Contenu
- Les différents environnements Azure AD et Server AD
- Les points communs entre Azure AD et Server AD
- Comment ils sont différents
- Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire
- Azure AD simplifie la vie de tous les utilisateurs grâce à IDaaS
Source: Rvlsoft / Dreamstime.com
À emporter:
Dans cet article, nous discutons des similitudes et des différences entre Microsoft Azure et Server AD, ainsi que de la façon dont Azure AD peut améliorer les fonctionnalités de votre AD sur site en cette ère de cloud et de ses multiples offres de services.
Je parlais l'autre jour avec le directeur de la technologie d'un système scolaire public d'assez bonne taille, qui exprimait sa frustration devant Microsoft Azure Active Directory. Une équipe de PME sur le sujet leur avait récemment été affectée pour les guider dans la mise en œuvre d’Azure AD. Après plusieurs conférences téléphoniques, le réalisateur a abandonné le partenariat avec les "experts", estimant qu'ils n'en savaient pas plus que ce qu'il savait déjà. «Je peux lire les articles TechNet aussi facilement que possible», a-t-il plaisanté.
Cela n’a rien d’étonnant, car l’intégration d’Azure AD et d’AD sur site dans un environnement de cloud hybride suscite beaucoup de confusion. En règle générale, l'hypothèse de départ est que Azure AD est simplement une version de réplique du serveur AD traditionnel qui réside simplement dans le cloud. C'est pourquoi il y a tant de clichés sur la supposition de choses. (Pour une comparaison des services cloud, voir Les quatre principaux acteurs du cloud: avantages et inconvénients.)
Les différents environnements Azure AD et Server AD
Le fait est que ces deux versions de AD présentent presque autant de différences que de similitudes. C’est parce qu’elles sont toutes construites autour d’un environnement différent.
Lorsque les informaticiens font référence à AD, ils font référence à l’AD traditionnel auquel nous nous sommes tous habitués au fil des ans et qui réside sur le plan physique. Server AD est construit autour des principes d'organisation, de gestion et de politique. Nous prenons notre domaine et le séparons en unités organisationnelles plus petites, plus faciles à gérer, hébergées par des utilisateurs et des ordinateurs partageant des points communs. Peut-être que votre AD est divisé par emplacements physiques ou par fonction. Les deux utilisateurs et leurs ordinateurs respectifs participent au processus d'autorisation lorsqu'ils se connectent aux contrôleurs de domaine à l'aide de LDAP et accèdent aux ressources physiques à l'aide de tickets Kerberos. Les applications sont créées à partir de fichiers ISO et la stratégie de groupe verrouille les ordinateurs de bureau et les paramètres pour les utilisateurs.
Et puis il y a Azure. Azure a été conçu pour le cloud, ce qui signifie qu'il est spécialement conçu pour prendre en charge les services Web. Le cloud concerne l'élasticité, l'agilité et les modifications perpétuelles. Azure est une structure plate, vide des unités d'organisation et des objets de stratégie de groupe, structure dans laquelle l'emplacement n'est pas pertinent. En fait, Azure est un vaste océan d'objets rassemblés dans un conteneur gigantesque. C’est un endroit où les applications sont des services, des extensions des utilisateurs eux-mêmes. Les applications de cet environnement sont simplement attribuées plutôt qu'installées. Alors que l'AD classique est connu pour rendre l'expérience utilisateur la plus gérée et la plus contrôlée possible, Azure AD consiste à rendre l'expérience utilisateur la plus fluide possible.
Les points communs entre Azure AD et Server AD
Azure AD n'est donc pas destiné à être la version cloud de Server AD. Il a été conçu pour être étendu, car l’AD traditionnel n’a jamais été conçu pour prendre en charge le monde des services Internet. Commençons donc par les similitudes entre les deux.
Comme son prédécesseur, Azure AD héberge des utilisateurs et des groupes. Dans un environnement de cloud hybride, les administrateurs AD peuvent créer des utilisateurs au sein de leur AD local sur site et les synchroniser avec Azure à l'aide d'un outil intermédiaire appelé Azure AD Connect, qui offre des fonctionnalités supplémentaires.
- Synchronisation de mot de passe - Les utilisateurs et les groupes étant synchronisés avec Azure AD, les utilisateurs peuvent se connecter à la fois sur site et dans le cloud, car les mots de passe sont synchronisés entre les deux. Sur site étant désigné comme autorité, Azure AD utilise également la stratégie de mot de passe local.
- Mot de passe en écriture - Les utilisateurs peuvent modifier leurs mots de passe dans Azure AD et les rediffuser sur site. C'est une fonctionnalité fantastique pour une organisation telle qu'un système scolaire où les mots de passe des enseignants et du personnel expirent pendant l'été. Plutôt que d'être verrouillés hors de leur accès Internet et jusqu'à ce qu'ils puissent retourner au travail pour changer leur mot de passe à leur bureau, ils peuvent le faire depuis leur domicile dans Azure AD à tout moment.
- Filtrer la synchronisation - Cela permet aux administrateurs de choisir exactement quels objets sont synchronisés avec le cloud et ceux qui ne le sont pas.
Comment ils sont différents
Bien que les utilisateurs et les groupes puissent coexister simultanément dans Azure AD et Server AD, ce n'est pas le cas pour les comptes d'ordinateur. Azure n'offre pas la fonctionnalité de «jonction de domaine» à laquelle nous sommes habitués. En effet, Azure concerne le Web, un environnement dépourvu des protocoles d'authentification traditionnels tels que LDAP et Kerberos, mais s'appuie plutôt sur des protocoles d'authentification Web tels que SAML, WS, Graph API et OAuth 2.0. Les ordinateurs sont connectés à Azure. Cela signifie que les comptes d'ordinateurs peuvent résider sur site ou dans le cloud, mais pas les deux. (Pour en savoir plus sur certains des problèmes les plus importants liés à la gestion d'Active Directory, voir Les cinq principaux problèmes de gestion Active Directory.)
Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire
Vous ne pouvez pas améliorer vos compétences en programmation lorsque personne ne se soucie de la qualité des logiciels.
Ce n’est pas un gros problème, mais beaucoup d’organisations disposent actuellement de deux types de parcs d’ordinateurs, tels que les ordinateurs de bureau et les appareils mobiles. Dans ce scénario, les périphériques mobiles peuvent résider dans Azure, tandis que les ordinateurs de bureau résident sur site. Les établissements d'enseignement de la maternelle à la 12e année offrant un approvisionnement individuel en ordinateur portable aux étudiants conviennent également à Azure, car des milliers d'ordinateurs portables sont reconfigurés à la fin de chaque année, ce qui en fait des candidats idéaux pour Azure.
Comme indiqué, Azure AD ne comporte aucune fonctionnalité de stratégie de groupe. Toutefois, les périphériques Azure peuvent être gérés par Microsoft Intune, qui offre des fonctionnalités telles que la gestion des mises à jour et l'effacement à distance en cas de compromission d'un périphérique. En outre, Intune peut être intégré à Microsoft SCCM pour fournir une gestion plus granulaire des périphériques.
Azure AD simplifie la vie de tous les utilisateurs grâce à IDaaS
La ligne de fond est la suivante: Server AD est avant tout une solution de service d'annuaire, tandis qu'Azure AD, qui dispose de certaines fonctionnalités de service d'annuaire, est une solution d'identité. La gestion des identités n’était pas un problème lors de la conception de Server AD, mais est un élément essentiel pour les organisations d’aujourd’hui.
À l'heure actuelle, les utilisateurs de presque toutes les entreprises utilisent de nombreuses applications cloud telles que Office 365, Saleforce.com, Dropbox, etc. les vulnérabilités étant donné que les utilisateurs devaient parfois gérer plusieurs mots de passe, les éditeurs d’applications en nuage imposant des stratégies de mot de passe différentes
Viennent ensuite les Federated Services, qui offrent une authentification unique ou une authentification unique. Initialement, cela signifiait que l’application en nuage renverrait le processus d’authentification vers l’AD sur site de l’utilisateur, où un serveur fédéré configuré authentifierait l’utilisateur en fonction de leurs informations d’authentification AD locales. Cela facilitait les choses pour l'utilisateur, mais exigeait beaucoup de configuration manuelle pour les équipes informatiques, car une relation fédérée devait être établie pour chaque fournisseur d'applications.
Et puis vient l’identité en tant que service (IDaaS), qui est l’objet d’Azure AD.Azure AD gère lui-même la fédération pour des centaines d'applications, ce qui permet aux utilisateurs Azure AD de passer d'une application à une autre de façon transparente presque aussi facilement que de parcourir des applications sur leur bureau. En un sens, Azure AD est un hub de fédération.
En outre, Azure AD offre aux entreprises la possibilité d’héberger un contrôleur de domaine virtuel dans le nuage, offrant aux utilisateurs une authentification mobile ainsi que la redondance en cas de défaillance totale sur site. Oui, Azure AD et Server AD ne répliquent pas les services l'un de l'autre, mais les complètent, offrant ainsi le meilleur des deux mondes aux utilisateurs d'aujourd'hui.