Comparer Active Directory à Microsoft Entra ID

Microsoft Entra ID constitue la toute dernière évolution des solutions de gestion des identités et des accès pour le cloud. Microsoft a introduit Active Directory Domain Services dans Windows 2000 pour permettre aux organisations de gérer plusieurs systèmes et composants d’infrastructure locaux à l’aide d’une identité unique par utilisateur.

Microsoft Entra ID mène cette approche au niveau suivant en fournissant aux organisations une solution IDaaS (Identity as a Service) pour toutes leurs applications dans le cloud et localement.

La plupart des administrateurs informatiques maîtrisent les concepts liés à Active Directory Domain Services. Le tableau suivant présente les différences et les similarités entre les concepts propres à Active Directory et ceux propres à Microsoft Entra ID.

Concept Windows Server Active Directory Microsoft Entra ID
Utilisateurs
Provisionnement : utilisateurs Les organisations créent manuellement des utilisateurs internes ou utilisent un système de provisionnement interne ou automatisé, tel que Microsoft Identity Manager, pour s’intégrer à un système RH. Les organisations Microsoft Windows Server Active Directory existantes utilisent Microsoft Entra Connect pour synchroniser les identités dans le cloud.
Microsoft Entra ID ajoute une prise en charge pour créer automatiquement des utilisateurs à partir des systèmes RH cloud.
Microsoft Entra ID peut approvisionner des identités dans des applications software as a service (SaaS) avec System for Cross-domain Identity Management (SCIM) afin de fournir automatiquement aux applications les informations nécessaires pour de permettre l’accès des utilisateurs.
Provisionnement : identités externes Les organisations créent manuellement des utilisateurs externes en tant qu’utilisateurs standard dans une forêt Microsoft Windows Server Active Directory externe dédiée, ce qui génère une surcharge administrative pour gérer le cycle de vie des identités externes (utilisateurs invités) Microsoft Entra ID fournit une classe spéciale d’identité pour prendre en charge les identités externes. Microsoft Entra B2B gère le lien à l’identité de l’utilisateur externe pour garantir sa validité.
Gestion des droits d’utilisation et groupes Les administrateurs définissent les utilisateurs comme membres de groupes. Les propriétaires des applications et des ressources accordent ensuite aux groupes l’accès aux applications et aux ressources. Les groupes sont également disponibles dans Microsoft Entra ID et les administrateurs peuvent également utiliser des groupes pour accorder des autorisations aux ressources. Dans Microsoft Entra ID, les administrateurs peuvent attribuer manuellement l’appartenance aux groupes ou utiliser une requête pour inclure de manière dynamique des utilisateurs dans un groupe. Les
administrateurs peuvent utiliser la gestion des droits d’utilisation dans Microsoft Entra ID pour permettre aux utilisateurs d’accéder à un ensemble d’applications et de ressources à l’aide de flux de travail et, si nécessaire, de critères temporels.
Gestion d’administration Les organisations associent des domaines, des unités d’organisation et des groupes dans Microsoft Windows Server Active Directory pour déléguer les droits d’administration afin de gérer le répertoire et les ressources qu’il contrôle. Microsoft Entra ID fournit des rôles intégrés avec son système de contrôle d’accès en fonction du rôle (RBAC) Microsoft Entra, avec une prise en charge limitée de la création de rôles personnalisés afin de déléguer l’accès privilégié au système d’identité, aux applications et aux ressources qu’il contrôle.
La gestion des rôles peut être optimisée avec Privileged Identity Management (PIM) pour fournir un accès juste-à-temps, limité dans le temps ou basé sur le workflow à des rôles privilégiés.
Gestion des identifiants Dans Active Directory, les informations d’identification sont basées sur les mots de passe, l’authentification par certificat et l’authentification par carte à puce. Les mots de passe sont gérés à l’aide de stratégies de mot de passe basées sur la longueur, l’expiration et la complexité des mots de passe. Microsoft Entra ID utilise une protection par mot de passe intelligente pour le cloud et localement. Cette protection comprend le verrouillage intelligent, ainsi que le blocage des substitutions et phrases de mot de passe courantes et personnalisées.
Microsoft Entra ID améliore de manière significative la sécurité via l’authentification multifacteur et des technologies sans mot de passe comme FIDO2.
Microsoft Entra ID réduit les coûts de support en fournissant aux utilisateurs un système de réinitialisation de mot de passe en libre-service.
Applications
Applications d’infrastructure Active Directory constitue la base de nombreux composants locaux d’infrastructure, tels que l’accès DNS (Domain Name System), DHCP (Dynamic Host Configuration Protocol), IPSec (Internet Protocol Security), Wi-Fi, NPS (Network Policy Server) et VPN (réseau privé virtuel) Dans le nouveau monde du cloud, Microsoft Entra ID est le nouveau plan de contrôle permettant d’accéder aux applications et de s’appuyer sur les contrôles de réseau. Lorsque les utilisateurs s’authentifient, l’accès conditionnel contrôle les utilisateurs qui ont accès aux applications dans les conditions requises.
Applications traditionnelles et héritées La plupart des applications locales utilisent LDAP, l’authentification Windows intégrée (NTLM et Kerberos) ou l’authentification basée sur l’en-tête pour contrôler l’accès aux utilisateurs. Azure AD peut fournir un accès à ces types d’applications locales à l’aide d’agents de proxy d’application Microsoft Entra s’exécutant localement. En utilisant cette méthode, Microsoft Entra peut authentifier localement les utilisateurs Active Directory à l’aide de Kerberos pendant que vous migrez ou avez besoin de coexister avec des applications héritées.
Applications SaaS Active Directory ne prend pas en charge les applications SaaS en mode natif et nécessite un système de fédération, tel qu’AD FS. Les applications SaaS prennent en charge l’authentification OAuth2, Security Assertion Markup Language (SAML) et WS-* peuvent donc être intégrées afin d’utiliser Microsoft Entra ID pour l’authentification.
Applications métier avec authentification moderne Les organisations peuvent utiliser AD FS avec Active Directory pour prendre en charge les applications métier nécessitant une authentification moderne. Les applications métier nécessitant une authentification moderne peuvent être configurées pour utiliser Microsoft Entra ID pour l’authentification.
Services de niveau intermédiaire/démons Les services s’exécutant dans des environnements locaux utilisent normalement des comptes de service Microsoft Windows Server Active Directory ou des comptes de service gérés de groupe (gMSA) pour s’exécuter. Ces applications hériteront ensuite des autorisations du compte de service. Microsoft Entra ID fournit des identités managées afin d’exécuter d’autres charges de travail dans le cloud. Le cycle de vie de ces identités est géré par Microsoft Entra ID et lié au fournisseur de ressources, et il ne peut pas être utilisé à d’autres fins pour obtenir un accès par une porte dérobée.
Appareils
Mobile Active Directory ne prend pas en charge en mode natif les appareils mobiles sans solutions tierces. La solution de gestion des périphériques mobiles de Microsoft, Microsoft Intune, est intégrée à Microsoft Entra ID. Microsoft Intune fournit les informations d’état de l’appareil au système d’identité à des fins d’évaluation pendant l’authentification.
Postes de travail Windows Active Directory offre la possibilité d’effectuer une jonction de domaine des appareils Windows afin de les gérer à l’aide d’une stratégie de groupe, de System Center Configuration Manager ou d’autres solutions tierces. Les appareils Windows peuvent être joints à Microsoft Entra ID. L’accès conditionnel peut vérifier si un appareil est joint à Microsoft Entra dans le cadre du processus d’authentification. Les appareils Windows peuvent également être gérés avec Microsoft Intune. Dans ce cas, l’accès conditionnel détermine si un appareil est conforme (par exemple, si les correctifs de sécurité et signatures de virus sont à jour) avant d’autoriser l’accès aux applications.
Serveurs Windows Active Directory fournit des fonctionnalités de gestion fortes pour les serveurs Windows locaux à l’aide d’une stratégie de groupe ou d’autres solutions de gestion. Les machines virtuelles des serveurs Windows dans Azure peuvent être gérées avec Microsoft Entra Domain Services. Les identités managées peuvent être utilisées lorsque les machines virtuelles doivent accéder au répertoire ou aux ressources du système d’identité.
Charges de travail Linux/Unix Active Directory ne prend pas en charge de manière native les charges de travail non-Windows sans solutions tierces, même si les ordinateurs Linux peuvent être configurés pour s’authentifier auprès d’Active Directory en tant que domaine Kerberos. Les machines virtuelles Linux/Unix peuvent utiliser des identités managées pour accéder au système d’identité ou aux ressources. Certaines organisations migrent ces charges de travail vers des technologies de conteneur cloud, qui peuvent également utiliser des identités managées.

Étapes suivantes