Azure Active Directory (Azure AD, désormais appelé Entra ID) est le service cloud de gestion des identités et des accès de Microsoft. Il fournit une authentification unique et authentification multifactorielle pour aider les organisations à accéder en toute sécurité aux applications cloud et aux applications sur site.
Entra ID permet aux organisations de gérer les utilisateurs et les groupes. Il peut s'intégrer sur site Active Directory pour fournir une solution d’identité hybride.
Entra IDLes principales caractéristiques de incluent :
Entra ID fonctionne en se synchronisant avec les répertoires sur site et en permettant l'authentification unique aux applications cloud. Les utilisateurs peuvent se connecter une seule fois avec un seul compte et accéder à toutes leurs ressources. Entra ID permet également l'authentification multifacteur, la gestion des accès, la surveillance et la création de rapports de sécurité pour aider à protéger des comptes d'utilisateurs ou administrateurs et contrôler l'accès.
Entra ID Connect synchronise les répertoires sur site comme Active Directory Services de domaine avec Entra ID. Cela permet aux utilisateurs d'utiliser les mêmes informations d'identification pour les ressources sur site et dans le cloud. Entra ID Connect synchronise des objets tels que :
Ce processus de synchronisation associe les objets d'annuaire sur site à leurs Entra ID homologues et veille à ce que les changements soient reflétés dans les deux répertoires.
Avec l'authentification unique (SSO), les utilisateurs peuvent accéder à plusieurs applications avec une seule connexion. Entra ID fournit le SSO via les protocoles SAML (Security Assertion Markup Language) et OpenID Connect (OIDC) avec des milliers d'applications pré-intégrées. Grâce à un accès transparent, les utilisateurs n'ont pas besoin de ressaisir leurs informations d'identification à chaque fois qu'ils accèdent à une application.
Entra ID L'accès conditionnel permet aux administrateurs de définir des contrôles d'accès en fonction de conditions telles que :
Les administrateurs peuvent bloquer l'accès ou exiger une authentification multifacteur pour réduire les risques. L'accès conditionnel fournit une couche de sécurité supplémentaire pour accéder aux ressources.
Windows Active Directory (AD) est le service d'annuaire de Microsoft pour les réseaux de domaine Windows. Il stocke des informations sur les objets du réseau, comme les utilisateurs, les groupes et les ordinateurs. AD permet aux administrateurs réseau de gérer les utilisateurs et les ressources dans un environnement Windows.
AD utilise une base de données hiérarchique pour stocker des informations sur les objets dans l'annuaire. Les objets comprennent :
AD permet aux administrateurs système de disposer d'un emplacement centralisé pour gérer les utilisateurs et les ressources dans un environnement Windows. En organisant des objets tels que des utilisateurs, des groupes et des ordinateurs dans une structure hiérarchique, AD facilite l'application de politiques et d'autorisations sur l'ensemble d'un réseau.
Windows Active Directory (AD) et Entra ID sont tous deux des services d'annuaire de Microsoft, mais ils répondent à des objectifs différents. Windows AD est un service d'annuaire sur site permettant de gérer les utilisateurs et les ressources d'une organisation. Entra ID est le service cloud multi-tenant de gestion d'annuaire et d'identité de Microsoft.
Windows AD nécessite des contrôleurs de domaine physiques pour stocker les données et gérer l'authentification. Entra ID est hébergé dans les services cloud de Microsoft, aucun serveur sur site n'est donc nécessaire. Windows AD utilise le protocole LDAP, tandis que Entra ID utilise des API RESTful. Windows AD est conçu principalement pour les ressources sur site, tandis que Entra ID est conçu pour gérer les identités et l'accès aux applications cloud, aux applications SaaS (Software as a Service) et aux applications sur site.
Dans Windows AD, les utilisateurs sont synchronisés à partir de serveurs Windows sur site et gérés localement. Dans Entra ID, les utilisateurs peuvent être créés et gérés dans le portail cloud ou synchronisés à partir de répertoires sur site à l'aide de Entra ID Connectez. Entra ID prend également en charge la création et les mises à jour groupées d'utilisateurs via le Entra ID API graphique ou PowerShell.
Windows AD nécessite une configuration manuelle pour publier des applications sur site. Entra ID propose différentes applications SaaS pré-intégrées et permet le provisionnement automatique des utilisateurs. Des applications personnalisées peuvent également être ajoutées à Entra ID pour l'authentification unique à l'aide de SAML ou OpenID Connect.
Utilisations de Windows AD Kerberos et NTLM pour l'authentification sur site. Entra ID prend en charge les protocoles d'authentification tels que SAML, OpenID Connect, WS-Federation et OAuth 2.0. Entra ID fournit également une authentification multifacteur, des politiques d'accès conditionnel et Protection de l'identité.
Entra ID Connect peut synchroniser les identités de Windows AD vers Entra ID. Cela permet aux utilisateurs de se connecter à Entra ID et Office 365 en utilisant le même nom d'utilisateur et le même mot de passe. La synchronisation des annuaires est unidirectionnelle, mise à jour Entra ID avec les modifications de Windows AD.
En résumé, alors que Windows AD et Entra ID Sont tous deux des services d'annuaire Microsoft, ils répondent à des objectifs très différents. Windows AD sert à gérer les ressources sur site, tandis que Entra ID est un service basé sur le cloud pour gérer l'accès aux applications SaaS et à d'autres ressources cloud. Pour de nombreuses organisations, utilisant Windows AD et Entra ID ensemble, nous fournissons la solution la plus complète.
Entra ID fournit l'essentiel gestion des identités et des accès capacités pour Azure et Microsoft 365. Il offre des services d’annuaire de base, une gouvernance avancée des identités, une sécurité et une gestion de l’accès aux applications.
Entra ID agit comme un service d’annuaire cloud et de gestion des identités multi-locataires. Il stocke des informations sur les utilisateurs, les groupes et les applications et se synchronise avec les répertoires sur site. Entra ID fournit un accès par authentification unique (SSO) aux applications et aux ressources. Il prend en charge les normes ouvertes telles que OAuth 2.0, OpenID Connect et SAML pour les intégrations SSO.
Entra ID inclut des fonctionnalités de gestion du cycle de vie des identités. Il fournit des outils pour provisionner et déprovisionner des comptes d'utilisateurs en fonction des données RH ou lorsque des employés rejoignent, évoluent au sein ou quittent une organisation. Les politiques d'accès conditionnel peuvent être configurées pour exiger une authentification multifacteur, la conformité des appareils, des restrictions de localisation, etc. lors de l'accès aux ressources. Entra ID permet également aux administrateurs de configurer la réinitialisation des mots de passe en libre-service, les révisions d'accès et la gestion des identités privilégiées.
Entra ID utilise des algorithmes d'apprentissage automatique adaptatifs et des heuristiques pour détecter les activités de connexion suspectes et les vulnérabilités potentielles. Il fournit des rapports de sécurité et des alertes pour aider à identifier et à corriger les menaces. Microsoft propose également Entra ID Premium P2 qui inclut la protection de l'identité et la gestion des identités privilégiées pour une sécurité accrue.
Entra AD permet un accès par authentification unique à des milliers d'applications SaaS pré-intégrées dans la galerie d'applications Entra AD. Il prend en charge le provisionnement des utilisateurs et l'activation du SSO pour les applications personnalisées. Le proxy d'application fournit un accès à distance sécurisé aux applications Web sur site. Entra AD B2C offre une gestion de l'identité et des accès des clients pour les applications destinées aux clients.
En résumé, Azure AD est le service d'annuaire cloud multi-locataire et de gestion des identités de Microsoft. Il fournit des fonctionnalités essentielles telles que les services d'annuaire de base, la gouvernance des identités, les fonctionnalités de sécurité et la gestion de l'accès aux applications pour permettre aux organisations de gérer les identités des utilisateurs et de sécuriser l'accès aux ressources dans Azure, Microsoft 365 et d'autres applications SaaS.
Entra AD offre plusieurs avantages aux organisations :
Entra AD fournit des fonctionnalités de sécurité robustes telles que l'authentification multifacteur, l'accès conditionnel et la protection de l'identité. MFA ajoute une couche de sécurité supplémentaire pour les connexions des utilisateurs. L'accès conditionnel permet aux organisations de mettre en œuvre des contrôles d'accès basés sur des facteurs tels que l'emplacement de l'utilisateur ou l'état de l'appareil. La protection de l'identité détecte les vulnérabilités et les risques potentiels pour le compte d'un utilisateur.
Entra AD simplifie la gestion des comptes utilisateurs et des accès. Il fournit un endroit unique pour gérer les utilisateurs et les groupes, définir des politiques d'accès et attribuer des licences ou des autorisations. Cela permet de réduire les frais administratifs et de garantir une application cohérente des politiques dans toute l’organisation.
Avec Entra AD, les utilisateurs peuvent se connecter une seule fois à l'aide de leur compte organisationnel et accéder à toutes leurs applications cloud et sur site. Cette expérience d’authentification unique améliore la productivité et réduit la fatigue des utilisateurs en matière de mots de passe. Entra AD prend en charge l'authentification unique pour des milliers d'applications pré-intégrées ainsi que des applications personnalisées.
En permettant l'authentification unique et en rationalisant la gestion des accès, Entra AD contribue à augmenter la productivité des utilisateurs finaux. Les utilisateurs peuvent accéder rapidement à toutes leurs applications et ressources sans avoir à se connecter à plusieurs reprises avec des informations d'identification différentes. Ils passent moins de temps à gérer plusieurs identifiants et mots de passe et plus de temps à travailler sur les applications et les ressources dont ils ont besoin.
Pour de nombreuses organisations, Entra AD peut contribuer à réduire les coûts associés aux solutions d'identité sur site. Il élimine le besoin d’acheter et de maintenir du matériel et des logiciels pour la gestion des identités. Et en simplifiant la gestion des accès et en permettant l’authentification unique, cela peut contribuer à réduire les coûts du service d’assistance liés aux réinitialisations de mots de passe et aux problèmes d’accès.
Les attaques courantes contre Entra AD incluent :
Les attaques par pulvérisation de mot de passe sont des tentatives d'accès à plusieurs comptes en devinant les informations d'identification communes. Les attaquants essaieront des mots de passe tels que « Mot de passe1 » ou « 1234 » en espérant qu'ils correspondent aux comptes de l'organisation. L'activation de politiques d'authentification multifacteur et de mot de passe peut aider à prévenir ce type d'attaques par force brute.
Les attaques de phishing tentent de voler les informations d'identification des utilisateurs, d'installer des logiciels malveillants ou d'inciter les utilisateurs à accorder l'accès aux comptes. Les attaquants enverront des e-mails frauduleux ou dirigeront les utilisateurs vers des sites Web malveillants qui imitent l'apparence des pages de connexion Entra AD légitimes. Éduquer les utilisateurs sur les techniques de phishing et activer l’authentification multifacteur peut contribuer à réduire le risque de compromission dû au phishing.
Les jetons d'accès émis par Entra AD peuvent être volés et rejoués pour accéder aux ressources. Les attaquants tenteront de tromper les utilisateurs ou les applications pour qu'ils révèlent des jetons d'accès, puis utiliseront ces jetons pour accéder aux données et aux systèmes. L'activation de l'authentification multifacteur et l'émission uniquement de jetons d'accès de courte durée aident à prévenir le vol de jetons et les attaques par relecture.
Les attaquants créeront des comptes dans Entra AD à utiliser pour la reconnaissance, comme point de départ pour mouvement latéral dans le réseau, ou pour se fondre en tant que compte légitime. Le renforcement des politiques de création de comptes, l'activation de l'authentification multifacteur et la surveillance des activités anormales des comptes peuvent aider à détecter la création de comptes malveillants.
Les logiciels malveillants, les applications malveillantes et les logiciels compromis peuvent être utilisés pour extraire des données d'Entra AD, se propager à d'autres comptes et systèmes, ou maintenir la persistance sur le réseau. Le contrôle minutieux des applications tierces ayant accès à vos données et comptes Entra AD, la surveillance des signes de compromission et l'éducation des utilisateurs sur l'utilisation sécurisée des applications contribuent à réduire le risque lié aux logiciels malveillants.
Entra AD fournit des fonctionnalités essentielles de gestion des identités et des accès, telles que l'authentification multifacteur, l'accès conditionnel, la protection de l'identité, la gestion des identités privilégiées, etc. Pour toute organisation cherchant à améliorer la sécurité et à gérer efficacement les identités dans le cloud, Entra AD doit être considérée comme une solution robuste et fiable.