Janvier 2023

Temps de lecture : 3 mn

Cet article est :

70% 🧑

30% 🤖

‍

‍

Dans le monde des systèmes informatiques d'entreprise, la gestion des identités et des accès est un élément essentiel pour garantir la sécurité et le bon fonctionnement des applications et des ressources. Microsoft offre plusieurs solutions pour gérer les identités et les accès dans un environnement cloud ou hybride. Dans cet article, nous allons comparer trois services importants : Active Directory Domain Services (AD DS), Azure Active Directory (Azure AD) et Azure Active Directory Domain Services (Azure AD DS). Nous aborderons les principales différences entre ces services et les cas d'utilisation les plus courants.

‍

Active Directory Domain Services (AD DS)

‍

AD DS est un service de Microsoft qui gère les identités et les accès pour les systèmes d'exploitation Windows Server. Il est largement utilisé dans les environnements locaux (on-premise) et offre une gestion centralisée des utilisateurs, des groupes, des ordinateurs, des politiques de sécurité et d'autres objets. Les principales caractéristiques d'AD DS sont :

• Gestion centralisée des comptes utilisateurs et des machines
• Contrôle d'accès basé sur les rôles et les permissions
• Authentification et autorisation via le protocole Kerberos
• Réplication des données entre les contrôleurs de domaine
• Intégration avec d'autres services Microsoft comme Exchange, SharePoint, etc.

‍

Azure Active Directory (Azure AD)

‍

Azure AD est un service d'identité en tant que service (IDaaS) basé sur le cloud qui gère les identités et les accès pour les applications et services Microsoft Cloud tels que Office 365, Azure et Dynamics 365, ainsi que pour les applications tierces. Contrairement à AD DS, Azure AD est conçu pour les environnements cloud et les applications modernes basées sur le web et les API. Les principales caractéristiques d'Azure AD sont :

• Gestion centralisée des identités et des accès pour les applications cloud
• Authentification unique (SSO) pour les applications Microsoft et tierces
• Authentification et autorisation via les protocoles OAuth, OpenID Connect et SAML
• Intégration avec AD DS via Azure AD Connect pour les environnements hybrides
• Fonctionnalités avancées de sécurité et de conformité, comme la protection contre les menaces et l'accès conditionnel

‍

Azure Active Directory Domain Services (Azure AD DS)

‍

Azure AD DS est une version entièrement gérée d'AD DS dans le cloud qui fournit des services de domaine similaires à ceux d'AD DS, mais sans la nécessité de gérer et de maintenir des contrôleurs de domaine locaux. Azure AD DS est conçu pour les organisations qui souhaitent migrer leurs applications et services vers le cloud tout en conservant la compatibilité avec les fonctionnalités d'AD DS. Les principales caractéristiques d'Azure AD DS sont :

• Fournit des services de domaine AD DS entièrement gérés dans le cloud
• Authentification et autorisation via le protocole Kerberos et NTLM
• Intégration avec Azure AD pour la synchronisation des identités et des groupes
• Prise en charge des politiques de groupe et des scripts d'ouverture de session
• Sécurité renforcée grâce à l'intégration avec Azure AD et les fonctionnalités de sécurité avancées

‍

Synthèse

‍

En résumé, Active Directory Domain Services (AD DS) est idéal pour les environnements locaux et la gestion des identités et des accès pour les systèmes d'exploitation Windows Server. Azure Active Directory (Azure AD) est une solution cloud moderne pour la gestion des identités et des accès dans les applications et services cloud, tandis qu'Azure Active Directory Domain Services (Azure AD DS) est une version entièrement gérée d'AD DS dans le cloud, conçue pour les organisations qui souhaitent migrer vers le cloud tout en conservant la compatibilité avec les fonctionnalités d'AD DS.

Le choix entre ces trois services dépendra de vos besoins spécifiques, de votre infrastructure et de votre stratégie de migration vers le cloud. Il est important de comprendre les différences entre ces services pour choisir la meilleure solution adaptée à vos exigences en matière de gestion des identités et des accès.

‍

Peut-on joindre un Windows Server On Premise à Azure AD DS ?

‍

Oui, il est possible de joindre un serveur Windows on-premises à un Azure AD Domain Services (Azure AD DS). Azure AD DS permet de créer un environnement similaire à un Active Directory local dans le cloud, ce qui facilite l'intégration des machines on-premises et des ressources cloud.

Pour joindre un serveur Windows on-premises à Azure AD DS, vous devez suivre ces étapes :

1. Assurez-vous que votre réseau on-premises est connecté à votre réseau Azure Virtual Network (VNet) via un VPN site-à-site ou une connexion ExpressRoute. Cela permettra une communication transparente entre votre réseau local et le réseau Azure où se trouve votre instance Azure AD DS.
2. Configurez les paramètres DNS sur le serveur Windows on-premises pour pointer vers les adresses IP de vos contrôleurs de domaine Azure AD DS. Cela permettra au serveur d'utiliser Azure AD DS pour la résolution DNS et les services d'annuaire.
3. Joignez le serveur Windows au domaine Azure AD DS en utilisant la même procédure que pour rejoindre un serveur à un domaine AD DS local. Vous devrez fournir des informations d'identification d'administrateur du domaine pour effectuer cette opération.

Après avoir effectué ces étapes, votre serveur Windows on-premises sera joint au domaine Azure AD DS, et vous pourrez gérer les identités et les accès pour les ressources on-premises et cloud en utilisant les fonctionnalités d'Azure AD DS.

Notez toutefois que, dans certains scénarios, il peut être plus approprié d'utiliser Azure AD Connect pour synchroniser les identités entre AD DS local et Azure AD, plutôt que de rejoindre directement les serveurs Windows on-premises à Azure AD DS. Cette approche offre une meilleure intégration avec les services cloud Microsoft et des fonctionnalités avancées telles que l'authentification unique (SSO) et l'accès conditionnel.

‍