O365 – Comprendre la gestion d’identité avec Azure AD dans Office 365

Office 365 est un ensemble de services basés sur les fonctionnalités :

  •  Exchange (on line)
  •  Sharepoint (on line), one-drive
  •  Lync (puis Skype For Business), teams
  •  Yammer
  •  La suite Office on line ou à demeure via des installations click to Run (Word, Excel, powerpoint, ….)
  •  …
  •  Et surtout le service de gestion d’identité : Azure Active Directory.

Azure Active Directory (Azure AD) est le service de Microsoft de gestion des annuaires et des identités, basé sur Azure.

Azure AD associe des services d’annuaires, une gouvernance avancée des identités et une gestion des accès aux applications, permet de contrôler les accès aux applications, mais aussi de mettre en place des stratégies et des règles centralisées.

Azure AD inclut également une suite complète de fonctionnalités de gestion d’identité

  •  authentification multifacteur
  •  inscription d’appareil
  •  la gestion de mot de passe libre-service
  •  la gestion de groupes libre-service
  •  la gestion des comptes privilégiés
  •  le contrôle d’accès en fonction du rôle,
  •  la surveillance de l’utilisation de l’application

Mais aussi la création d’audits complets, la surveillance de la sécurité et la création d’alertes. Ces fonctions permettent d’améliorer la sécurité des applications basées sur le cloud, de simplifier les processus informatiques, de réduire les coûts et de garantir le respect des objectifs de conformité aux normes du secteur.

Les identités sur Azure Active Directory peuvent être de deux types:

  • Identités cloud
  • Identités synchronisées avec

L’identité cloud est une gestion d’utilisateur crée directement dans Azure Active Directory.

Cette gestion d’identité avec Azure AD peut être intégré à Windows Server Active Directory, ce qui offre aux entreprises la possibilité d’exploiter leurs identités locales pour gérer l’accès aux applications SaaS basées sur le cloud.


Pour permettre la synchronisation des identités de l’infrastructure Windows Active directory (active directory domain service ) vers Azure Active Directory, Microsoft propose l’outil ADConnect. Grâce à cet outil, il est possible de fournir une identité commune à vos utilisateurs pour les applications Office 365, Azure et SaaS intégrées à Azure AD.

Azure Active Directory Connect est constitué de trois composants principaux :

  •  le service de synchronisation
  •  le composant Active Directory Federation Services (facultatif)
  •  le composant d’analyse nommé Azure AD Connect Health

La synchronisation de l’identité permet de créer des utilisateurs, des groupes et autres objets. Il permet également de s’assurer que les informations d’identité relatives aux utilisateurs et aux groupes dans votre environnement local correspondent à celles qui se trouvent dans le cloud. La synchronisation permet ainsi de modifier les différents attributs sur Azure AD à partir des objets de l’ADDS.

En fonction d’une des options d’installation de l’outil de synchronisation, il est possible de synchroniser le Hash du hash du mot de passe , et ainsi répercuter les modifications sur le Azure Active Directory.

Cette solution permet de faciliter le déploiement d’office 365, mais ne permet pas l’utilisation du SSO (single sign-on), mais l’usage du même identifiant de connexion : same sign on.

Il est aussi possible de conserver la gestion des mots de passe en local, et utiliser votre ticket Kerberos auprès d’Azure Active Directory , de vous authentifier de manière transparente via l’authentification dite fédérée:

  • soit par l’intermédiaire d’ADConnect et du service Seamless SSO
  • soit par la mise en place d’une infrastructure ADFS.

Plus d’informations sur ADFS et Office 365 : https://docs.microsoft.com/fr-fr/windows-server/identity/ad-fs/deployment/best-practices-securing-ad-fs

Plus d’information sur le service SeamLess SSO : https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-sso

Ces deux solutions apportent leurs lots d’avantages et d’inconvénients, qu’il est nécessaire d’analyser avant de mettre en place l’une ou l’autre des deux solutions.

Il est possible de doublement sécuriser les accès à Office 365 par Azure Active directory en utilisant le “Multi-Factor”.

Azure Multi-Factor Authentication est une méthode de vérification de l’identité qui nécessite davantage qu’un nom d’utilisateur et un mot de passe. Lorsque les utilisateurs utilisent MFA pour Office 365, les utilisateurs doivent répondre à un appel téléphonique ou consulter un SMS ou une notification d’application sur leur smartphone après avoir entré correctement leur mot de passe. Ils ne peuvent se connecter qu’une fois ce deuxième facteur d’authentification satisfait.

Le multi facteur “étendu” d’Azure AD peut être couplé à votre infrastructure local pour permettre la double authentification dans votre infrastructure interne. Il sera nécessaire de souscrire à des offres complémentaires pour bénéficier de ce service et mettre en place un MFA Server.

plus d’information sur le fonctionnement du MFA  : https://docs.microsoft.com/en-us/azure/multi-factor-authentication/multi-factor-authentication-how-it-works

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *