Print Friendly, PDF & Email
Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives
 

Options d’authentification Microsoft 365

Grâce à une solution efficace de gestion de l’accès au compte, votre organisation peut suivre qui a accès aux informations de l’organisation. Le contrôle d’accès est une fonction essentielle d’un système d’approvisionnement centralisé en un seul point. Outre la protection des informations sensibles, les contrôles d’accès exposent les comptes existants qui ont des autorisations non approuvées ou qui ne sont plus nécessaires.

Les comptes de la plupart des systèmes informatiques (technologies de l’information) comprennent des centaines de paramètres qui définissent les autorités, et le système d’approvisionnement peut contrôler ces détails dans votre environnement. Les nouveaux utilisateurs peuvent être facilement identifiés avec le flux de données que vous établissez à partir du répertoire des ressources humaines. La capacité d’approbation des demandes d’accès initie les processus qui les approuvent ou rejettent.

 Le tableau suivant compare les options de gestion et d’approvisionnement des comptes d’utilisateur dans les trois topologies.

Topologie

Options pour la gestion et l’approvisionnement des comptes d’utilisateur

Sur place

  • Avec AD DS, vous pouvez créer une infrastructure évolutive, sécurisée et gérable pour la gestion des utilisateurs et des ressources, et fournir une prise en charge pour les applications compatibles avec les répertoires telles que Microsoft Exchange Server.
  • Groupes d’approvisionnement en AD DS par l’intermédiaire d’un Gestionnaire d’identité Microsoft (MIM).
  • Mise à disposition des utilisateurs dans AD DS. Directory définit comment différents utilisateurs peuvent utiliser les objets Active Directory. Par défaut, les autorisations sur les objets d’Active Directory sont définies sur le paramètre le plus sécurisé.
  • Les administrateurs peuvent utiliser le contrôle d’accès pour gérer l’accès des utilisateurs aux ressources partagées à des fins de sécurité. Dans Active Directory, le contrôle d’accès est administré au niveau de l’objet en définissant différents niveaux d’accès ou d’autorisations sur des objets tels que contrôle total, écriture, lecture ou non d’accès.

Cloud

  • Vous devez créer un compte pour chaque utilisateur qui accédera à un service cloud Microsoft. Vous pouvez également modifier des comptes d’utilisateurs ou les supprimer lorsque vous n’en avez plus besoin. Par défaut, les utilisateurs n’ont pas d’autorisations d’administrateur, mais vous pouvez éventuellement les affecter.
  • L’une des principales fonctionnalités de Microsoft Azure Active Directory (Azure AD) est sa capacité à gérer l’accès aux ressources. Ces ressources peuvent faire partie du répertoire, comme dans le cas des autorisations de gestion d’objets par le biais de rôles dans le répertoire ou de ressources externes au répertoire, telles que des applications logicielles (SaaS), des services Azure et des sites Microsoft SharePoint ou des ressources locales. Au centre de la solution de gestion d’accès Azure AD se trouve le groupe de sécurité. Le propriétaire de la ressource (ou l’administrateur du répertoire) peut affecter un groupe pour fournir certains droits d’accès aux ressources qu’il possède. Les membres du groupe auront accès et le propriétaire de la ressource peut déléguer les droits de gestion de la liste des membres du groupe à quelqu’un d’autre, tel qu’un gestionnaire de service ou un administrateur de service d’assistance.

Hybride

Étendre les identités Active Directory dans le cloud grâce à la synchronisation et au service de fédération Active Directory (AD FS). Vous pouvez également utiliser l’authentification de passage comme alternative à AD FS.

Azure Active Directory

Azure Active Directory (Azure AD) est une instance en ligne d’AD DS. Azure AD fournit l’authentification et l’autorisation pour Microsoft 365 et pour d’autres offres cloud Microsoft, y compris Azure et Microsoft Intune. L’authentification par Azure AD peut se faire uniquement sur le cloud, grâce à la synchronisation d’annuaires à partir d’AD DS local, avec synchronisation de mot de passe facultative, ou vous pouvez activer l’authentification utilisateur avec des comptes d’utilisateurs locaux via AD FS, l’authentification de transmission ou d’autres fournisseurs de connexion unique (SSO).

Les options d’authentification suivantes sont disponibles dans Microsoft 365 :

  • Cloud uniquement: Les identités uniquement cloud sont exactement comme son nom l’indique ; L’identité utilisateur n’existe que dans le cloud, de sorte que toute la gestion des mots de passe et le contrôle de stratégie est effectué dans Windows Azure AD. Chaque utilisateur aura deux identités entièrement distinctes.
  • Synchronisation d’annuaire avec synchronisation facultative de mot de passe: Avec la synchronisation d’annuaires, vous définissez un serveur ou un appliance de synchronisation d’annuaires qui fournit une ou deux synchronisations d’utilisateurs, de groupes et d’attributs d’AD DS local à Azure AD. Dans le cas des environnements hybrides Exchange, il y a également synchronisation de certains attributs en ligne vers les locaux. Toutefois, il est important de se rappeler que même avec la synchronisation des mots de passe, il existe encore deux ensembles d’informations d’identification de sécurité ; c’est juste que la synchronisation d’annuaire et la synchronisation de mot de passe les maintiennent alignés. Les utilisateurs continuent de s’authentifier sur Azure AD pour accéder à Microsoft Exchange Online et à d’autres services en ligne.
  • Connexion unique (SSO) avec AD FS: L’option SSO transmet le contrôle d’authentification à votre service d’annuaire. Par conséquent, les utilisateurs ne s’authentifient plus contre Azure AD mais contre AD FS. Par conséquent, lorsqu’un type d’utilisateur useralias@adatum.com dans la page de connexion Microsoft 365, l’utilisateur reçoit un message indiquant qu’il a été redirigé vers la page de connexion de son organisation. Ils saisissent maintenant leurs informations d’identification d’identité locales sur une page Web AD FS locale qui transmet une demande d’authentification à AD DS. Une fois qu’un utilisateur est authentifié, il s’authentifie aux services en ligne Microsoft 365 à l’aide d’un jeton délégué qui vérifie à Microsoft 365 que l’utilisateur a été authentifié avec succès par son service d’annuaire local. SSO est couvert plus en détail plus tard dans ce cours.
  • Authentification passtrough (PTA): Cette option est similaire à SSO avec AD FS, mais elle n’implémente pas AD FS sur place. Au lieu de cela, l’agent est déployé localement et transmet les demandes d’authentification à AD DS.

Dans la phase pilote d’un déploiement, les organisations doivent implémenter des identités uniquement cloud, car cette option n’a pas de besoins d’infrastructure sur place. Dans cette phase, vous devez planifier la synchronisation d’annuaire avec la synchronisation des mots de passe.

Les utilisateurs synchronisés par mot de passe peuvent se connecter aux services cloud Microsoft, tels que Microsoft 365, Microsoft Dynamics 365 et Intune, en utilisant le même mot de passe qu’ils utilisent lors de la connexion à leur réseau local. Le mot de passe de l’utilisateur est synchronisé avec Azure AD grâce à l’utilisation d’un hachage de mot de passe, et l’authentification se produit dans le nuage.

La fédération avec les utilisateurs AD FS pourra se connecter aux services cloud Microsoft, tels que Microsoft 365, Microsoft Dynamics 365 et Intune, en utilisant le même mot de passe qu’ils ont utilisé lors de la connexion à leur réseau local. Les utilisateurs sont redirigés vers leur infrastructure AD FS locale pour l’authentification.

 

 

 

Print Friendly, PDF & Email