Blog ENI : Toute la veille numérique !
-25€ dès 75€ sur les livres en ligne, vidéos... avec le code FUSEE25. J'en profite !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. EMS
  3. Azure Active Directory
Extrait - EMS Gestion et sécurité des ressources de l'entreprise dans le cloud
Extraits du livre
EMS Gestion et sécurité des ressources de l'entreprise dans le cloud Revenir à la page d'achat du livre

Azure Active Directory

Présentation d’Azure AD

Azure offre une panoplie de fonctionnalités très intéressantes permettant de répondre aux besoins d’un développeur, d’un ingénieur système…

Azure AD consiste à offrir un système de gestion des identités ainsi qu’un annuaire. Comme pour un contrôleur de domaine Active Directory on-premise, Azure AD permet de procéder à l’authentification d’un utilisateur. Ainsi, les développeurs d’applications peuvent utiliser un annuaire présent dans le cloud pour une éventuelle authentification dans leurs applications. Les utilisateurs peuvent être créés de manière manuelle ou par l’intermédiaire d’une synchronisation avec un annuaire Active Directory on-premise.

Comme pour tous les services cloud, l’annuaire peut être hébergé sur n’importe quel datacenter Azure. Ce dernier point permet d’assurer une haute disponibilité même en cas de panne d’un des sites Azure. Les produits Office 365, Microsoft Intune, etc. utilisent de manière native une base de données Azure AD pour stocker les comptes utilisateurs.

Éditions d’Azure AD

La plateforme Azure offre la possibilité d’utiliser trois éditions d’Azure AD : gratuite, de base et Premium.

1. Édition gratuite (free)

Cette édition permet d’effectuer la gestion des utilisateurs et des groupes. Il est possible de procéder à une synchronisation d’un annuaire Active Directory on-premise. Ce type d’annuaire est utilisé avec les systèmes Microsoft Online (Intune, Office 365…) pour permettre l’authentification des utilisateurs lors de l’accès à ses applications. Cette édition fournit les fonctionnalités suivantes :

  • Support de 500  000 objets dans la base de données. Aucune limite n’est présente pour Office 365, Intune… La limitation est présente uniquement sur la version gratuite.

  • Administration avec des groupes.

  • Authentification unique pour les applications (10 applications maximum).

  • Synchronisation des comptes utilisateurs depuis un annuaire Active Directory.

  • Mise en place d’un portail libre-service pour la réinitialisation du mot de passe de l’utilisateur.

  • Accès aux rapports de sécurité/d’utilisation :

  • Connexions à partir de sources inconnues

  • Connexions après plusieurs échecs

  • Connexions depuis plusieurs zones géographiques

  • Rapports d’audit

  • Activités d’approvisionnement...

Activation d’Azure AD Premium

L’activation d’Azure AD Premium nécessite, dans un premier temps, de posséder des licences EMS ou d’avoir un "tenant" Azure. Dans le cadre de ce livre, vous allez utiliser une version d’évaluation de 30 jours afin de pouvoir mettre en place et d’utiliser les différentes fonctionnalités offertes.

Création du compte de démonstration EMS

Si vous ne possédez pas de compte Azure, il est possible de créer un compte démo depuis cette URL : https://www.microsoft.com/en-us/cloud-platform/enterprise-mobility-trial

Attention, le compte ne fonctionnera pas immédiatement. Il est nécessaire d’attendre la réception d’un e-mail. Une fois ce dernier reçu, cliquez sur Mise en route.

images/03RI01.png

 Créez un compte ou utilisez votre compte afin d’accéder à l’interface Azure.

images/03RI02.png

La gestion d’Azure Active Directory peut maintenant être abordée.

Comptes utilisateur et groupes

Comme pour un annuaire Active Directory, Azure AD permet la gestion des identités. Il a également pour fonction d’autoriser des accès à des fonctionnalités offertes par l’annuaire. Un utilisateur peut ainsi accéder à une liste d’applications qui est différente d’un utilisateur à l’autre. Il est également possible d’attribuer à un utilisateur des droits supplémentaires dans l’annuaire Azure AD. Ces autorisations peuvent être données par le biais d’une attribution directe (droit donné à l’utilisateur directement) ou par le biais de l’ajout dans un groupe.

Comme pour les annuaires on-premise, l’utilisation de groupes permet une administration plus aisée.

L’ajout des utilisateurs à l’annuaire peut être effectué de deux manières.

L’ajout manuel ne nécessite aucune modification de l’architecture on-premise. Cette solution, bien que plus simple à mettre en place, possède de nombreux inconvénients. Le principal réside dans la nécessité de fournir à l’utilisateur un deuxième compte et potentiellement un deuxième mot de passe. Par ailleurs, l’administrateur doit assurer une double gestion des identités (création de doubles comptes...

Ajout d’un utilisateur manuellement

L’ajout d’un utilisateur de manière manuelle est traité dans cette section, la synchronisation d’une base Azure AD est abordée plus loin dans ce chapitre. L’ajout d’un compte peut être fait de manière graphique ou par l’intermédiaire de PowerShell.

1. Via l’interface graphique

La gestion des comptes (ajout, suppression, réinitialisation du mot de passe…) s’opère par l’intermédiaire du portail Azure (https://portal.azure.com). Dans le panneau latéral gauche sont présentes la majorité des fonctionnalités offertes par Azure.

 Cliquez sur Active Directory afin d’accéder à la liste des annuaires déjà créés.

images/03RI09.png

Il est maintenant possible de procéder à la création de l’utilisateur.

 Cliquez sur Utilisateurs et groupes, puis sur Tous les utilisateurs.

Par défaut, l’annuaire contient uniquement le compte e-mail qui permet de se connecter au "tenant" Azure.

images/03RI10.png

 Cliquez sur Ajouter afin de pouvoir procéder à l’ajout d’un utilisateur manuellement.

Il est nécessaire de sélectionner le type d’utilisateur. Plusieurs choix sont possibles :

 Remplissez les champs Nom et Nom d’utilisateur.

images/03RI11.png

 Cliquez sur Profil pour passer à l’étape suivante.

 Saisissez les informations propres à l’utilisateur (Prénom, Nom), puis cliquez sur le bouton OK.

images/03RI12.png

L’authentification forte (Multi-Factor Authentication) n’est pas activée pour le moment.

Groupes permet d’ajouter l’utilisateur dans un groupe. Cet ajout peut être...

Synchronisation avec AD on-premise

La création de compte utilisateur de manière manuelle est envisageable dans une petite entreprise possédant un nombre de comptes limité. Dans le cas contraire, il est vivement conseillé de mettre en place une synchronisation de l’annuaire Active Directory avec la base Azure Active Directory.

Pour les entreprises ne souhaitant pas synchroniser le mot de passe, il est possible d’utiliser l’outil Azure AD Connect avec des serveurs ADFS (Active Directory Federation Services). Ceci a pour utilité de mettre en place une fédération.

1. Fonctionnement de l’outil Azure AD Connect

La synchronisation s’opère par le biais de l’outil Azure AD Connect. Ce dernier est fourni gratuitement par Microsoft. Il offre l’avantage de permettre l’utilisation de la même identité (login/mot de passe) pour les plateformes Office 365, Intune, Azure et SaaS (Azure AD Premium).

images/03RI28.png

Azure AD Connect est le successeur de DirSync et de Forefront Identity Manager. Il est composé de deux composants :

  • Le service de synchronisation.

  • Le composant Azure AD Connect Health.

Le service de synchronisation a la possibilité de se synchroniser depuis un référentiel de données du type Active Directory ou une base de données SQL Server. Les données peuvent circuler dans les deux sens, mais de manière non simultanée. Ainsi, l’annuaire dans le cloud devient un prolongement de l’annuaire Active Directory. Lors de la modification d’un mot de passe, ce dernier est répliqué. Ceci dans le but de permettre une connexion aux services cloud avec les mêmes identifiants (nom d’utilisateur/mot de passe AD). Azure AD Connect récupère le hash du mot de passe (empreinte du mot de passe) et effectue un nouveau hash. Ce dernier est envoyé dans la base Azure AD. Ainsi, il est très difficile pour une personne mal intentionnée de retrouver le mot de passe d’origine.

Lors de la synchronisation d’un objet AD (utilisateur par exemple), une liste d’attributs est par défaut répliquée. Il est possible d’en ajouter, mais il est recommandé de ne pas supprimer la réplication d’attributs présents dans la liste par défaut. En effet, il est nécessaire d’avoir...

Mise en place de la synchronisation

La mise en place d’une synchronisation nécessite la configuration de certains prérequis.

1. Configuration des prérequis

La première étape consiste à ajouter un nom de domaine public au niveau de la base de données Azure AD. Par défaut, seul le nom de domaine par défaut (x.onmicrosoft.com) est présent.

images/03RI29.png

 Cliquez sur Ajouter un nom de domaine afin d’ajouter votre propre nom de domaine (inyourcloud.fr ici).

Si vous n’avez pas de nom de domaine, vous pouvez ignorer cette section. Attention néanmoins, il est possible de rencontrer certaines limitations et/ou dysfonctionnements.

 Saisissez le nom de votre domaine, puis cliquez sur Ajouter un domaine.

images/03RI30.png

 Un enregistrement doit être créé au niveau du serveur DNS public qui a autorité sur la zone. Ceci permet de valider le domaine et de pouvoir l’utiliser dans Azure AD.

images/03RI31.png

 Une fois la création effectuée, cliquez sur Vérifier.

La prise en compte de l’ajout peut prendre plusieurs minutes.

Une fois la vérification validée, il est possible d’ajouter l’UPN dans l’annuaire Active Directory.

 Ouvrez une session en tant qu’administrateur sur le serveur AD1.

 Accédez à la console Domaines et approbations Active Directory, puis effectuez un clic droit sur Domaines et approbations Active Directory.

images/03RI32.png

 Dans le menu contextuel, cliquez sur Propriétés.

 Saisissez votre nom de domaine dans Autres suffixes UPN, puis cliquez sur Ajouter.

images/03RI33.png

 Cliquez sur OK pour valider la modification.

 Lancez la console Utilisateurs et ordinateurs Active Directory, puis développez le domaine Formation.local.

images/03RI34.png

 Effectuez un clic droit sur Formation.local, puis dans le menu contextuel, sélectionnez Nouveau/Unité d’organisation.

 Dans l’assistant, saisissez EMS, puis cliquez sur OK.

images/03RI35.png

 Effectuez un clic droit sur l’unité d’organisation EMS, puis cliquez sur Nouveau/Utilisateur.

 Saisissez User dans le champ Prénom, puis 1 dans le champ Nom.

 Saisissez User1 dans Nom d’ouverture de session de l’utilisateur.

 Sélectionnez @inyourcloud.fr dans la liste déroulante.

Remplacez inyourcloud.fr par le nom de domaine qui a été ajouté...

Utilisation d’un service ADFS

L’accès aux différentes ressources dans le cloud (Azure AD, Intune, Office 365…) nécessite de synchroniser la base AD ou une partie de la base. Lors de cette opération, il est possible de synchroniser le compte et le hash du mot de passe ou de s’appuyer sur un service de fédération. Cela nécessite d’avoir sur le réseau local un serveur ADFS et un proxy ADFS (WAP) sur le réseau local.

Comme toute solution, ADFS nécessite d’installer et de configurer certains éléments. Le rôle Active Directory Federation Services 3.0 doit être installé sur un serveur Windows Server 2012 R2. Ce dernier doit être membre du domaine, il récupérera les demandes d’authentification provenant du proxy ADFS et les transmettra au contrôleur de domaine Active Directory.

Le proxy ADFS (WAP) est, lui, généralement positionné en DMZ, il n’est pas membre du domaine et exécute Windows Server 2012 R2. Il est nécessaire que ce dernier possède une IP publique. De plus, un nom de domaine externe est nécessaire (exemple : adfs.inyourcloud.fr).

Un certificat externe doit être acheté. Il servira à la publication du serveur ADFS. Une autorité de certification interne (présente sur le réseau local) est également nécessaire....

Mise en place des groupes dans Azure AD

La gestion des groupes a été implémentée dans Azure Active Directory afin de permettre, comme pour un annuaire on-premise, une administration plus aisée.

Les groupes permettent l’accès à des ressources locales aux systèmes d’information ou externes (site SharePoint, application SaaS...). L’accès à une ressource peut être effectué de plusieurs manières :

  • Affectation directe : le propriétaire de la ressource autorise l’accès à un ou plusieurs utilisateurs. Cette solution alourdit l’administration quotidienne.

  • Appartenance au groupe : afin de faciliter la gestion des droits d’accès à une ressource, il est possible d’autoriser l’accès à un groupe de sécurité. Les utilisateurs sont ajoutés dans ce groupe et récupèrent de ce fait l’accès à la ressource.

  • Basée sur une règle : le propriétaire de la ressource a la possibilité de créer une règle qui permet de définir de manière dynamique le ou les utilisateurs qui ont accès à la ressource. Pour cela, il est nécessaire de s’appuyer sur les attributs des utilisateurs et de définir une valeur. Lorsque l’attribut de l’utilisateur possède la bonne valeur, l’accès à la ressource est accordé.

  • Autorité externe : l’accès est accordé à un groupe synchronisé par un annuaire externe (Active Directory par exemple). Ainsi, l’accès à la ressource s’effectue depuis l’annuaire on-premise.

 Afin de mettre en place les groupes dans Azure, accédez à la base de données Azure AD, puis cliquez sur Utilisateurs et groupes, puis sur Tous les groupes. Cliquez sur Nouveau groupe.

images/03RI57.png

 Saisissez le nom du groupe ainsi qu’une...

Authentification forte

L’authentification est un point très important dans le cloud ou dans un réseau local. Une fois authentifié, un utilisateur se voit octroyer des droits plus ou moins étendus. Il est donc important d’ajouter un deuxième niveau d’authentification pour les utilisateurs sensibles (DRH, PDG…) ou ceux accédant à des informations critiques (données de la R&D, paie, comptabilité...). L’authentification forte consiste à s’assurer que le sujet est bien celui qu’il prétend être.

1. Présentation de l’authentification forte

Dans Azure Active Directory, il est possible d’utiliser le MFA. Ce système assure un deuxième niveau d’authentification à l’aide de trois moyens :

  • Appel sur un téléphone portable et saisie d’une touche.

  • Envoi d’un code sur un téléphone portable.

  • Saisie d’un code à durée limitée fourni par une application présente sur le smartphone de l’utilisateur.

Chaque utilisateur sélectionne la méthode qui lui convient (SMS…) et doit l’utiliser pour l’accès aux services dans Azure (portail libre-service, portail applicatif).

Les différents rapports offerts par Azure AD permettent au service IT de détecter un comportement incohérent (connexion...

Jonction d’un poste Windows 10 à Azure AD

Les postes de travail en workgroup ou ceux ne se connectant jamais ou rarement au réseau de l’entreprise posent de gros problèmes. En effet, de par leur mobilité, ils sont soumis à plus de risques. De même, la mise en place de stratégie ou l’administration sont plus complexes. Windows 10 et Microsoft apportent une réponse à ce problème rencontré dans beaucoup d’entreprises. Azure AD Join est une fonctionnalité offerte avec Windows 10. Elle consiste à effectuer la jonction d’un poste de travail dans une base Azure AD en lieu et place d’une base Active Directory on-premise. De plus, cette solution offre de nombreux avantages, en particulier :

  • Vous pouvez effectuer l’ouverture de session avec votre compte Azure AD, et non avec un compte local.

  • Lors de l’accès à une ressource cloud, le SSO évite à l’utilisateur de saisir une nouvelle fois ses identifiants.

  • L’équipement peut remonter dans Intune afin d’être géré et maintenu par le service informatique de manière plus aisée.

La partie SSO facilite l’accès aux ressources pour les utilisateurs et réduit également les appels au support.

La procédure ci-après assure la jonction d’une machine Windows 10 à une base Azure...