Académique Documents
Professionnel Documents
Culture Documents
Les entreprises doivent contrôler les accès de manière centralisée, attribuer à chaque utilisateur une
identité définitive et commune pour chaque service, et s’assurer que leurs employés et fournisseurs
disposent d’un accès limité mais suffisant pour effectuer leur travail. De plus, quand des employés
quittent l’entreprise ou quand un contrat avec un fournisseur se termine, les entreprises doivent
s’assurer de supprimer tous les accès associés. Azure AD est le service cloud de Microsoft conçu
pour la gestion des identités et des accès.
1.-Principes d’Azure AD
1.1-
Azure AD n’est pas une version cloud de Windows Server Active Directory. Il n’est pas non plus
destiné à remplacer totalement un annuaire Active Directory local. À la place, si vous utilisez déjà
un serveur Windows AD, vous pouvez le connecter à Azure AD pour étendre votre annuaire dans
Azure. Cette approche permet aux utilisateurs d’employer les mêmes informations d’identification
pour accéder aux ressources locales et dans le cloud. Azure AD peut également s’utiliser
indépendamment de Windows AD. Les petites entreprises peuvent choisir Azure AD comme service
d’annuaire unique, en l’utilisant pour contrôler l’accès à leurs applications et leurs produits SaaS
comme Office 365, Salesforce et Dropbox. Cette approche n’offre pas un modèle d’administration
entièrement centralisée. Par exemple, les machines Windows locales continuent de s’authentifier à
l’aide des informations d’identification locales. Toutefois, les applications peuvent être écrites pour
utiliser Azure AD en vue de fournir une authentification et une autorisation qui peuvent ainsi être
administrées à partir d’un emplacement central.
1.2-Annuaires, abonnements et utilisateurs
Quand une entreprise ou une organisation s’inscrit pour utiliser Azure , Office 365 , Intune ou
Dynamics 365, elle se voit attribuer un annuaire par défaut, qui est une instance d’Azure AD
parfois appelé locataire. Un locataire représente l’organisation et l’annuaire par défaut qui lui est
attribué. Les abonnements dans Azure sont à la fois une entité de facturation et une limite de
sécurité. Les ressources sont toujours associées à un seul abonnement. Chaque abonnement a
également un propriétaire de compte unique qui est responsable des frais engendrés par les
ressources de cet abonnement. Chaque abonnement est également associé à un annuaire Azure AD
unique. Plusieurs abonnements peuvent faire confiance au même annuaire, mais un abonnement
peut uniquement faire confiance à un seul annuaire. Les utilisateurs et les groupes peuvent être
ajoutés à plusieurs abonnements. L’utilisateur doit être connu dans l’annuaire associé.
2-Mise en oeuvre d’Azure AD
2.1-Création d’un annuaire
Une organisation (locataire) a toujours un seul annuaire Azure AD par défaut qui lui est associé.
Cependant, les propriétaires peuvent vouloir créer des annuaires supplémentaires soit pour répondre
à leurs besoins de développement ou de test, soit parce qu’ils souhaitent utiliser des annuaires
distincts à synchroniser avec leurs forêts Windows Server AD locales.
2.2-Création et gestion d’utilisateurs
Chaque utilisateur qui a besoin d’accéder à des ressources Azure doit avoir un compte d’utilisateur
Azure. Un compte d’utilisateur renferme toutes les informations nécessaires pour authentifier
l’utilisateur au moment de la connexion. Une fois l’utilisateur authentifié, Azure AD crée un jeton
d’accès pour autoriser l’utilisateur, et déterminer à quelles ressources cet utilisateur peut accéder et
quelles actions il est autorisé à effectuer avec ces ressources. L’administrateur ne peut travailler que
dans un seul annuaire à la fois mais peut passer d’un annuaire à un autre à partir du volet
Annuaire + abonnement ou Changer de répertoire .
2.2.1-Affichage des utilisateurs
Dans Azure AD, les utilisateurs sont généralement définis de trois manières :
Identités cloud : existent uniquement dans Azure AD. Leur source est Azure Active Directory ou
Azure Active Directory externe si l’utilisateur est défini dans une autre instance Azure AD, mais
qu’il a besoin d’accéder à des ressources d’abonnement gérées dans cet annuaire. Quand ces
comptes sont retirés de l’annuaire principal, ils sont supprimés.
Identités synchronisées avec l’annuaire : ces utilisateurs figurent dans un annuaire Active
Directory local. Ils sont ajoutés à Azure par le biais d’une activité de synchronisation effectuée dans
Azure AD Connect. Leur source est Windows Server AD.
Utilisateurs invités : ces utilisateurs sont externes à Azure. Par exemple, ce sont les comptes
d’autres fournisseurs de services cloud et les comptes Microsoft, tel qu’un compte Xbox Live. Leur
source est Utilisateur invité. Ce type de compte est utile lorsque des fournisseurs ou prestataires
externes ont besoin d’accéder à vos ressources Azure. Une fois que le travail de ces collaborateurs
est terminé, vous pouvez supprimer le compte et tous les accès associés.
2.2.2-Ajout d’utilisateurs
2.2.2.1-Synchronisation d’un Active Directory local
L’avantage de cette approche est que les utilisateurs peuvent accéder aux ressources locales et cloud
à l’aide de l’authentification unique (SSO).
2.2.2.2-Utilisation du portail Azure
Pour utiliser cette fonction, vous devez avoir le rôle Administrateur d’utilisateurs. Le
comportement par défaut est de créer un utilisateur dans l’organisation. Le nom du nouvel
utilisateur combine son nom d’utilisateur et le nom de domaine par défaut attribué à l’annuaire Vous
pouvez aussi inviter un utilisateur dans l’annuaire. Dans ce cas, un e-mail est envoyé à une adresse
e-mail connue, et un compte est créé et associé à cette adresse e-mail si l’utilisateur accepte
l’invitation.
2.2.2.3-Utilisation de la ligne de commande
2.2.2.3.1-Powershell
# Create a password object
$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
Rôles attribuables
Définir les propriétés Actions et NotActions n’est pas suffisant pour implémenter entièrement un
rôle. Vous devez en plus définir l’étendue appropriée pour le rôle. La propriété AssignableScopes
du rôle spécifie les étendues (abonnements, groupes de ressources ou ressources) au sein desquelles
le rôle peut être attribué.
2.-PowerShell