Identité hybride Active Directory : étendre l’identité Active Directory sur site à Entra ID

Windows oscille difficilement entre deux visions de la gestion des identités et des accès (IAM). D’un côté, Entra ID incarne l’avenir, un monde où une part croissante de l’infrastructure réseau est hébergée dans des environnements tiers, au-delà du datacenter traditionnel. En même temps, de nombreux réseaux AD existent encore et fonctionnent parfaitement.

Mais il ne fait aucun doute que les organisations qui se tournent vers un avenir hybride sont prises entre les limitations de leur AD existant et une migration vers la plateforme cloud de Microsoft et Entra ID.

La bonne nouvelle, c’est qu’avec UserLock, rester sur AD ne doit pas entraîner de couches supplémentaires de gestion et de complexité. Grâce à UserLock, les organisations peuvent créer un pont entre deux mondes complètement différents d’une manière qui offre aux organisations « sur site d’abord » le meilleur des deux.

Inévitablement, les administrateurs Windows doivent aujourd’hui évoluer dans un monde hybride de plus en plus complexe. Les réseaux auxquels ils étaient habitués reposaient sur Active Directory (AD) comme solution IAM de Windows. Mais l’accent mis par Microsoft sur son service d’annuaire cloud, Entra ID (anciennement Azure AD), implique que les organisations doivent choisir l’un ou l’autre. Examinons les avantages de chacun.

• Entra ID intègre les applications Microsoft 365 utilisées par la majorité des organisations sur une seule plateforme.

• Microsoft assure la prestation de service pour les organisations, les libérant de la gestion d’une infrastructure complexe sur plusieurs sites.

• Entra ID facilite l’application de politiques et contrôles de sécurité, y compris le single sign-on (SSO) et l’authentification multifacteur (MFA).

• La connectivité MFA, notamment, ne dépend plus des VPN.

• Les équipes de sécurité conservent un contrôle total sur l’IAM dans AD sans dépendre d’une sécurité tierce.

• L’organisation bénéficie d’une certitude sur la résidence des données, importante pour les normes réglementaires strictes.

• Moins de dépendance à la connectivité en ligne.

• L’AD sur site est compatible avec de nombreuses applications anciennes et héritées.

Comment les organisations déterminent-elles leur position ? Cela dépend de leurs objectifs à long terme, qui relèvent de trois grands groupes :

Simplicité et adéquation avec les organisations devant constamment investir dans une nouvelle infrastructure, notamment dans le développement logiciel, les services ou l’e-commerce.

Pour répondre aux exigences réglementaires (y compris la résidence des données) et prendre en charge des applications héritées non supportées par Entra ID ou le cloud.

Pour prolonger la durée de vie de leur IAM actuel tout en standardisant certaines applications cloud comme Microsoft 365.

Les deux systèmes IAM, AD et Entra ID, partagent une origine commune et de nombreux principes fondamentaux, mais sont conçus pour fonctionner dans des environnements très différents. Ils sont gérés de manière différente et appliquent des contrôles tels que la sécurité de manière différente.

La plupart des organisations finissent par adopter une approche hybride de l'identité, dans laquelle elles donnent la priorité à certains éléments à la fois de l'AD sur site et d'Entra ID afin de tirer le meilleur parti des deux mondes. Cependant, cela comporte des risques. Une mauvaise intégration hybride peut créer des failles de sécurité ou générer une complexité supplémentaire entraînant des frais de gestion supplémentaires.

Microsoft propose plusieurs outils :

• Active Directory Federated Services (AD FS) : outil plus ancien pour fédérer et synchroniser AD sur site avec Entra ID et Microsoft 365 via un seul identifiant SSO.

• Entra Connect Sync (anciennement Azure AD Connect) : outil sur site pour synchroniser AD avec Entra ID.

• Entra Cloud Sync : outil similaire mais hébergé dans le cloud.

Ces outils peuvent être complexes à configurer et présentent des limitations.

UserLock offre un avantage indéniable aux environnements sur site et hybrides : la possibilité de simplifier les choses.

En effet, UserLock est conçu selon le principe que les réseaux sur site doivent conserver autant de contrôle que possible. Cela permet au service informatique de conserver la centralisation et le contrôle qui sont si importants dans les environnements sur site.

Grâce à UserLock, les organisations peuvent continuer à utiliser l'identité AD sur site existante tout en intégrant de manière sécurisée l'accès à Entra ID, Microsoft 365 et d'autres applications SaaS.

UserLock combine l'authentification unique (SSO) basée sur SAML avec l'authentification multifacteur (MFA) et les contrôles d'accès pour couvrir les principaux cas d'utilisation dans les réseaux sur site et hybrides. Il n'est donc pas nécessaire de recourir à des middlewares complexes truffés de compromis cachés.

UserLock fédère l’authentification via Entra ID, offrant un MFA sécurisé pour Microsoft 365, intégré aux accès sur site et distants.

La demande d’accès passe par Entra ID, qui la transmet à UserLock SSO pour vérification des identifiants et autorisations dans l’AD sur site. Une seule identité est à gérer.

Une fois le SSO configuré, le MFA peut être activé dans UserLock par utilisateur, groupe ou unité organisationnelle.

UserLock permet de définir le MFA par type de connexion : poste de travail, serveur, appli IIS, VPN, SaaS.

Les admins peuvent :

• appliquer des politiques MFA granulaires ;

• choisir la fréquence des demandes MFA ;

• proposer jusqu’à deux méthodes MFA (notifications push, appli d’authentification, YubiKey/token matériel).