud public résultent d’un vol d’informations d’identification incorporé dans le code ou d’autres textes. L’application d’identités gérées pour l’accès par programme réduit considérablement les risques de vol d’informations d’identification.
Utilisez Microsoft Defender pour le cloud pour l’accès juste-à-temps à toutes les ressources infrastructure en tant que service (IaaS). Defender pour le cloud vous permet d’activer la protection au niveau du réseau pour l’accès des utilisateurs éphémères aux machines virtuelles IaaS.
Privileged Identity Management (PIM)
Utilisez Microsoft Entra Privileged Identity Management (PIM) pour établir un accès Confiance Zéro et de privilège minimum. Mappez les rôles de votre organisation au niveau d’accès minimum requis. Microsoft Entra PIM peut utiliser des outils natifs Azure, étendre les outils et processus actuels, ou utiliser des outils actuels et natifs en fonction des besoins.
Utilisez des révisions d’accès Microsoft Entra PIM pour valider périodiquement les droits d’utilisation des ressources. Les révisions d’accès faisant partie de nombreuses infrastructures de conformité, de nombreuses organisations disposent déjà d’un processus en place pour répondre à cette exigence.
Utilisez des identités privilégiées pour les runbooks Automation qui requièrent des autorisations d’accès élevées. Utilisez les mêmes outils et stratégies pour régir les workflows automatisés qui accèdent aux limites de sécurité critiques que vous utilisez pour régir les utilisateurs d’un privilège équivalent.
Recommandations RBAC
Utilisez le contrôle d’accès en fonction du rôle (RBAC) Azure pour gérer l’accès du plan de données aux ressources dans la mesure du possible. Des exemples de points de terminaison de plan de données sont Azure Key Vault, un compte de stockage ou SQL Database.
N’ajoutez pas d’utilisateurs directement à des étendues de ressources Azure. Les attributions directes d’utilisateurs permettent de contourner la gestion centralisée, ce qui rend plus difficile d’empêcher tout accès non autorisé aux données dont l’accès est restreint. Au lieu de cela, ajoutez les utilisateurs à des rôles définis et affectez les rôles aux étendues de ressources.
Utilisez des rôles intégrés Microsoft Entra pour gérer les paramètres d’identité suivants :
| Rôle | Utilisation | Notes |
|---|---|---|
| Administrateur général | N’attribuez pas plus de cinq personnes à ce rôle. | |
| Environnement hybride | Administrateur d’identité hybride | |
| Authentification | Administrateur de sécurité | |
| Application d’entreprise ou proxy d’application | Administrateur d’application | Aucun administrateur général de consentement. |
Si les rôles intégrés Azure ne répondent pas aux besoins spécifiques de votre organisation, vous pouvez créer vos propres rôles personnalisés.