Conclusion
Introduction
La gestion de l’identité est un défi pour les entreprises et les DSI, car elle doit être gérée de manière sécurisée tout en offrant de la mobilité et de la productivité aux utilisateurs. Le curseur entre sécurité et mobilité n’est pas facile à trouver selon les environnements dans lesquels on évolue.
Microsoft a amélioré sa solution de gestion d’identités au fil des années. Ils ont récemment proposé Microsoft Entra pour faciliter la gestion des identités, leur cycle de vie, ainsi que leur sécurité via un seul portail qui regroupe toute la famille Microsoft Entra, comprenant Azure Active Directory avec les offres P1 et P2, les identités de charge de travail, Permissions Management, Verified ID et Identity Governance.
« Un projet Azure Active Directory est géré différemment dans le milieu bancaire que dans des environnements de type PME ou du secteur public. » Cette phase date de cinq ans, lors de la première version de cet ouvrage. Cependant, le monde a changé au cours des cinq dernières années. Ainsi, depuis l’arrivée du COVID-19 en 2020, la façon de travailler, de consommer le cloud et la cybercriminalité ont évolué. C’est pourquoi cet ouvrage propose un nouveau paradigme avec la vision Zero Trust qui dit que tout environnement, qu’il soit physique ou virtuel, doit être sécurisé de la meilleure des manières, rendant obsolète la sécurité en fonction du secteur d’activité comme le cliché du secteur bancaire.
Never trust, always verify est appliqué tout au long de cette nouvelle édition, en commençant par la gestion des identités...
L’identité hybride
Souvent, ce concept est méconnu. L’émergence du cloud arrive vite, et les entreprises doivent rapidement s’adapter. Par exemple, je suis très sollicité pour de l’avant-vente technique d’exposer la nouvelle façon de gérer son identité avec le cloud.
Le but de l’identité hybride est d’offrir un point central qui permet de gérer toute l’identité de l’entreprise de manière unique, depuis l’annuaire Active Directory. Pour cela, l’extension de l’annuaire Active Directory devient nécessaire et indispensable car les identités locales vont se retrouver dans Azure Active Directory. Les utilisateurs pourront alors, avec la même identité (c’est-à-dire un même login et mot de passe) se connecter à toutes les applications et services cloud de l’entreprise, tout en gardant bien entendu la possibilité d’accéder aux ressources internes habituelles ; une équation intéressante et gagnante sur le plan sécurité et productivité (une identité = plusieurs applications).
Ceci représente un défi majeur car, comme nous l’avons étudié, avant d’étendre un annuaire Active Directory vers Azure Active Directory, un travail de fond doit être réalisé, un assessment, afin de bien récolter toutes les informations nécessaires qui feront de votre projet d’identité hybride un succès.
Il est très important de connaître son système d’information avant de commencer l’extension de l’annuaire Active Directory. Il faut notamment être en mesure de répondre à ces quelques questions :
-
Quelle est mon architecture Active...
La gestion des appareils
Une fois l’Active Directory étendu vers Azure Active Directory, on peut se demander s’il y a des incidences sur les stations et appareils car Azure Active Directory permet l’inscription et l’ajout des appareils (Windows 10 et 11 dans notre cas). Afin d’offrir une expérience cloud complète aux utilisateurs, ils pourront bénéficier du SSO et accéder de manière automatique à leurs ressources et services cloud, le tout avec la même identité.
L’identité hybride est liée à l’hybridation des postes de travail. Il s’agit d’une étape que devront suivre les IT afin d’offrir un monde mobile, sécurisé et surtout managé à leurs utilisateurs.
Comme l’identité hybride, la gestion des appareils hybrides nécessite une refonte complète des processus d’ajout, de suppression et d’administration des postes de travail. Encore une fois, on ne peut que constater le changement de notre métier vers de nouveaux concepts qui évoluent de plus en plus vite. C’est ce qui fait la force et la faiblesse du cloud à mon sens.
Le Modern Management
Avec Windows 10 et 11, Azure Active Directory et l’offre de Microsoft 365, nous détenons le combo gagnant et nous entrons dans une nouvelle ère de gestion du poste de travail, qui n’est plus ce qu’elle était.
Bien entendu, l’hybridation d’identité ou du poste de travail permet d’effectuer la transition vers ce nouveau monde : gérer ses postes de travail depuis l’écosystème cloud de Microsoft.
Le Modern Management apporte toutes les briques dont un système d’information a besoin, à savoir :
-
la gestion de l’identité avec un IDaaS Azure Active Directory
-
la gestion des appareils/postes de travail avec Intune
-
la sécurité avec Azure Active Directory et la sécurité des identités avec Azure Active Directory
-
tout un espace collaboratif avec les services Microsoft 365
Avec le Modern Management, l’entreprise dispose d’un monde de postes de travail modernes, basé sur le cloud et la fourniture de services, avec moins d’infrastructures à gérer, plus flexible et plus sécurisé. Il permettra aux utilisateurs d’améliorer grandement leur productivité.
Cette illustration représente bien ce nouveau monde des postes de travail que nous allons rencontrer de plus en plus :
La sécurité
Pour avoir réalisé plusieurs projets cloud et projets Azure Active Directory, le premier concept abordé dans ce type de projet est la sécurité ! Les entreprises sont tout à fait à l’écoute du cloud et ouvertes à cette nouvelle forme de gestion de l’identité et du poste de travail. Cependant, elles font également attention à l’aspect sécurité lié à leurs utilisateurs et à leurs données afin de respecter les contraintes du RGPD (règlement général de l’EU sur la protection des données personnelles).
Azure Active Directory propose plusieurs fonctionnalités afin de respecter les contraintes de sécurité des entreprises. De plus, Microsoft est complètement transparent sur la localisation des données des clients et indique même les attributs d’Active Directory d’un utilisateur qui seraient stockés dans les datacenters aux États-Unis. Il s’agit bien évidemment ici des données et attributs techniques qui permettent le fonctionnement de l’identité dans Azure Active Directory. De plus, AAD Connect ou encore Azure AD Conect Cloud Sync offre la possibilité d’être plus granulaire sur ce que l’on souhaite synchroniser sur Azure Active Directory. Ceci est très important pour les entreprises et décideurs, car ils sont maîtres de leur plateforme, même si celle-ci est gérée et opérée dans les datacenters de Microsoft.
Microsoft est conscient de l’enjeu et offre un écosystème mobile tout en gardant les contraintes de sécurité en tête. Cela permet à Azure Active Directory de répondre à la plupart des problématiques liées...
Ce que nous avons abordé
Cet ouvrage respecte ma philosophie du 20-80 %, à savoir 20 % de théorie et de description des concepts, et 80 % de pratique afin de rendre le lecteur autonome sur un projet d’identité hybride avec Azure Active Directory.
Ce livre est empreint de mes propres expériences terrain avec plusieurs projets autour du cloud, Microsoft 365 et de la gestion de l’identité hybride avec Azure Active Directory dans des milieux divers et variés (bancaire, voyage, public, privé, PME, multinational, international).
Résumons ce que vous avez appris tout au long de cet ouvrage.
1. La conception d’une architecture hybride
Nous avons étudié l’aspect le plus important : le conception et la préparation d’un annuaire Active Directory local prêt à être étendu vers Azure Active Directory.
Nous avons abordé toutes les étapes clés, les questions à se poser et la bonne démarche afin d’aborder un tel projet au sein de votre système d’information ou celui de vos clients.
Nous avons vu également les nouveautés en termes de synchronisation d’identités avec une synchronisation gérée directement dans le cloud avec Azure AD Connect Cloud Sync.
2. L’extension vers Azure Active Directory
Une fois la conception de l’architecture hybride mise en place, nous avons étudié l’extension de notre annuaire Active Directory local vers Azure Active Directory.
Nous l’avons abordé de manière théorique et pratique avec de la configuration, de l’administration et des opérations. L’outil permettant cette extension est AAD Connect ou Azure AD Connect Cloud Sync.
a. AAD Connect
AAD Connect est l’outil qui permet d’étendre et de synchroniser...