Examiner Microsoft Entra ID

Effectué

Les stagiaires doivent être familiarisés avec Active Directory Domain Services (AD DS ou traditionnellement appelé tout simplement « Active Directory »). AD DS est un service d’annuaire qui fournit les méthodes de stockage des données d’annuaire, telles que les mots de passe et les comptes d’utilisateur, et qui met ces données à la disposition des utilisateurs des administrateurs et d’autres appareils et services du réseau. Appelé « contrôleur de domaine », il s’exécute en tant que service sur Windows Server.

Microsoft Entra ID fait partie de l’offre PaaS (platform as a service) et fonctionne comme un service d’annuaire managé par Microsoft dans le cloud. Il ne fait pas partie de l’infrastructure principale que les clients possèdent et gèrent, ni d’une offre IaaS (Infrastructure as a Service). Bien que cela implique que vous ayez moins de contrôle sur son implémentation, cela signifie également que vous n’avez pas besoin de dédier des ressources à son déploiement ou à sa maintenance.

Avec Microsoft Entra ID, vous avez également accès à un ensemble de fonctionnalités qui ne sont pas disponibles en mode natif dans AD DS, par exemple la prise en charge de l’authentification multifacteur, la protection des identités et la réinitialisation de mot de passe en libre-service.

Vous pouvez utiliser Microsoft Entra ID pour fournir aux organisations et aux particuliers un accès plus sécurisé aux ressources cloud en :

  • Configuration de l’accès aux applications
  • Configuration de l’authentification unique (SSO) pour les applications SaaS cloud
  • Gestion des utilisateurs et des groupes
  • Provisionnement des utilisateurs
  • Activation de la fédération entre les organisations
  • Implémentation d’une solution de gestion des identités
  • Identification de toute activité de connexion irrégulière
  • Configuration de l’authentification multifacteur
  • Extension des implémentations Active Directory locales existantes locales dans Microsoft Entra ID
  • Configuration d’un proxy d’application pour les applications cloud et locales
  • Configuration de l’accès conditionnel pour les utilisateurs et les appareils

Diagramme illustrant la pile Microsoft Entra Connect.

Microsoft Entra constitue un service Azure distinct. Sa forme la plus élémentaire, que tout nouvel abonnement Azure inclut automatiquement, n’entraîne aucun coût supplémentaire et est appelée « niveau Gratuit ». Si vous vous abonnez à un service d’entreprise Microsoft Online quelconque (par exemple, Microsoft 365 ou Microsoft Intune), vous obtenez automatiquement Microsoft Entra ID avec un accès à toutes les fonctionnalités gratuites.

Remarque

Par défaut, lorsque vous créez un abonnement Azure à l’aide d’un compte Microsoft, l’abonnement inclut automatiquement un nouveau locataire Microsoft Entra nommé « Annuaire par défaut ».

Certaines des fonctionnalités de gestion des identités plus avancées nécessitent des versions payantes de Microsoft Entra ID, proposées sous la forme des niveaux De base et Premium. Certaines de ces fonctionnalités sont également automatiquement incluses dans les instances Microsoft Entra générées dans le cadre des abonnements Microsoft 365. Les différences entre les versions de Microsoft Entra sont abordées plus loin dans ce module.

L’implémentation de Microsoft Entra ID n’est pas la même chose que de déployer des machines virtuelles dans Azure, d’ajouter AD DS, puis de déployer des contrôleurs de domaine pour une nouvelle forêt et un nouveau domaine. Microsoft Entra ID est un service différent, beaucoup plus axé sur la fourniture de services de gestion des identités à des applications web, contrairement à AD DS, qui est plus axé sur les applications locales.

Locataires Microsoft Entra

Contrairement à AD DS, Microsoft Entra ID est multilocataire par conception. Il est implémenté spécifiquement pour assurer une isolation entre ses instances d’annuaire individuelles. Il s’agit du plus grand annuaire multilocataire au monde. Il héberge plus d’un million d’instances de services d’annuaire, avec des milliards de demandes d’authentification par semaine. Dans ce contexte, le terme locataire représente généralement une entreprise ou une organisation qui a souscrit un abonnement à un service cloud Microsoft, par exemple Microsoft 365, Intune ou Azure, chacun tirant parti de Microsoft Entra ID. Toutefois, du point de vue technique, le terme « locataire » représente une instance Microsoft Entra individuelle. Dans un abonnement Azure, vous pouvez créer plusieurs locataires Microsoft Entra. Le fait de disposer de plusieurs locataires Microsoft Entra peut être pratique si vous souhaitez tester les fonctionnalités de Microsoft Entra dans un locataire sans affecter les autres.

À un moment donné, un abonnement Azure doit être associé à un et un seul locataire Microsoft Entra. Cette association vous permet d’octroyer des autorisations aux ressources de l’abonnement Azure (par le biais du contrôle d’accès en fonction du rôle (RBAC)) pour les utilisateurs, les groupes et les applications qui se trouvent dans ce locataire Microsoft Entra particulier.

Remarque

Vous pouvez associer le même locataire Microsoft Entra à plusieurs abonnements Azure. Cela vous permet d’utiliser les mêmes utilisateurs, groupes et applications pour gérer les ressources de différents abonnements Azure.

Chaque locataire Microsoft Entra se voit affecter le nom de domaine DNS (Domain Name System) par défaut, composé d’un préfixe unique. Le préfixe, dérivé du nom du compte Microsoft utilisé pour créer un abonnement Azure ou fourni explicitement au moment de la création d’un locataire Microsoft Entra, est suivi du suffixe onmicrosoft.com. L’ajout d’au moins un nom de domaine personnalisé au même locataire Microsoft Entra est possible et courant. Ce nom utilise l’espace de noms de domaine DNS que détient l’entreprise ou l’organisation correspondante. Le locataire Microsoft Entra sert de limite de sécurité et de conteneur pour les objets Microsoft Entra comme les utilisateurs, les groupes et les applications. Un seul locataire Microsoft Entra peut prendre en charge plusieurs abonnements Azure.

Schéma Microsoft Entra

Le schéma Microsoft Entra contient moins de types d’objets que celui d’AD DS. Plus particulièrement, il n’inclut pas de définition de la classe d’ordinateur, même s’il inclut la classe d’appareil. Le processus de jointure d’appareils à Microsoft Entra diffère considérablement du processus de jonction d’ordinateurs à AD DS. Le schéma Microsoft Entra est également facilement extensible et ses extensions sont entièrement réversibles.

L’absence de prise en charge de l’appartenance au domaine d’ordinateur traditionnel signifie que vous ne pouvez pas utiliser Microsoft Entra ID pour gérer les ordinateurs ou les paramètres utilisateur à l’aide de techniques de gestion traditionnelles, telles que les objets de stratégie de groupe (GPO). Au lieu de cela, Microsoft Entra ID et ses services définissent un concept de gestion moderne. L’atout principal de Microsoft Entra ID réside dans la fourniture de services d’annuaire, le stockage et la publication de données utilisateur, d’appareil et d’application, ainsi que la gestion de l’authentification et de l’autorisation des utilisateurs, des appareils et des applications. L’efficacité et l’efficience de ces fonctionnalités sont apparentes en fonction des déploiements existants de services cloud tels que Microsoft 365, qui s’appuient sur Microsoft Entra ID comme fournisseur d’identité et qui prennent en charge des millions d’utilisateurs.

Microsoft Entra ID n’inclut pas la classe d’unité d’organisation (UO). Cela signifie que vous ne pouvez pas organiser ses objets dans une hiérarchie de conteneurs personnalisés, ce qui est fréquemment utilisé dans les déploiements AD DS locaux. Toutefois, il ne s’agit pas d’une lacune importante, car les unités d’organisation dans AD DS sont principalement utilisées pour l’étendue de stratégie de groupe et la délégation. Vous pouvez effectuer des arrangements équivalents en organisant les objets en fonction de leur appartenance à des groupes.

Les objets des classes Application et servicePrincipal représentent des applications dans Microsoft Entra ID. Un objet de la classe Application contient une définition d’application et un objet dans la classe servicePrincipal constitue son instance dans le locataire Microsoft Entra actuel. La séparation de ces deux ensembles de caractéristiques vous permet de définir une application dans un locataire et de l’utiliser sur plusieurs locataires en créant un objet de principal de service pour cette application dans chaque locataire. Microsoft Entra ID crée l’objet de principal de service lorsque vous inscrivez l’application correspondante dans ce locataire Microsoft Entra.