Azure Active Directory

Éditions d’Azure AD

La plateforme Azure offre la possibilité d’utiliser trois éditions d’Azure AD : gratuite, de base et Premium.

Comptes utilisateur et groupes

Comme pour un annuaire Active Directory, Azure AD permet la gestion des identités. Il a également pour fonction d’autoriser des accès à des fonctionnalités offertes par l’annuaire. Un utilisateur peut ainsi accéder à une liste d’applications qui est différente d’un utilisateur à l’autre. Il est également possible d’attribuer à un utilisateur des droits supplémentaires dans l’annuaire Azure AD. Ces autorisations peuvent être données par le biais d’une attribution directe (droit donné à l’utilisateur directement) ou par le biais de l’ajout dans un groupe.

Comme pour les annuaires on-premise, l’utilisation de groupes permet une administration plus aisée.

L’ajout des utilisateurs à l’annuaire peut être effectué de deux manières.

L’ajout manuel ne nécessite aucune modification de l’architecture on-premise. Cette solution, bien que plus simple à mettre en place, possède de nombreux inconvénients. Le principal réside dans la nécessité de fournir à l’utilisateur un deuxième compte et potentiellement un deuxième mot de passe. Par ailleurs, l’administrateur doit assurer une double gestion des identités (création de doubles comptes...

Ajout d’un utilisateur manuellement

L’ajout d’un utilisateur de manière manuelle est traité dans cette section, la synchronisation d’une base Azure AD est abordée plus loin dans ce chapitre. L’ajout d’un compte peut être fait de manière graphique ou par l’intermédiaire de PowerShell.

1. Via l’interface graphique

La gestion des comptes (ajout, suppression, réinitialisation du mot de passe…) s’opère par l’intermédiaire du portail Azure (https://portal.azure.com). Dans le panneau latéral gauche sont présentes la majorité des fonctionnalités offertes par Azure.

 Cliquez sur Active Directory afin d’accéder à la liste des annuaires déjà créés.

Il est maintenant possible de procéder à la création de l’utilisateur.

 Cliquez sur Utilisateurs et groupes, puis sur Tous les utilisateurs.

Par défaut, l’annuaire contient uniquement le compte e-mail qui permet de se connecter au "tenant" Azure.

 Cliquez sur Ajouter afin de pouvoir procéder à l’ajout d’un utilisateur manuellement.

Il est nécessaire de sélectionner le type d’utilisateur. Plusieurs choix sont possibles :

 Remplissez les champs Nom et Nom d’utilisateur.

 Cliquez sur Profil pour passer à l’étape suivante.

 Saisissez les informations propres à l’utilisateur (Prénom, Nom), puis cliquez sur le bouton OK.

L’authentification forte (Multi-Factor Authentication) n’est pas activée pour le moment.

Groupes permet d’ajouter l’utilisateur dans un groupe. Cet ajout peut être...

Synchronisation avec AD on-premise

La création de compte utilisateur de manière manuelle est envisageable dans une petite entreprise possédant un nombre de comptes limité. Dans le cas contraire, il est vivement conseillé de mettre en place une synchronisation de l’annuaire Active Directory avec la base Azure Active Directory.

Pour les entreprises ne souhaitant pas synchroniser le mot de passe, il est possible d’utiliser l’outil Azure AD Connect avec des serveurs ADFS (Active Directory Federation Services). Ceci a pour utilité de mettre en place une fédération.

1. Fonctionnement de l’outil Azure AD Connect

La synchronisation s’opère par le biais de l’outil Azure AD Connect. Ce dernier est fourni gratuitement par Microsoft. Il offre l’avantage de permettre l’utilisation de la même identité (login/mot de passe) pour les plateformes Office 365, Intune, Azure et SaaS (Azure AD Premium).

Azure AD Connect est le successeur de DirSync et de Forefront Identity Manager. Il est composé de deux composants :

• Le service de synchronisation.

• Le composant Azure AD Connect Health.

Le service de synchronisation a la possibilité de se synchroniser depuis un référentiel de données du type Active Directory ou une base de données SQL Server. Les données peuvent circuler dans les deux sens, mais de manière non simultanée. Ainsi, l’annuaire dans le cloud devient un prolongement de l’annuaire Active Directory. Lors de la modification d’un mot de passe, ce dernier est répliqué. Ceci dans le but de permettre une connexion aux services cloud avec les mêmes identifiants (nom d’utilisateur/mot de passe AD). Azure AD Connect récupère le hash du mot de passe (empreinte du mot de passe) et effectue un nouveau hash. Ce dernier est envoyé dans la base Azure AD. Ainsi, il est très difficile pour une personne mal intentionnée de retrouver le mot de passe d’origine.

Lors de la synchronisation d’un objet AD (utilisateur par exemple), une liste d’attributs est par défaut répliquée. Il est possible d’en ajouter, mais il est recommandé de ne pas supprimer la réplication d’attributs présents dans la liste par défaut. En effet, il est nécessaire d’avoir...

Mise en place de la synchronisation

La mise en place d’une synchronisation nécessite la configuration de certains prérequis.

1. Configuration des prérequis

La première étape consiste à ajouter un nom de domaine public au niveau de la base de données Azure AD. Par défaut, seul le nom de domaine par défaut (x.onmicrosoft.com) est présent.

 Cliquez sur Ajouter un nom de domaine afin d’ajouter votre propre nom de domaine (inyourcloud.fr ici).

Si vous n’avez pas de nom de domaine, vous pouvez ignorer cette section. Attention néanmoins, il est possible de rencontrer certaines limitations et/ou dysfonctionnements.

 Saisissez le nom de votre domaine, puis cliquez sur Ajouter un domaine.

 Un enregistrement doit être créé au niveau du serveur DNS public qui a autorité sur la zone. Ceci permet de valider le domaine et de pouvoir l’utiliser dans Azure AD.

 Une fois la création effectuée, cliquez sur Vérifier.

La prise en compte de l’ajout peut prendre plusieurs minutes.

Une fois la vérification validée, il est possible d’ajouter l’UPN dans l’annuaire Active Directory.

 Ouvrez une session en tant qu’administrateur sur le serveur AD1.

 Accédez à la console Domaines et approbations Active Directory, puis effectuez un clic droit sur Domaines et approbations Active Directory.

 Dans le menu contextuel, cliquez sur Propriétés.

 Saisissez votre nom de domaine dans Autres suffixes UPN, puis cliquez sur Ajouter.

 Cliquez sur OK pour valider la modification.

 Lancez la console Utilisateurs et ordinateurs Active Directory, puis développez le domaine Formation.local.

 Effectuez un clic droit sur Formation.local, puis dans le menu contextuel, sélectionnez Nouveau/Unité d’organisation.

 Dans l’assistant, saisissez EMS, puis cliquez sur OK.

 Effectuez un clic droit sur l’unité d’organisation EMS, puis cliquez sur Nouveau/Utilisateur.

 Saisissez User dans le champ Prénom, puis 1 dans le champ Nom.

 Saisissez User1 dans Nom d’ouverture de session de l’utilisateur.

 Sélectionnez @inyourcloud.fr dans la liste déroulante.

Remplacez inyourcloud.fr par le nom de domaine qui a été ajouté...

Utilisation d’un service ADFS

L’accès aux différentes ressources dans le cloud (Azure AD, Intune, Office 365…) nécessite de synchroniser la base AD ou une partie de la base. Lors de cette opération, il est possible de synchroniser le compte et le hash du mot de passe ou de s’appuyer sur un service de fédération. Cela nécessite d’avoir sur le réseau local un serveur ADFS et un proxy ADFS (WAP) sur le réseau local.

Comme toute solution, ADFS nécessite d’installer et de configurer certains éléments. Le rôle Active Directory Federation Services 3.0 doit être installé sur un serveur Windows Server 2012 R2. Ce dernier doit être membre du domaine, il récupérera les demandes d’authentification provenant du proxy ADFS et les transmettra au contrôleur de domaine Active Directory.

Le proxy ADFS (WAP) est, lui, généralement positionné en DMZ, il n’est pas membre du domaine et exécute Windows Server 2012 R2. Il est nécessaire que ce dernier possède une IP publique. De plus, un nom de domaine externe est nécessaire (exemple : adfs.inyourcloud.fr).

Un certificat externe doit être acheté. Il servira à la publication du serveur ADFS. Une autorité de certification interne (présente sur le réseau local) est également nécessaire....

Mise en place des groupes dans Azure AD

La gestion des groupes a été implémentée dans Azure Active Directory afin de permettre, comme pour un annuaire on-premise, une administration plus aisée.

Les groupes permettent l’accès à des ressources locales aux systèmes d’information ou externes (site SharePoint, application SaaS...). L’accès à une ressource peut être effectué de plusieurs manières :

Authentification forte

L’authentification est un point très important dans le cloud ou dans un réseau local. Une fois authentifié, un utilisateur se voit octroyer des droits plus ou moins étendus. Il est donc important d’ajouter un deuxième niveau d’authentification pour les utilisateurs sensibles (DRH, PDG…) ou ceux accédant à des informations critiques (données de la R&D, paie, comptabilité...). L’authentification forte consiste à s’assurer que le sujet est bien celui qu’il prétend être.

Jonction d’un poste Windows 10 à Azure AD

Les postes de travail en workgroup ou ceux ne se connectant jamais ou rarement au réseau de l’entreprise posent de gros problèmes. En effet, de par leur mobilité, ils sont soumis à plus de risques. De même, la mise en place de stratégie ou l’administration sont plus complexes. Windows 10 et Microsoft apportent une réponse à ce problème rencontré dans beaucoup d’entreprises. Azure AD Join est une fonctionnalité offerte avec Windows 10. Elle consiste à effectuer la jonction d’un poste de travail dans une base Azure AD en lieu et place d’une base Active Directory on-premise. De plus, cette solution offre de nombreux avantages, en particulier :

La partie SSO facilite l’accès aux ressources pour les utilisateurs et réduit également les appels au support.

La procédure ci-après assure la jonction d’une machine Windows 10 à une base Azure...