Déterminer le modèle d’identité utilisateur pour votre organisation
Pour planifier les identités des utilisateurs, vous devez d’abord comprendre les différentes identités d’utilisateur, à savoir les identités cloud, les identités synchronisées et les identités fédérées. Une organisation peut choisir de conserver les identités uniquement dans Microsoft 365, ou elle peut intégrer des identités à ses Active Directory local.
Identités cloud
Une identité cloud est un compte d’utilisateur qui existe uniquement dans Microsoft Entra ID. Bien qu’une organisation puisse créer une identité cloud portant le même nom qu’un compte d’utilisateur Active Directory local Domain Services (AD DS), il n’y aura aucun lien entre les deux comptes. Ils seraient considérés comme deux identités uniques différentes, chacune avec son propre mot de passe. Les identités cloud sont créées dans le Centre d’administration Microsoft 365. Le plus souvent, seules les petites organisations utilisent des identités cloud, car elles n’ont pas besoin de maintenir une implémentation Active Directory locale.
Identités synchronisées
Une identité synchronisée est un utilisateur qui existe dans un AD DS local et dans Microsoft 365. L’utilisateur AD DS et l’utilisateur Microsoft 365 sont synchronisés et liés. Toutes les modifications que vous apportez au compte d’utilisateur local sont synchronisées avec le compte d’utilisateur Microsoft 365.
Microsoft Entra Connect (Microsoft Entra Connect) effectue la synchronisation une fois qu’un organization le télécharge et l’installe dans son environnement local. Microsoft Entra Connect filtre les comptes qui sont synchronisés et détermine s’il faut synchroniser les mots de passe.
Lorsqu’une organisation implémente des identités synchronisées, son AD DS local est la source faisant autorité pour la plupart des informations. Par conséquent, la plupart des tâches administratives effectuées doivent être effectuées localement. Ces modifications sont ensuite synchronisées avec Microsoft Entra ID. Seul un petit ensemble d’attributs est synchronisé de Microsoft 365 vers AD DS local.
L’authentification pour les identités synchronisées se produit dans Microsoft 365. Le nom d’utilisateur et le mot de passe sont évalués dans Microsoft 365 sans dépendance vis-à-vis de l’infrastructure locale.
Identités fédérées
Une identité fédérée est un compte d’utilisateur synchronisé authentifié par LDAP (Lightweight Directory Access Protocol) sur le AD DS. Ce processus d’authentification crée une approbation de fournisseur de revendications locale avec les services de fédération Active Directory (AD FS).
AD FS est déployé localement et communique avec AD DS localement. Par conséquent, Microsoft Entra autorise les comptes d’utilisateur fédérés à accéder aux ressources dans Microsoft 365 en fonction de la stratégie LDAP située sur AD DS (via AD FS). Étant donné que le compte d’utilisateur local est utilisé pour l’authentification, le même mot de passe est utilisé pour la connexion à Microsoft 365 et aux AD DS locaux.
L’implémentation d’identités fédérées était plus complexe que l’implémentation d’identités synchronisées en raison de la nécessité d’implémenter AD FS. Toutefois, cette complexité a été supprimée avec l’adoption de Microsoft Entra Connect, qui déploie désormais la majeure partie de l’infrastructure AD FS.
Étant donné que l’authentification au Microsoft 365 dépend de la disponibilité des AD FS, les interruptions de service de l’infrastructure locale peuvent affecter Microsoft 365 authentification. Par exemple, une panne Internet locale entraîne l’échec de Microsoft 365'authentification. Toutefois, ce problème peut être atténué en plaçant une copie de AD DS et de AD FS dans Microsoft Azure.
Le principal avantage de l’utilisation d’identités fédérées est l’authentification unique (SSO). Les utilisateurs s’authentifient sur une station de travail jointe à un domaine à l’aide de leurs informations d’identification. L’authentification unique utilise ces informations d’identification mises en cache pour s’authentifier automatiquement auprès de Microsoft 365 services. Les identités synchronisées doivent généralement entrer leurs informations d’identification manuellement lors de l’accès à Microsoft 365 services.
Les identités fédérées tirent également parti des stratégies de mot de passe et des stratégies de verrouillage de compte dans un AD DS local. Cette conception offre plus de flexibilité lors de la gestion des stratégies de mot de passe pour Microsoft 365.
Détermination du meilleur modèle pour votre organisation
Chaque modèle d’identification présente des avantages et des inconvénients différents. Pour déterminer la meilleure option pour votre entreprise, vous devez d’abord comprendre le scénario le mieux adapté à chaque modèle, ainsi que les avantages les plus importants pour chaque modèle, comme indiqué dans le tableau suivant.
Identité cloud (en nuage)
Identité synchronisée
Identité fédérée
Définition
Le compte d’utilisateur existe uniquement dans Microsoft 365.
Le compte d’utilisateur existe dans le Active Directory local et un utilisateur identique existe dans Microsoft 365.
Compte d’utilisateur synchronisé authentifié à l’aide de AD FS.
Idéal pour…
Organisations ou organisations de petite à moyenne taille qui n’ont plus besoin d’un service domaine Active Directory local (AD DS).
Les organisations qui exécutent Active Directory déjà et envisagent de migrer vers le cloud.
Organisations qui souhaitent centraliser leurs processus d’authentification et d’autorisation. Ce modèle est également utilisé par les organisations qui exécutent déjà un système d’authentification fédérée ou qui nécessitent un type spécial de connexion, par exemple avec une carte d’ID.
Plus grand avantage
Simple à utiliser ; aucun outil supplémentaire n’est nécessaire.
Même connexion, et où la gestion des identités n’est requise qu’au même endroit.
Authentification unique (SSO) et où la gestion des identités n’est requise qu’au même endroit.