La gestion des identités hybrides dans Active Directory

Posted On 02 Fév 2025

Tag: Active Directory, Article partenaire, identités et des accès

Windows se trouve dans une situation inconfortable vis-à-vis des deux approches concernant le fonctionnement de la gestion des identités et des accès (IAM). D’une part, Entra ID représente l’avenir, un monde dans lequel une part croissante de l’infrastructure réseau est hébergée dans des environnements tiers, au-delà du centre de données traditionnel. D’autre part, il existe encore de nombreux réseaux Active Directory (AD) qui fonctionnent parfaitement bien.

Mais il ne fait aucun doute que les organisations qui envisagent un avenir hybride sont coincées entre les limites de leur système Active Directory existant et le passage à Microsoft Entra ID.

La bonne nouvelle, c’est que le fait de s’en tenir à Active Directory ne doit pas nécessairement entraîner des couches supplémentaires de gestion et de complexité. Il est possible de créer un pont pour relier deux mondes complètement différents d’une manière qui donne aux organisations sur site les meilleurs avantages des deux.

Entra ID vs. Active Directory sur site

Les administrateurs Windows d’aujourd’hui doivent inévitablement opérer dans un monde hybride de plus en plus complexe. Les réseaux avec lesquels ils ont grandi étaient basés sur Active Directory comme solution IAM pour Windows.

Mais l’accent mis par Microsoft sur son service d’annuaire hébergé dans le nuage, Entra ID (anciennement Azure AD), implique que les organisations doivent choisir l’un plutôt que l’autre. Examinons les avantages de chacun.

Entra ID simplifie l’infrastructure et la gestion

Entra ID intègre les applications Microsoft 365 que la plupart des organisations utilisent dans une plateforme unique.
Microsoft se charge de la fourniture de services pour les organisations, leur évitant ainsi d’avoir à gérer une infrastructure complexe sur plusieurs sites.
Entra ID facilite l’application de politiques et de contrôles de sécurité, notamment l’authentification unique (SSO) et l’authentification multifactorielle (MFA).
La connectivité MFA, en particulier, ne dépend plus des VPN.

Active Directory offre un meilleur contrôle

Les équipes de sécurité conservent un contrôle total sur l’IAM dans AD sans avoir à s’appuyer sur une sécurité tierce.
L’organisation obtient la certitude de la résidence des données, ce qui est important pour les normes réglementaires strictes.
Moins de dépendance à l’égard de la connectivité en ligne.
AD sur site est compatible avec de nombreuses applications anciennes.

Les organisations hybrides tentent de combiner le meilleur des deux mondes

Comment les organisations peuvent-elles déterminer de quel côté de ce fossé elles se situent ? Cela dépend de leurs objectifs à long terme, qui se répartissent en trois groupes principaux.

Ils prévoient de faire une migration vers le cloud, et leur objectif est de passer en gros à Entra ID au fil du temps, tout en se retirant des applications sur site.

Pourquoi choisir cette voie ? La simplicité est généralement citée comme un facteur déterminant, mais elle convient également aux organisations qui doivent investir dans une nouvelle infrastructure sur une base continue, par exemple celles qui ont un fort penchant pour le développement de logiciels, les services ou le commerce électronique.

Elles doivent ou veulent garder le contrôle total de leur IAM.

Pourquoi s’engager dans cette voie ? Les principales motivations sont ici de répondre aux exigences réglementaires (y compris celles concernant la résidence des données), et de prendre en charge les applications existantes qui ne sont pas prises en charge par Entra ID ou le nuage.

Pour les organisations dans des secteurs tels que la finance, les infrastructures critiques et le gouvernement, rester en contrôle du service d’annuaire AD n’est pas négociable. Pour ces organisations, il est primordial de conserver le service d’annuaire sur site.

Ils sont plus sur site que dans le cloud, mais veulent quand même profiter d’Entra ID pour des caractéristiques spécifiques.

Pourquoi font-ils cela ? Habituellement parce qu’ils préfèrent prolonger la durée de vie de leur configuration IAM actuelle pour des raisons opérationnelles ou financières, mais aimeraient quand même normaliser les applications en nuage telles que Microsoft 365. Les protections de sécurité telles que la MFA deviennent également plus pratiques car elles ne dépendent plus de la connectivité du centre de données.

La plupart des organisations appartiennent à ce troisième groupe, ce qui signifie qu’il s’agit de peser le pour et le contre. Ce qui est clair, c’est que même les organisations engagées dans l’utilisation sur site auront souvent besoin d’intégrer Entra ID dans leur configuration.

L’identité hybride crée de nouveaux risques de sécurité

Les deux systèmes, AD et Entra ID, partagent une lignée commune et de nombreux principes sous-jacents, mais sont conçus pour fonctionner dans des environnements très différents. Ils sont gérés de manière différente et appliquent des contrôles tels que la sécurité de manière différente.

La plupart des entreprises finissent par adopter une approche hybride de l’identité dans laquelle elles donnent la priorité à des éléments d’AD sur site et d’Entra ID afin d’obtenir le meilleur des deux mondes. Cependant, cela comporte des risques. Une mauvaise intégration hybride peut créer des faiblesses en matière de sécurité ou générer une complexité entraînant des frais de gestion supplémentaires.

Synchronisation d’AD et d’Entra ID à l’aide d’outils Microsoft

Les entreprises ont besoin d’outils qui leur permettent de sécuriser l’accès aux ressources sur site et SaaS sans compromettre l’un ou l’autre. Cela ne devrait pas être difficile. Mais les applications Microsoft 365 supposent qu’Entra ID est l’IAM.

Pour résoudre ce problème, Microsoft fournit des outils qui facilitent l’intégration :

Active Directory Federated Services (AD FS) est un outil plus ancien qui permet aux organisations de continuer à utiliser leur identité AD sur site tout en se fédérant et en se synchronisant avec Entra ID et Microsoft 365 par le biais d’un seul identifiant SSO (Single Sign-On).
Entra Connect Sync (anciennement Azure AD Connect) est un outil sur site qui synchronise AD sur site avec Entra AD dans le nuage.
Entra Cloud Sync fait, comme son nom l’indique, un travail presque identique tout en étant hébergé dans le nuage.

Malheureusement, tous ces outils natifs de Microsoft peuvent être complexes à mettre en place et à gérer. Ils s’accompagnent également d’une série de limitations.

Existe-t-il une meilleure solution ?

Toutes les organisations qui adoptent un avenir hybride sont confrontées à la difficile question de savoir si AD on prem ou Entra ID sera leur principal service d’annuaire. Il n’y a pas de bonne ou de mauvaise réponse, mais l’approche adoptée a des implications majeures pour la gestion de la sécurité.

Avec des solutions d’abord sur site telles que UserLock, les administrateurs peuvent garder les choses simples. En conservant l’authentification dans AD sur site, même pour l’accès au SaaS, UserLock donne aux organisations construites autour d’une infrastructure sur site les avantages d’un accès hybride sécurisé, sans expansion de l’identité.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.