Implémenter une approche cloud-first

Il s’agit principalement d’un processus et d’une phase pilotée par des stratégies pour arrêter, ou limiter autant que possible, l’ajout de nouvelles dépendances aux services de domaine Active Directory (AD DS) et l’implémentation d’une approche cloud pour la nouvelle demande de solutions informatiques.

Il est essentiel à ce stade d’identifier les processus internes qui entraîneraient l’ajout de nouvelles dépendances sur AD DS. Par exemple, la plupart des organisations pourraient avoir un processus de gestion des changements qui doit être suivi avant que de nouveaux scénarios, fonctionnalités et solutions ne soient implémentés. Nous vous recommandons vivement de vérifier que ces processus d’approbation des modifications sont mis à jour pour :

• Incluez une étape pour déterminer si la modification proposée ajouterait de nouvelles dépendances sur AD DS.
• Évaluez les alternatives Microsoft Entra lorsque cela est possible.

Attributs

Vous pouvez enrichir les attributs utilisateur dans Microsoft Entra ID pour avoir plus d’attributs utilisateur à inclure. Voici quelques exemples de scénarios courants qui demandent des attributs utilisateur riches :

• Provisionnement d’applications : La source de données du provisionnement d’applications est Microsoft Entra ID et les attributs utilisateur nécessaires doivent y être présents.

• Autorisation d’application : Un jeton émis par Microsoft Entra ID peut inclure des revendications générées à partir d’attributs utilisateur afin que les applications puissent prendre une décision d’autorisation en fonction des revendications dans le jeton. Il peut également contenir des attributs provenant de sources de données externes via un fournisseur de revendications personnalisées.

• Remplissage et maintenance des appartenances au groupe : les groupes dynamiques permettent un remplissage des groupes en fonction des attributs utilisateur comme les informations du département.

Ces deux liens fournissent des conseils sur l’apport de changements au schéma :

• Comprendre le schéma Microsoft Entra et les expressions personnalisées

• Attributs synchronisés par Microsoft Entra Connect

Ces liens fournissent des informations supplémentaires sur ce sujet, mais ne sont pas spécifiques aux changements du schéma :

• Utiliser les attributs d’extension de schéma Microsoft Entra dans les revendications - Plateforme d’identités Microsoft

• Que sont les attributs de sécurité personnalisés dans Microsoft Entra ID (préversion) ?

• Personnaliser des mappages d’attributs Microsoft Entra dans le provisionnement d’application

• Fournir des revendications facultatives aux applications Microsoft Entra - Plateforme d’identités Microsoft

• Attribution d’applications basée sur des attributs avec des filtres d’étendue ou Gestion des droits d’utilisation de Microsoft Entra (pour l’accès aux applications)

Groupes

Une approche cloud-first pour les groupes implique la création de nouveaux groupes dans le cloud. Si vous en avez besoin localement, approvisionnez des groupes dans Active Directory Domain Services (AD DS) à l’aide de Microsoft Entra Cloud Sync. Convertissez la source d’autorité de groupe (SOA) des groupes locaux existants pour les gérer à partir de Microsoft Entra.

Ces liens fournissent plus d’informations sur les groupes :

• Créez ou modifiez un groupe dynamique et obtenez le statut dans Microsoft Entra ID

• Utiliser des groupes en libre-service pour une gestion des groupes initiée par l’utilisateur

• Attribution d’applications basée sur des attributs avec des filtres d’étendue ou Qu’est-ce que la gestion des droits d’utilisation Microsoft Entra ( pour l’accès aux applications)

• Comparer des groupes

• Restreindre les autorisations d'accès des invités dans Microsoft Entra ID

Utilisateurs

S’il existe des utilisateurs de votre organisation qui n’ont pas de dépendances d’application à Active Directory, vous pouvez adopter une approche cloud en approvisionnant ces utilisateurs directement à Microsoft Entra ID. S’il existe des utilisateurs qui n’ont pas besoin d’accéder à Active Directory, mais qu’ils ont des comptes Active Directory approvisionnés, leur source d’autorité peut être modifiée pour vous permettre de nettoyer leur compte Active Directory.

Appareils

Les stations de travail clientes sont généralement jointes à Active Directory et gérées via des objets stratégie de groupe (GPO) ou des solutions de gestion des appareils telles que Microsoft Configuration Manager. Vos équipes établissent une nouvelle stratégie et un nouveau processus pour empêcher les stations de travail nouvellement déployées d’être jointes au domaine. Les points clés sont les suivants :

• Demander une jonction Microsoft Entra pour les nouvelles stations de travail clientes Windows afin d’arriver à « Aucune autre jonction de domaine ».

• Gérer les stations de travail à partir du cloud à l’aide de solutions de gestion unifiée des points de terminaison (UEM), telles que Intune.

Windows Autopilot peut vous aider à établir une intégration et un provisionnement d’appareils simplifiés, pouvant appliquer ces directives.

La solution de mot de passe d’administrateur local Windows (LAPS) permet à une solution cloud de gérer les mots de passe des comptes d’administrateur local.

Pour plus d’informations, consultez En savoir plus sur les points de terminaison natifs cloud.

Applications logicielles

Généralement, les serveurs d’application sont souvent joints à un domaine Active Directory local afin qu’ils puissent utiliser l’authentification intégrée Windows (Kerberos ou NTLM), les requêtes d’annuaire via LDAP et la gestion des serveurs avec une stratégie de groupe ou Microsoft Configuration Manager.

L’organisation a un processus d’évaluation d’alternatives Microsoft Entra lors de la prise en compte de nouveaux services, applications ou infrastructure. Les directives relatives à une approche cloud-first des applications doivent être les suivantes. (Les nouvelles applications locales ou les applications héritées doivent être une exception rare lorsqu’aucune alternative moderne n’existe.)

• Donnez une recommandation pour changer la stratégie d’approvisionnement et la stratégie de développement d’applications en vue d’exiger des protocoles modernes (OIDC/OAuth2 et SAML) et d’authentifier avec Microsoft Entra ID. Les nouvelles applications doivent également prendre en charge le provisionnement d’applications Microsoft Entra et n’avoir aucune dépendance aux requêtes LDAP. Les exceptions nécessitent une révision et une approbation explicites.

  Importante

  Selon les demandes anticipées des applications qui nécessitent des protocoles hérités, vous pouvez choisir de déployer les services de domaine Microsoft Entra lorsque des alternatives plus actuelles ne fonctionnent pas.

• Donnez une recommandation pour créer une stratégie visant à prioriser l’utilisation d’alternatives natives cloud. La stratégie doit limiter le déploiement de nouveaux serveurs d’applications sur le domaine. Les scénarios natifs cloud courants pour remplacer les serveurs membres du domaine sont les suivants :

  • Serveurs de fichiers :

    • SharePoint ou OneDrive offrent une prise en charge de la collaboration dans les solutions Microsoft 365 et gouvernance, risques, sécurité et conformité intégrés.

    • Azure Files offre des partages de fichiers complètement managés dans le cloud, accessibles via le protocole SMB ou NFS standard. Les clients peuvent utiliser l’authentification Microsoft Entra native dans Azure Files sur Internet sans contrôleur de domaine en ligne de mire.

    • Microsoft Entra ID fonctionne avec des applications tierces dans la galerie d’applications Microsoft.

  • Serveurs d’impression :

    • Si votre organisation a un mandat pour obtenir des imprimantes compatiblesavec l’impression universelle, consultez intégrations de partenaires.

    • Pont avec le connecteur d’impression universelle pour les imprimantes incompatibles.

Étapes suivantes

• Introduction
• Posture de la transformation cloud
• Établir une empreinte Microsoft Entra
• Transition vers le cloud