Options d’authentification Microsoft 365
Grâce à une solution efficace de gestion de l’accès au compte, votre organisation peut suivre qui a accès aux informations de l’organisation. Le contrôle d’accès est une fonction essentielle d’un système d’approvisionnement centralisé en un seul point. Outre la protection des informations sensibles, les contrôles d’accès exposent les comptes existants qui ont des autorisations non approuvées ou qui ne sont plus nécessaires.
Les comptes de la plupart des systèmes informatiques (technologies de l’information) comprennent des centaines de paramètres qui définissent les autorités, et le système d’approvisionnement peut contrôler ces détails dans votre environnement. Les nouveaux utilisateurs peuvent être facilement identifiés avec le flux de données que vous établissez à partir du répertoire des ressources humaines. La capacité d’approbation des demandes d’accès initie les processus qui les approuvent ou rejettent.
Le tableau suivant compare les options de gestion et d’approvisionnement des comptes d’utilisateur dans les trois topologies.
Topologie |
Options pour la gestion et l’approvisionnement des comptes d’utilisateur |
Sur place |
|
Cloud |
|
Hybride |
Étendre les identités Active Directory dans le cloud grâce à la synchronisation et au service de fédération Active Directory (AD FS). Vous pouvez également utiliser l’authentification de passage comme alternative à AD FS. |
Azure Active Directory
Azure Active Directory (Azure AD) est une instance en ligne d’AD DS. Azure AD fournit l’authentification et l’autorisation pour Microsoft 365 et pour d’autres offres cloud Microsoft, y compris Azure et Microsoft Intune. L’authentification par Azure AD peut se faire uniquement sur le cloud, grâce à la synchronisation d’annuaires à partir d’AD DS local, avec synchronisation de mot de passe facultative, ou vous pouvez activer l’authentification utilisateur avec des comptes d’utilisateurs locaux via AD FS, l’authentification de transmission ou d’autres fournisseurs de connexion unique (SSO).
Les options d’authentification suivantes sont disponibles dans Microsoft 365 :
- Cloud uniquement: Les identités uniquement cloud sont exactement comme son nom l’indique ; L’identité utilisateur n’existe que dans le cloud, de sorte que toute la gestion des mots de passe et le contrôle de stratégie est effectué dans Windows Azure AD. Chaque utilisateur aura deux identités entièrement distinctes.
- Synchronisation d’annuaire avec synchronisation facultative de mot de passe: Avec la synchronisation d’annuaires, vous définissez un serveur ou un appliance de synchronisation d’annuaires qui fournit une ou deux synchronisations d’utilisateurs, de groupes et d’attributs d’AD DS local à Azure AD. Dans le cas des environnements hybrides Exchange, il y a également synchronisation de certains attributs en ligne vers les locaux. Toutefois, il est important de se rappeler que même avec la synchronisation des mots de passe, il existe encore deux ensembles d’informations d’identification de sécurité ; c’est juste que la synchronisation d’annuaire et la synchronisation de mot de passe les maintiennent alignés. Les utilisateurs continuent de s’authentifier sur Azure AD pour accéder à Microsoft Exchange Online et à d’autres services en ligne.
- Connexion unique (SSO) avec AD FS: L’option SSO transmet le contrôle d’authentification à votre service d’annuaire. Par conséquent, les utilisateurs ne s’authentifient plus contre Azure AD mais contre AD FS. Par conséquent, lorsqu’un type d’utilisateur useralias@adatum.com dans la page de connexion Microsoft 365, l’utilisateur reçoit un message indiquant qu’il a été redirigé vers la page de connexion de son organisation. Ils saisissent maintenant leurs informations d’identification d’identité locales sur une page Web AD FS locale qui transmet une demande d’authentification à AD DS. Une fois qu’un utilisateur est authentifié, il s’authentifie aux services en ligne Microsoft 365 à l’aide d’un jeton délégué qui vérifie à Microsoft 365 que l’utilisateur a été authentifié avec succès par son service d’annuaire local. SSO est couvert plus en détail plus tard dans ce cours.
- Authentification passtrough (PTA): Cette option est similaire à SSO avec AD FS, mais elle n’implémente pas AD FS sur place. Au lieu de cela, l’agent est déployé localement et transmet les demandes d’authentification à AD DS.
Dans la phase pilote d’un déploiement, les organisations doivent implémenter des identités uniquement cloud, car cette option n’a pas de besoins d’infrastructure sur place. Dans cette phase, vous devez planifier la synchronisation d’annuaire avec la synchronisation des mots de passe.
Les utilisateurs synchronisés par mot de passe peuvent se connecter aux services cloud Microsoft, tels que Microsoft 365, Microsoft Dynamics 365 et Intune, en utilisant le même mot de passe qu’ils utilisent lors de la connexion à leur réseau local. Le mot de passe de l’utilisateur est synchronisé avec Azure AD grâce à l’utilisation d’un hachage de mot de passe, et l’authentification se produit dans le nuage.
La fédération avec les utilisateurs AD FS pourra se connecter aux services cloud Microsoft, tels que Microsoft 365, Microsoft Dynamics 365 et Intune, en utilisant le même mot de passe qu’ils ont utilisé lors de la connexion à leur réseau local. Les utilisateurs sont redirigés vers leur infrastructure AD FS locale pour l’authentification.