You are here: Home Microsoft 365 Les Composants sécurité et mobilité de l’entreprise Les différents types de comptes
« Il n’existe que deux choses infinies, l’univers et la bêtise humaine... mais pour l'univers, je n'ai pas de certitude absolue. »
Gestion des groupes et des utilisateurs
L’une des considérations les plus importantes pour la mise en œuvre des comptes d’utilisateurs Microsoft 365 est la façon dont vous créez et gérez ces identités. Vous pouvez choisir de maintenir des identités cloud uniquement dans Microsoft 365, ou vous pouvez synchroniser les identités cloud avec vos services de domaine Active Directory (AD DS) locaux. Chaque option présente des avantages différents.
Une identité cloud est un utilisateur qui n’existe que dans Microsoft 365 ou, pour être plus précis, uniquement dans Microsoft Azure Active Directory (Azure AD). Azure AD fournit des services de magasin d’identité, d’authentification et d’autorisation pour Microsoft 365. Vous pouvez créer une identité cloud avec le même nom qu’un compte d’utilisateur local, mais il n’y a aucun lien entre eux. Les modifications que vous effectuez à l’utilisateur local ne sont pas synchronisées avec l’utilisateur Microsoft 365. Vous créez des identités cloud à l’aide d’outils de gestion Microsoft 365 ou du portail d’administration Azure AD.
Le principal inconvénient de l’utilisation des identités cloud est la gestion supplémentaire qui y est associée. Lorsque vous créez un nouvel utilisateur sur place, vous devez également créer cet utilisateur dans Microsoft 365 en tant qu’étape distincte. En outre, les utilisateurs doivent conserver un mot de passe distinct car il n’y a pas de synchronisation de mot de passe. Seules les très petites organisations utilisent généralement des identités cloud.
Identités synchronisées
Une identité synchronisée est un utilisateur qui existe dans ad ds local et dans Microsoft 365. Le compte d’utilisateur AD DS local et le compte d’utilisateur Microsoft 365 sont deux objets différents qui sont liés entre eux. Les modifications apportées au compte d’utilisateur local sont automatiquement synchronisées avec le compte d’utilisateur Microsoft 365.
L’outil Azure Active Directory Connect (Azure AD Connect) effectue la synchronisation. L’administrateur d’entreprise doit télécharger Azure AD Connect et l’installer dans l’environnement local de l’organisation. Avec elle, vous avez la possibilité de filtrer les comptes de votre AD DS local qui sont synchronisés et de synchroniser ou non les mots de passe.
Lorsque vous implémentez des identités synchronisées, AD DS est la source faisant autorité pour la plupart des informations. Par conséquent, vous devez effectuer la plupart des tâches d’administration sur place qui sont ensuite synchronisées avec Microsoft 365. Seul un très petit ensemble d’attributs utilisateur se synchronisent à partir de Microsoft 365 vers AD DS sur place.
Bien qu’AD DS soit la source faisant autorité pour la plupart des informations, l’authentification pour les identités synchronisées se produit dans Microsoft 365. Le nom d’utilisateur et le mot de passe sont évalués dans Microsoft 365 sans aucune dépendance à l’égard de l’infrastructure locale.
Une identité fédérée est un compte d’utilisateur synchronisé qui est authentifié à l’aide des services de fédération Active Directory (AD FS). AD FS est déployé sur place et communique avec AD DS sur place. Lorsque Microsoft 365 authentifie une identité fédérée, il dirige la demande d’authentification vers AD FS. Étant donné que le compte d’utilisateur local est utilisé pour l’authentification, le même mot de passe est utilisé pour la connexion à Microsoft 365 et à l’AD DS locale.
La mise en œuvre d’identités fédérées est beaucoup plus complexe que les identités synchronisées en raison de l’obligation d’implémenter ad fs. L’authentification à Microsoft 365 dépend de la disponibilité d’AD FS ; par conséquent, les interruptions de service à l’infrastructure locale peuvent affecter l’authentification Microsoft 365. Par exemple, une panne d’Internet locale entraînera l’échec de l’authentification Microsoft 365. Toutefois, vous pouvez atténuer cette situation en plaçant une copie d’AD DS et d’AD FS dans Microsoft Azure.
Le principal avantage de l’utilisation d’identités fédérées est l’authentification unique (OSS). Les utilisateurs s’authentifient sur un poste de travail joint par un domaine à l’aide de leurs informations d’identification. SSO utilise ces informations d’identification pour s’authentifier automatiquement aux services Microsoft 365. Lorsque vous utilisez des identités synchronisées, les utilisateurs doivent généralement entrer manuellement dans leurs informations d’identification lorsqu’ils accèdent aux services Microsoft 365.
Les identités fédérées tirent également parti des stratégies de mot de passe et du verrouillage de compte dans un DS AD local. Cela offre plus de flexibilité lors de la gestion des stratégies de mot de passe pour Microsoft 365. Microsoft 365 surveille les comptes pour les attaques de mot de passe, mais ne dispose pas de stratégies flexibles de verrouillage de compte où vous pouvez déverrouiller les comptes.
Comme alternative à un déploiement AD FS, Microsoft fournit également des fonctionnalités d’authentification de passage (PTA). Cette fonctionnalité fonctionne d’une manière similaire à AD FS. Toutefois, au lieu de déployer une infrastructure AD FS, vous déployez l’agent PTA dans votre infrastructure AD DS locale. Cet agent accepte les demandes d’authentification de Microsoft 365 et les transmet à AD DS. Bien que vous puissiez utiliser AD FS pour de nombreux autres services en dehors de Microsoft 365, la fonctionnalité d’authentification de passage fonctionne uniquement avec Azure AD Connect.