Identité hybride avec Active Directory et Microsoft Entra ID dans les zones d’atterrissage Azure
Cet article fournit des conseils sur la manière de concevoir et de mettre en œuvre Microsoft Entra ID et l’identité hybride pour les zones d’atterrissage Azure.
Les organisations opérant dans le cloud nécessitent un service de répertoire pour gérer les identités des utilisateurs et l’accès aux ressources. Microsoft Entra ID est un service d’identité et de gestion des accès basé sur le cloud qui offre des capacités robustes pour gérer les utilisateurs et les groupes. Vous pouvez utiliser Microsoft Entra ID comme une solution d’identité autonome ou l’intégrer à une infrastructure Microsoft Entra Domain Services ou à une infrastructure Active Directory Domain Services (AD DS) sur site.
Microsoft Entra ID fournit une gestion moderne et sécurisée des identités et des accès pour les services Azure et Microsoft 365. Vous pouvez utiliser Microsoft Entra ID pour diverses organisations et charges de travail. Par exemple, les organisations disposant d’une infrastructure AD DS sur site et de charges de travail basées dans le cloud peuvent utiliser la synchronisation d’annuaire avec Microsoft Entra ID. La synchronisation d’annuaire garantit que les environnements sur site et dans le cloud partagent un ensemble cohérent d’identités, de groupes et de rôles. Les applications qui nécessitent des mécanismes d’authentification hérités peuvent avoir besoin de Domain Services pour les services de domaine gérés dans le cloud et pour étendre l’infrastructure AD DS sur site dans Azure.
La gestion des identités basée sur le cloud est un processus itératif. Vous pouvez commencer avec une solution cloud-native qui dispose d’un petit ensemble d’utilisateurs et de rôles correspondants pour un déploiement initial. À mesure que votre migration arrive à maturité, vous pouvez avoir besoin d’intégrer votre solution d’identité en utilisant la synchronisation d’annuaires ou d’ajouter des services de domaine hébergés dans le cloud dans le cadre de vos déploiements cloud.
Ajustez votre solution d’identité au fil du temps en fonction des exigences d’authentification de votre charge de travail et d’autres besoins, tels que les changements dans votre stratégie d’identité organisationnelle et les exigences de sécurité, ou l’intégration avec d’autres services d’annuaire. Lorsque vous évaluez les solutions Windows Server Active Directory, comprenez les différences entre Microsoft Entra ID, les Services de domaine et AD DS sur Windows Server.
Pour plus d’informations, veuillez consulter le guide de décision sur l’identité.
Services de gestion de l’identité et des accès dans les zones d’atterrissage Azure
L’équipe de plate-forme est responsable de l’administration de l’identité et de la gestion des accès. Les services de gestion de l’identité et des accès sont fondamentaux pour la sécurité organisationnelle. Votre organisation peut utiliser Microsoft Entra ID pour contrôler l’accès administratif et protéger les ressources de la plateforme. Cette approche empêche les utilisateurs extérieurs à l’équipe de plateforme de modifier la configuration ou les principaux de sécurité contenus dans Microsoft Entra ID.
Si vous utilisez AD DS ou Domain Services, vous devez protéger les contrôleurs de domaine contre tout accès non autorisé. Les contrôleurs de domaine sont très vulnérables aux attaques et doivent faire l’objet de contrôles de sécurité stricts et être séparés des charges de travail des applications.
Déployez les contrôleurs de domaine et les composants associés, tels que les serveurs Microsoft Entra Connect, dans l’abonnement d’identité qui se trouve dans le groupe d’administration de la plateforme. Les contrôleurs de domaine ne sont pas délégués aux équipes d’application. Cette isolation permet aux propriétaires d’applications d’utiliser les services d’identité sans avoir à les maintenir, ce qui réduit le risque de compromission des services de gestion des identités et des accès. Les ressources dans l’abonnement de la plate-forme Identité sont un point critique de sécurité pour vos environnements cloud et sur site.
Provisionnez les zones d’atterrissage de manière à ce que les propriétaires d’applications puissent choisir entre Microsoft Entra ID et AD DS et Domain Services en fonction de leurs besoins en matière de charge de travail. Il se peut que vous deviez configurer d’autres services, en fonction de votre solution d’identité. Par exemple, vous pourriez avoir besoin d’activer et de sécuriser la connectivité réseau au réseau virtuel Identité. Si vous utilisez un processus de fourniture d’abonnement, incluez ces informations de configuration dans votre demande d’abonnement.
Domaines Azure et sur site (identité hybride)
Les objets utilisateur que vous créez entièrement dans Microsoft Entra ID sont connus comme les comptes pour le cloud seulement. Les comptes cloud uniquement prennent en charge l’authentification moderne et l’accès aux ressources Azure et Microsoft 365 et prennent en charge l’accès pour les appareils locaux utilisant Windows 10 ou Windows 11.
Votre organisation dispose peut-être déjà d’annuaires AD DS de longue date que vous intégrez à d’autres systèmes, tels que des applications métier ou des progiciels de gestion intégrés (ERP), par le biais du protocole LDAP (Lightweight Directory Access Protocol). Ces domaines peuvent avoir de nombreux ordinateurs et applications joints au domaine qui utilisent les protocoles Kerberos ou NTLMv2 plus anciens pour l’authentification. Dans ces environnements, vous pouvez synchroniser les objets utilisateur avec Microsoft Entra ID afin que les utilisateurs puissent se connecter à la fois aux systèmes sur site et aux ressources cloud avec une identité unique. L’unification des services d’annuaire sur site et dans le cloud est connue sous le nom d’identité hybride. Vous pouvez étendre les domaines sur site dans les zones d’atterrissage Azure :
Pour maintenir un seul objet utilisateur dans les environnements cloud et sur site, vous pouvez synchroniser les utilisateurs de domaine AD DS avec Microsoft Entra ID par l’intermédiaire de Microsoft Entra Connect ou de Microsoft Entra Cloud Sync. Pour déterminer la configuration recommandée pour votre environnement, consultez Topologies pour Microsoft Entra Connect et Topologies pour Microsoft Entra Cloud Sync.
Pour joindre à un domaine des machines virtuelles (VM) Windows et d’autres services, vous pouvez déployer des contrôleurs de domaine AD DS ou des Services de domaine dans Azure. Utilisez cette approche pour que les utilisateurs AD DS puissent se connecter aux serveurs Windows, aux partages de fichiers Azure et aux autres ressources qui utilisent Active Directory comme source d’authentification. Vous pouvez également utiliser d’autres technologies Active Directory, telles que la stratégie de groupe, comme source d’authentification. Pour plus d’informations, veuillez consulter les Scénarios de déploiement courants pour les Services de domaine Microsoft Entra.
Recommandations d’identité hybride
Pour déterminer les exigences de votre solution d’identité, documentez le fournisseur d’authentification utilisé par chaque application. Utilisez le guide de décision sur les identités pour sélectionner les services adaptés à votre organisation. Pour plus d’informations, consultez Comparer Active Directory à Microsoft Entra ID.
Vous pourriez utiliser les Services de domaine pour les applications qui s’appuient sur des services de domaine et utilisent des protocoles plus anciens. Les domaines AD DS existants prennent parfois en charge la compatibilité descendante et permettent des protocoles hérités, ce qui peut affecter négativement la sécurité. Au lieu d’étendre un domaine sur site, envisagez d’utiliser les services de domaine pour créer un nouveau domaine qui n’autorise pas les protocoles hérités. Utilisez le nouveau domaine comme service d’annuaire pour les applications hébergées dans le cloud.
Considérez la résilience comme une exigence de conception critique pour votre stratégie d’identité hybride dans Azure. Microsoft Entra ID est un système basé sur le cloud globalement redondant, ce qui n’est pas le cas de Domain Services et d’AD DS. Planifiez soigneusement la résilience lorsque vous implémentez Domain Services et AD DS. Lorsque vous concevez l’un ou l’autre service, envisagez d’utiliser des déploiements multirégions pour garantir le fonctionnement continu du service en cas d’incident régional.
Pour étendre une instance AD DS sur site à Azure et optimiser le déploiement, incorporez vos régions Azure dans la conception de votre site Active Directory. Créez un site dans les sites et services AD DS pour chaque région Azure où vous prévoyez de déployer des charges de travail. Créez ensuite un nouvel objet de sous-réseau dans les sites et services AD DS pour chaque plage d’adresses IP que vous prévoyez de déployer dans la région. Associez le nouvel objet de sous-réseau au site AD DS que vous avez créé. Cette configuration garantit que le service de localisation des contrôleurs de domaine dirige les demandes d’autorisation et d’authentification vers les contrôleurs de domaine AD DS les plus proches dans la même région Azure.
Évaluez les scénarios qui configurent les invités, les clients ou les partenaires de manière à ce qu’ils puissent accéder aux ressources. Déterminez si ces scénarios impliquent Microsoft Entra B2B ou Microsoft Entra Identité Externe pour les clients. Pour plus d’informations, consultez la Microsoft Entra External ID.
N’utilisez pas le proxy d’application Microsoft Entra pour l’accès intranet car cela ajoute de la latence à l’expérience utilisateur. Pour plus d’informations, veuillez consulter la Planification du proxy d’application Microsoft Entra et les Considérations de sécurité du proxy d’application Microsoft Entra.
Considérez diverses méthodes que vous pouvez utiliser pour Intégrer Active Directory sur site avec Azure afin de répondre aux exigences organisationnelles.
Vous pouvez utiliser une synchronisation de hachage du mot de passe en tant que sauvegarde si vous utilisez les services de fédération Active Directory (AD FS) avec Microsoft Entra ID. AD FS ne prend pas en charge la connexion unique (SSO) transparente de Microsoft Entra.
Déterminez l’outil de synchronisation approprié pour votre identité dans le cloud.
Si vous avez des exigences pour utiliser AD FS, veuillez consulter la rubrique Déployer AD FS dans Azure.
Si vous utilisez Microsoft Entra Connect comme outil de synchronisation, envisagez de déployer un serveur intermédiaire dans une région différente de votre serveur principal Microsoft Entra Connect pour la récupération d’urgence. Sinon, si vous n’utilisez pas plusieurs régions, implémentez des zones de disponibilité pour une haute disponibilité.
Si vous utilisez Microsoft Entra Cloud Sync comme outil de synchronisation, envisagez d’installer au moins trois agents sur différents serveurs dans plusieurs régions pour la récupération d’urgence. Vous pouvez également installer les agents sur des serveurs dans différentes zones de disponibilité pour une haute disponibilité.
Important
Nous vous recommandons fortement de migrer vers Microsoft Entra ID à moins que vous n’ayez spécifiquement besoin d’AD FS. Pour plus d’informations, consultez Ressources pour le déclassement d’AD FS et Migrer d’AD FS vers Microsoft Entra ID.
Microsoft Entra ID, Services de domaine et AD DS
Pour implémenter les services d’annuaire Microsoft, familiarisez les administrateurs avec les options suivantes :
Vous pouvez déployer des contrôleurs de domaine AD DS dans Azure sous forme de VM Windows sur lesquelles les administrateurs de plateforme ou d’identité exercent un contrôle total. Cette approche est une solution d’infrastructure en tant que service (IaaS). Vous pouvez joindre les contrôleurs de domaine à un domaine Active Directory existant ou héberger un nouveau domaine qui a une relation de confiance optionnelle avec les domaines locaux existants. Pour plus d’informations, veuillez consulter l’architecture de base des machines virtuelles Azure dans une zone d’atterrissage Azure.
Les Services de domaine sont un service géré par Azure que vous pouvez utiliser pour créer un nouveau domaine Active Directory géré hébergé dans Azure. Le domaine peut avoir une relation de confiance avec les domaines existants et peut synchroniser les identités à partir de Microsoft Entra ID. Les administrateurs n’ont pas d’accès direct aux contrôleurs de domaine et ne sont pas responsables des opérations de maintenance et de mise à jour.
Lorsque vous déployez les Services de domaine ou intégrez des environnements sur site dans Azure, utilisez des emplacements avec des zones de disponibilité pour augmenter la disponibilité lorsque cela est possible. Envisagez également un déploiement dans plusieurs régions Azure pour une meilleure résilience.
Après avoir configuré AD DS ou Domain Services, vous pouvez utiliser la même méthode que pour les ordinateurs sur site pour joindre des ordinateurs virtuels et des partages de fichiers Azure. Pour plus d’informations, veuillez consulter la rubrique Comparer les services basés sur l’annuaire de Microsoft.
Recommandations pour Microsoft Entra ID et AD DS
Utilisez le proxy d’application Microsoft Entra pour accéder aux applications qui utilisent l’authentification locale à distance via Microsoft Entra ID. Cette fonctionnalité offre un accès à distance sécurisé aux applications web sur site. Le proxy d’application Microsoft Entra ne nécessite pas de VPN ni de modification de l’infrastructure réseau. Cependant, elle est déployée comme une instance unique dans Microsoft Entra ID, donc les propriétaires d’applications et les équipes de plate-forme ou d’identité doivent collaborer pour s’assurer que l’application est correctement configurée.
Évaluez la compatibilité des charges de travail pour AD DS sur Windows Server et les Services de domaine. Pour plus d’informations, consultez les cas d’utilisation et scénarios usuels.
Déployez des VM de contrôleurs de domaine ou des ensembles de réplicas des Services de domaine dans l’abonnement de la plate-forme Identité au sein du groupe de gestion de la plate-forme.
Sécurisez le réseau virtuel contenant les contrôleurs de domaine. Pour empêcher toute connectivité internet directe vers et depuis le réseau virtuel et le contrôleur de domaine, placez les serveurs AD DS dans un sous-réseau isolé avec un groupe de sécurité réseau (NSG). Le NSG fournit une fonctionnalité de pare-feu. Les ressources qui utilisent les contrôleurs de domaine pour l’authentification doivent avoir une route réseau vers le sous-réseau du contrôleur de domaine. Activez une route réseau uniquement pour les applications nécessitant un accès aux services dans l’abonnement Identité. Pour plus d’informations, consultez Déployer AD DS dans un réseau virtuel Azure.
Utilisez Azure Virtual Network Manager pour appliquer des règles standard qui s’appliquent aux réseaux virtuels. Par exemple, vous pouvez utiliser les balises de ressources de réseau virtuel ou Azure Policy pour ajouter des réseaux virtuels de zone d’atterrissage à un groupe de réseaux s’ils nécessitent des services d’identité Active Directory. Le groupe réseau peut ensuite être utilisé pour autoriser l’accès au sous-réseau du contrôleur de domaine uniquement pour les applications qui en ont besoin et pour bloquer l’accès à d’autres applications.
Sécurisez les autorisations de contrôle d’accès en fonction du rôle (RBAC) qui s’appliquent aux VM du contrôleur de domaine et aux autres ressources d’identité. Les administrateurs ayant des attributions de rôles RBAC au niveau du plan de contrôle Azure, tels que Contributeur, Propriétaire ou Contributeur d’ordinateur virtuel, peuvent exécuter des commandes sur les ordinateurs virtuels. Assurez-vous que seuls les administrateurs autorisés peuvent accéder aux ordinateurs virtuels de l’abonnement d’identité et que les attributions de rôles trop permissives ne sont pas héritées de groupes d’administration supérieurs.
Gardez vos applications principales proches de, ou dans la même région que, le réseau virtuel de vos jeux de réplicas afin de réduire la latence. Dans une organisation multi-régionale, déployez les Services de domaine dans la région qui héberge les composants principaux de la plate-forme. Vous pouvez déployer les Services de domaine dans un seul abonnement. Pour étendre Domain Services à d’autres régions, vous pouvez ajouter jusqu’à quatre jeux de réplicas supplémentaires dans des réseaux virtuels séparés qui sont reliés au réseau virtuel principal.
Envisagez de déployer des contrôleurs de domaine AD DS dans plusieurs régions Azure et dans plusieurs zones de disponibilité afin d’accroître la résilience et la disponibilité. Pour plus d’informations, veuillez consulter les rubriques Créer des VM dans des zones de disponibilité et Migrer des VM vers des zones de disponibilité.
Consultez les méthodes d’authentification pour Microsoft Entra ID dans le cadre de votre planification d’identité. L’authentification peut se produire dans le cloud et localement, ou localement uniquement.
Envisagez d’utiliser l’authentification Kerberos pour Microsoft Entra ID plutôt que de déployer des contrôleurs de domaine dans le cloud si un utilisateur Windows nécessite Kerberos pour les partages de fichiers Azure Files.