.png)
- Warning
-
- JFolder::files : le chemin n'est pas un répertoire. Chemin : images/Badges
« Exige beaucoup de toi-même et attends peu des autres. Ainsi beaucoup d'ennuis te seront épargnés. »
Recherche glossaire
Traduction
Connexion à Azure AD
Connecter AD DS à Azure AD
Connecter AD DS à Azure AD à l’aide d’Azure AD Connect
Bien que la plupart des scénarios de déploiement pour Microsoft Premises Azure Active Directory (Azure AD) n’impliquent pas un environnement local de services de domaine Active Directory (AD DS). Pour les organisations qui disposent de certains services sur leurs réseaux locaux et certains services dans le cloud, la synchronisation et l’intégration entre AD DS et Azure AD est le moyen d’offrir la meilleure expérience utilisateur.
La synchronisation d’annuaires permet la synchronisation utilisateur, groupe et contact entre ad ds et ad azure ad. Dans sa formule la plus simple, vous installez un composant de synchronisation d’annuaire sur un serveur dans votre domaine AD DS local . Tous vos comptes d’utilisateurs, groupes et contacts d’AD DS se répliquent ensuite à Azure AD. Les utilisateurs ayant accès à ces comptes peuvent se connecter et accéder aux services Azure.
Avec les applications Azure AD Free ou Azure AD Office 365, le flux de synchronisation est à sens unique entre AD DS surplace vers Azure AD. Toutefois, avec Azure AD Premium, vous pouvez reproduire certains attributs d’Azure AD à AD DS.
Microsoft fournit Azure AD Connect pour effectuer la synchronisation d’annuaire synchronization entre Azure AD et AD DS. Par défaut, Azure AD Connect synchronise tous les utilisateurs et tous les groupes. Si vous ne souhaitez pas synchroniser l’ensemble de votre AD DSlocal, la synchronisation d’annuaires synchronization pour Azure AD prend en charge un degré de filtrage et de personnalisation du flux d’attributs attribute basé sur les valeurs suivantes :
- Groupe
- Unité organisationnelle (OU)
- Domaine
- Attributs utilisateur
- Applications
Lorsque vous activez la synchronisation d’annuaires synchronization, vous disposez des options d’authentification suivantes :
- Mot de passe cloud séparé. Lorsque vous synchronisez une identité utilisateur et non le mot de passe, le compte d’utilisateur basé sur lecloud aura un mot de passe unique distinct , ce qui peut être déroutant pour les utilisateurs.
- Mot de passe synchronisé. Si vous activez la synchronisation du hachage de mot de passe , le hachage de mot de passe del’utilisateur AD DS se synchronise avec l’identité identity dans Azure AD. Cela permet aux utilisateurs de s’authentifier en utilisant les mêmes informations d’identification,mais il ne fournit pas de connexion unique transparente (SSO), car les utilisateurs reçoivent toujours des invites pour authentifier les services cloud.
- Authentificationde passage. Lorsque vous activez l’authentificationde passage, Azure AD utilise l’identité cloud identity pour vérifier que l’utilisateur est valide, puis transmet la demande d’authentification à Azure AD Connect. Cette option fournit un SSO true car les utilisateurs ne reçoivent pas plusieurs invites pour s’authentifier avec les services cloud.
- Identités fédérées. Si vous configurez des identités fédérées , le processus d’authentification est similaire à l’authentification de passage , mais Active Directory Federation Services (AD FS) effectue l’authentification sur leslieux au lieu d’Azure AD Connect . Cette méthode d’authentification fournit une authentification baséesur les revendications que plusieurs applicationsbasées sur le cloud peuvent utiliser. Lorsque vous installez Azure AD Connect, vous devez vous connecter en tant qu’administrateur local administrator de l’ordinateur sur lequel which vous effectuez performing l’installation.
En outre, vous recevrez des invites d’informations d’identification sur le DS AD local et Azure AD. Le compte que vous utilisez pour vous connecter au compte AD DS local doit être membre du groupe Administrateurs d’entreprise. Le compte Azure AD que vous spécifiez doit être un administrateur global . Si vous utilisez AD FS ou une instance SQL Server distincte, vous recevrez également des invites d’informations d’identification avec des autorisations de gestion pour ces ressources.
L’ordinateur qui exécute Azure AD Connect doit être en mesure de communiquer avec Azure AD. Si l’ordinateur doit utiliser un serveur proxy pour accéder à Internet , alors une configuration supplémentaire est nécessaire.
Remarque: Vous n’avez pas besoin d’une connectivité entrante à partir d’Internet car Azure AD Connect initie toutes les communications.
Azure AD Connect doit être sur un membre de domaine . Lorsque vous installez Azure AD Connect, vous pouvez utiliser des paramètres express ou des paramètres personnalisés. La plupart des organisations qui synchronisent une seule forêt AD DS avec un locataire Azure AD utilisent l’option paramètres express.
Remarque: l’installation d’Azure AD Connect sur un contrôleur de domaine est prise en charge,mais cela se produit généralement uniquement dans les petites organisations ayant des licences limitées.
Lorsque vous choisissez des paramètres express, les options suivantes sont sélectionnées:
- SQL Server Express est installé et configuré.
- Toutes les identités de la forêt sont synchronisées.
- La synchronisation des mots de passe est activée.
- Une synchronisation initiale est effectuée immédiatement après l’installation.
- La mise à niveau automatique est activée.
Vous pouvez activer des options supplémentaires lors de l’installation lorsque vous sélectionnez des paramètres personnalisés, tels que :
- Authentification de passage.
- Fédération avec AD FS.
- Sélectionnez un attribut correspondant aux utilisateurs cloud existants.
- Filtrage basé sur des ou deux ou des attributs.
- Exchange hybride.
- Mot de passe, groupe ou écriture de périphérique.
Après le déploiement d’Azure AD Connect, ce qui suit se produit:
De nouveaux objets utilisateur, groupe et contact dans Active Directorylocaux sont ajoutés à Azure AD. Toutefois,aucune licence pour les services cloud, comme Office 365, n’est automatiquement attribuée à ces objets.
Les attributs des objets utilisateur, groupe ou contact existants modifiés modified dans l'Active Directory locaux sont modifiés modified dans Azure AD. Toutefois,tous les attributs Active Directory attributes locaux ne se synchronisent pas avec Azure AD.
Les objets utilisateur, groupe et contact existants qui sont supprimés d’Active Directory locaux sont supprimés d’Azure AD.
Les objets utilisateur existants qui sont désactivés surplace sont désactivés dans Azure. Toutefois, les licences ne sont pas automatiquement libérées.
Support de la Fédération
La principale fonctionnalité que l’AD FS et le proxy d’application Web facilitent est la prise en charge de la fédération. Une fédération ressemble à une relationde confiance traditionnelle , mais elle s’appuie sur des revendications (contenues dans des jetons) pour représenter des utilisateurs ou des périphériques authentifiés . Elle s’appuie sur des certificats pour établir des fiducies et faciliter une communication sécurisée avec un fournisseur d’identité. En outre, il s’appuie sur des protocoles web-friendly tels que HTTPS, Web Services Trust Language (WS-Trust), Web Services Federation (WS-Federation), ou OAuth pour gérer le transport et le traitement des données d’authentification et d’autorisation. Effectivement, AD DS, en combinaison avec AD FS et Proxy d’application Web, peut fonctionner comme un fournisseur de réclamations qui est capable d’authentifier les demandes de services web et des applications qui ne sont pas en mesure d’accéder à des contrôleurs de domaine AD DS directement.
Avantages
Avantages de l’intégration d’Azure AD à AD DS
Dans un environnement purement local, la gestion de l’authentification, l’autorisation et d’autres paramètres liés à la sécurité, ainsi que la gestion des périphériques et des applications, sont fournis par des outils tels que la stratégie de groupe et le gestionnaire de configuration de points de terminaison. Pour les organisations opérant uniquement dans le cloud, l’authentification et l’autorisation sont l'authentication fournie par Azure Active Directory (Azure AD) afin que les utilisateurs puissent accéder aux applications et aux ressources. Pour ces organisations,Microsoft Intune et le Microsoft Store for Business fournissent la gestion des périphériques et des applications.
Certaines organisations peuvent choisir d’implémenter implement Azure AD en plus de leur infrastructure ADDS locale. Pour certains, il peut s’agir d’une mesure temporaire lors d’une migration par étapes d’AD DS vers le cloud. Pour d’autres, il peut s’agir d’une configuration permanente. Dans les environnements hybrides, les administrateurs peuvent utiliser l’approvisionnement local et basé sur le cloud ainsi que des outils de gestion pour gérer les appareils de leurs utilisateurs hybrid. Par conséquent, il ya de nombreux avantages à l’exploitation dans cet environnement hybride . Les sections suivantes traitent de certains de ces avantages.
Protection des informations Azure
Azure Information Protection est un ensemble de technologies basées sur le cloud qui fournissent la classification, l’étiquetage et la protection desd onnées. Vous pouvez utiliser la protection des informations Azure pour classer, étiqueter et protéger les données telles que les e-mails et les documents créés dans les applications Microsoft Office ou d’autres applications prises en charge. Au lieu de se concentrer uniquement sur le chiffrement des données, la protection des informations Azure a une portée plus large. Il fournit des mécanismes pour reconnaître les données sensibles, alerter les utilisateurs lorsqu’ils traitent des données sensibles et suivre l’utilisation des données critiques. Toutefois,le composant clé de la protection des informations Azure est la protection des données basée sur les technologies de gestion des droits. Dans les environnements hybrides, vous pouvez étendre la portée d’Azure Information Protection à vos applications locales telles que Microsoft Exchange Server et Microsoft SharePoint Server.
Remarque: Microsoft a l’intention de remplacer la protection des informations Azure n par Microsoft Identity Protection vers 2021, après quoi la protection des informations Azurene sera plus be disponible dans le portail Azure.
Classification, étiquetage et protection
Pour utiliser Azure Information Protection, vous devez configurer des règles et des stratégies de classification, d’étiquetage et de protection. Par exemple, vous pouvez configurer certains types de données, mots clés ou expressions pour qu’ils soient des conditions de classification automatique ou recommandée. Le composant client Azure Information Protection surveille les documents ou les e-mails en temps réel. S’il détecte un mot clé ou une expression, il recommande une classification appropriée pour un document.
Remarque: Vous pouvez également configurer la protection des informations Azure pour appliquer automatiquement la classification . Par exemple, vous pouvez configurer une règle de classification automatique qui classe un document comme restreint s’il contient un numéro de carte de crédit.
Le résultat de la classification est une étiquette. Une étiquette est une métadonnées pour un document qui apparaît dans les fichiers et les en-têtes de messagerie en texte clair . L’étiquette dispose d’un texte clair afin que d’autres services, tels que les solutions de prévention des pertes de données (DLP) ou des solutions de protection, puissent identifier la classification et prendre les mesures appropriées. Par exemple,une étiquette peut être confidentielle, restreinte ou publique. L’étiquette contient également une configuration de protection si une étiquette spécifique nécessite la protection.
Par exemple, cette protection peut fournir un accès en lecture seule à certains utilisateurs de l’entreprise. Une fois que la protection des informations Azure applique une protection à un document ou à un e-mail, la protection reste jusqu’à ce qu’un auteur ou un super utilisateur le supprime.
Remarque: Azure Information Protection est disponible dans Azure AD Premium P1 et P2.
Réinitialisation du mot de passe en libre-service
Vous pouvez activer la réinitialisation de mot de passe en libre-service (SSPR) sur Azure AD, que ce soit pour tous les utilisateurs ou sélectionnés . À l’aide de cette fonctionnalité, les utilisateurs peuvent modifier leurs mots de passe ou déverrouiller leurs comptes après l’expiration de leur mot de passe. Cette fonctionnalité affecte uniquement le compte Azure AD . Dans un environnement hybride , où Azure AD se connecte à unAD DS local, ce processus peut entraîner un décalage de mot de passe . Toutefois, vous pouvez implémenter la rédaction de mot de passe pour synchroniser les modifications de mot de passe dans Azure AD vers votre environnement AD DS local.
En amenant vos appareils à Azure AD, vous maximisez la productivité de vos utilisateurs grâce à une seule authentification (SSO) à travers votre cloud et vos ressources sur site . En même temps, vous pouvez sécuriser l’accès à votre cloud et aux ressources locales avec un accès conditionnel, qui est une fonctionnalité d’Azure AD. Avec un accès conditionnel, vous pouvez implémenter des décisions de contrôle d’accès automatisé pour accéder à des applications telles que SharePoint Online ou Exchange Online, qui sont basées sur des conditions. Par exemple, vous pouvez créer un example stratégie d’accès conditionnel qui oblige les administrateurs à se connecter avec l’authentification multifactorielle, ou vous pouvez exiger qu’un appareil soit conforme en termes de paramètres de sécurité avant de pouvoir accéder à Exchange.
Co-gestion
Si vous disposez d’un environnement Active Directory local et que vous souhaitez co-gérer vos périphériques liés au co domaine, vous pouvez le faire en configurant des périphériques hybrides rejoints par Azure AD. La cogestion gère les périphériques Windows 10 avec is des technologies locales, telles que la gestion de la stratégie de groupe et de la configuration des points de terminaison, et à l’aide des stratégies premises Intune (Endpoint Manager). Vous pouvez gérer certains aspects à l’aide du Gestionnaire de configuration de point de terminaison et d’autres aspects à l’aide using d’Intune ou du Gestionnaire de points de terminaison.
Intune, qui fournit la gestion des périphériques mobiles (MDM), vous permet de configurer des paramètres qui atteignent votre intention administrative sans exposer chaque paramètre. En revanche,la stratégie de groupe expose les paramètres àgrain fin que vous contrôlez individuellement. Avec MDM, vous pouvez appliquer des paramètres plus larges de confidentialité, de sécurité et de gestion d’application grâce à des outils plus légers et plus efficaces. MDM vous permet également de cibler les appareils connectés à Internet pour gérer les stratégies sans utiliser la stratégie de groupe qui nécessite des périphériques connectés au domaine local . Cela fait de MDM le meilleur choix pour les appareils qui sont constamment en déplacement.
Remarque: Intune est un service basé sur le cloud que vous pouvez utiliser pour gérer les ordinateurs, les ordinateurs portables, les tablettes, les autres appareils mobiles, les applications fonctionnant sur ces appareils et les données que vous stockez sur ces appareils. Intune est un composant de la plate-forme Microsoft 365.
Une fois que vous avez joint vos périphériques AD DS locaux à Azure AD, vous pouvez immédiatement utiliser les fonctionnalités Intune suivantes .
Actions distantes :
- Réinitialisation de l’usine
- Essuyage sélectif
- Supprimer les périphériques
- Dispositif device de redémarrage
- Nouveau départ
Orchestration avec Intune pour les charges de travail suivantes :
- Politiques de conformité
- Stratégies d’accès aux ressources
- Stratégies de mise à jour Windows
- Protection des points de terminaison
- Configuration de l’appareil
- Applications De clic à exécuter Office
- Gérer les applications
Intune fournit des fonctionnalités de gestion des applications mobiles (MAM), en plus de MDM. Vous pouvez utiliser Intune pour déployer, configurer et gérer des applications au sein de votre organisation pour les appareils qui sont rejoints par Azure AD et Azure AD joint hybride.