Lorsque vous décidez de passer à un service de gestion des identités et des accès, vous devrez prendre en compte les coûts et les capacités de chaque niveau proposé par Microsoft pour vous assurer que vous avez la couverture dont vous avez besoin à un prix abordable.
Microsoft a lancé Azure Active Directory (Azure AD) en disponibilité générale en 2013, et de nombreux informaticiens en sont au moins conscients s’ils ne l’utilisent pas activement. Il tend à y avoir une certaine confusion à propos de ce produit en raison de son nom ; Azure AD n’est pas Active Directory dans le cloud. Les deux ont des systèmes de gestion d’identité comme composant clé, mais ce sont des systèmes très différents. Une fois que vous arrivez à cette réalisation, vous voudrez alors aller plus loin et effectuer une comparaison Azure AD Premium P1 vs P2.
- Qu’est-ce qu’Active Directory?
- Qu’est-ce qu’Azure Active Directory ?
- Comment Azure AD fonctionne-t-il avec Active Directory sur site ?
- Quels types de licences Azure AD Microsoft propose-t-il ?
- Microsoft supprime l’édition Azure AD Basic
- Choisir une licence Azure AD
- Une comparaison des fonctionnalités d’Azure AD Premium P1 par rapport à P2
- Comparaison des prix d’Azure AD Premium P1 et P2
- Tester Azure AD avec l’édition gratuite
Qu’est-ce qu’Active Directory?
Active Directory est le service d’annuaire Microsoft conçu pour fonctionner sur place sur le système d’exploitation Windows Server qui contrôle l’accès à l’organisation et à ses ressources. Une partie d’Active Directory est le rôle de serveur des services de domaine Active Directory, également connu sous le nom de contrôleur de domaine, qui intègre la fonctionnalité de stockage des données dans l’annuaire, telles que les mots de passe des utilisateurs, et effectue les tâches d’autorisation et d’authentification sur le domaine. La structure de l’annuaire utilise des objets, qui peuvent être des comptes d’ordinateur, des serveurs ou des imprimantes — essentiellement, tout périphérique ou utilisateur qui se connecte au réseau de l’organisation.
Vous pouvez installer Active Directory Domain Services sur plusieurs déploiements de Windows Server, qui jouent alors le rôle de contrôleurs de domaine dans la forêt Active Directory, qui est le niveau le plus élevé de la hiérarchie de l’annuaire. Active Directory fournit des services d’authentification, de contrôle d’accès et de sécurité (stratégie de groupe) pour les ressources au sein de la forêt.
Qu’est-ce qu’Azure Active Directory ?
Azure Active Directory, plus communément appelé Azure AD, est un service de contrôle d’accès et de gestion des identités basé sur le cloud. Il est inclus dans les abonnements Office 365 et Microsoft 365, mais Microsoft vend également d’autres éditions d’Azure AD avec des niveaux de fonctionnalité variables. Comme Active Directory, Azure AD fournit des services d’authentification et de contrôle d’accès, mais a été spécifiquement conçu pour prendre en charge les besoins uniques des utilisateurs et des applications en nuage.
Bien qu’il existe de nombreuses similitudes entre Active Directory et Azure AD, Azure AD n’est pas simplement Active Directory dans le nuage. Azure AD offre des fonctionnalités spécifiques au cloud qui n’existent pas dans un environnement Active Directory traditionnel. Par exemple, Active Directory ne permet pas de joindre des appareils mobiles à un domaine, mais Azure AD s’intègre à Microsoft Intune pour gérer les appareils mobiles. De même, Active Directory ne prend pas en charge de manière native les systèmes non Windows, mais Azure AD permet aux machines Linux d’accéder à diverses ressources en utilisant des identités gérées. Vous pouvez trouver plus d’informations sur les différences entre Active Directory et Azure AD sur ce lien de documentation de Microsoft.
Comment Azure AD fonctionne-t-il avec Active Directory sur site ?
Bien qu’Active Directory et Azure AD puissent tous deux exister en tant qu’environnements d’annuaire indépendants, il est courant pour les organisations de créer des annuaires hybrides qui fonctionnent à la fois avec des contrôleurs de domaine sur site et Azure AD.
Microsoft fournit un outil gratuit appelé Azure AD Connect pour joindre ces deux environnements. Azure AD Connect réplique les comptes utilisateurs Active Directory vers Azure AD, ce qui permet à un utilisateur de disposer d’une identité unique capable d’accéder à la fois aux ressources locales et aux ressources basées sur le cloud.
Quels types de licences Azure AD Microsoft propose-t-il ?
Microsoft vend actuellement quatre options de licence Azure AD. La première est l’option gratuite, qui est recommandée pour les petites organisations et a une limite de 500 000 objets d’annuaire. Elle est principalement destinée à servir de mécanisme d’authentification et de contrôle d’accès et prend en charge le provisionnement des utilisateurs et les fonctions de base de gestion des utilisateurs, telles que la création, la suppression et la modification des comptes d’utilisateurs. Ces utilisateurs peuvent profiter du changement de mot de passe en libre-service, et les administrateurs peuvent créer des listes globales de mots de passe interdits ou exiger une authentification multifactorielle (MFA).
Le niveau gratuit d’Azure AD prend également en charge des fonctionnalités avancées, notamment la prise en charge d’Azure AD Connect et l’authentification cloud pass-through. En outre, l’édition gratuite d’Azure AD permet une authentification fédérée basée sur Active Directory Federation Services ou sur des tiers, ainsi qu’une fonctionnalité d’authentification unique. Les administrateurs peuvent créer des rapports de sécurité et d’utilisation de base dans la version gratuite.
Microsoft inclut Azure AD avec Office 365 et Microsoft 365 — plus précisément, les abonnements E1, E3, E5, F1 et F3 — en tant que service d’annuaire sous-jacent nécessaire au fonctionnement des applications sur la plateforme, telles qu’Exchange Online pour la messagerie et SharePoint Online pour la gestion de contenu.
Microsoft appelle cela l’édition Office 365 Apps d’Azure AD. Elle dispose des mêmes fonctionnalités et capacités que la version gratuite, mais elle respecte également un accord de niveau de service (SLA) de 99,9 % de disponibilité. L’édition gratuite n’a pas de SLA.
L’édition Office 365 Apps permet également diverses personnalisations, comme le marquage de l’entreprise. Peut-être plus important encore, la version Office 365 Apps prend en charge la synchronisation bidirectionnelle pour les objets du périphérique. Cela signifie que les modifications apportées dans Azure AD se propagent à l’environnement Active Directory dans le centre de données de l’organisation et vice versa.
En plus de l’édition gratuite et de l’édition Office 365 Apps d’Azure AD, Microsoft propose également deux versions premium connues sous le nom de Premium P1 et Premium P2. (Premium était auparavant un seul niveau, mais Microsoft l’a divisé en deux éditions.) Les versions premium comprennent tout ce qui est inclus dans l’édition Office 365 Apps et des fonctionnalités supplémentaires qui tournent autour des identités hybrides, de la gestion avancée des accès par groupe et de l’accès conditionnel. Les éditions premium comprennent également la prise en charge de Microsoft Identity Manager pour tirer des enregistrements à partir d’applications logicielles de gestion du capital humain sur site, telles que Oracle PeopleSoft.
La version P2 a le plus de fonctionnalités et comprend des fonctionnalités axées sur la protection et la gouvernance des identités.
Microsoft supprime l’édition Azure AD Basic
Microsoft avait proposé un autre palier Azure AD appelé Basic, mais a supprimé cette édition fin 2019. Les organisations qui ont souscrit à Azure AD Basic avant ce changement peuvent continuer à utiliser la licence. Ce palier présentait le même ensemble de fonctionnalités que l’édition Azure AD Office 365 Apps, à une exception près : Il manquait l’authentification multifactorielle.
Choisir une licence Azure AD
Comme indiqué précédemment, il existe quatre options Azure AD. La version gratuite est la mieux adaptée aux petites organisations et aux environnements de dev/test, tandis que la version Office 365/Microsoft 365 est livrée avec des caractéristiques supplémentaires pour travailler avec la fonctionnalité sur la plate-forme de collaboration Microsoft, mais rien de plus.
Les éditions Azure AD Premium P1 et P2 ciblent les environnements de classe entreprise qui nécessitent des capacités de contrôle d’accès avancées. Azure AD Premium P2 convient bien aux organisations des secteurs fortement réglementés, comme le gouvernement ou la santé, ou à celles qui ont besoin de la sécurité la plus forte possible.
Une comparaison des fonctionnalités d’Azure AD Premium P1 par rapport à P2
Maintenant que vous avez une compréhension de base d’Azure AD et de ses quatre éditions, examinons ce que vous obtenez avec Azure AD Premium P1 par rapport à P2. Il y a quatre raisons principales de choisir Premium P2 :
1. La fonction de protection de l’identité dans Premium P2 donne un aperçu des tentatives d’authentification douteuses. Elle examine les connexions et évalue dans quelle mesure elles peuvent être risquées, par exemple en détectant une connexion à un compte depuis un pays, puis un autre pays 10 minutes plus tard. Les administrateurs peuvent traiter automatiquement ces tentatives d’authentification douteuses grâce à des politiques qui peuvent forcer l’AMF ou bloquer entièrement l’accès. La protection de l’identité est l’un des meilleurs arguments pour passer à P2, car elle réduit considérablement de nombreux risques liés à l’accès des utilisateurs.
2. La gestion des identités privilégiées (PIM) est un ensemble de contrôles permettant de gérer les comptes d’accès de niveau supérieur dans Azure AD. Il comprend des fonctions de sécurité telles que l’accès juste-à-temps pour accorder temporairement des droits et les supprimer avec une journalisation et un audit complets. Des flux de travail avec justification et notifications peuvent également être déclenchés autour de l’activation de ces privilèges. Si vous devez faire face à de nombreuses modifications scélérates dans votre environnement, PIM pourrait vous aider à reprendre le contrôle.
3. La fonction de revues d’accès permet de s’assurer que seul le bon personnel peut utiliser des ressources spécifiques. Ceci est utile lors de l’embarquement et du débarquement du personnel, ou lorsque le personnel change de rôle. Vous pouvez également mettre des contrôles sur les utilisateurs existants pour examiner leur accès aux ressources et pousser ces décisions vers les propriétaires d’applications. Vous pouvez adapter les contrôles récurrents aux besoins de l’entreprise ou aux règles de conformité. C’est une belle fonctionnalité qui vous donne plus de contrôle pour autoriser ou bloquer l’accès à des ressources importantes sans avoir à vous en souvenir.
4. La gestion des droits est une fonctionnalité de gouvernance des identités qui utilise l’automatisation pour gérer les cycles de vie des identités, les cycles de vie des accès et les accès privilégiés. Elle fournit des contrôles pour donner accès aux ressources de l’organisation, telles que les groupes et les applications, pour les utilisateurs internes et externes. La gestion des droits utilise un paquet d’accès qui regroupe les ressources assorties, telles que les sites SharePoint Online et les droits d’accès aux applications en nuage, utilisées dans le processus de demande.
Comparaison des prix d’Azure AD Premium P1 et P2
Azure AD Premium P1 fait partie de la suite Office 365/Microsoft 365 E3, et Azure AD Premium P2 est inclus dans la suite Office 365/Microsoft 365 E5. Microsoft propose également les paliers en achat séparé ; Azure AD Premium P1 coûte 6 $ par utilisateur, par mois, tandis qu’Azure AD Premium P2 est de 9 $ par utilisateur, par mois.
Microsoft propose une tarification différente sur les éditions P1 et P2 pour un utilisateur actif mensuel (MAU) — une personne qui se connecte ou effectue une activité liée à l’identité sur le locataire. Les 50 000 premiers MAU sont gratuits. Au-delà, Microsoft facture 0,00325 $ par MAU sur l’édition P1 et 0,01625 $ par MAU sur l’édition P2.
Une autre option intéressante est le bundle Microsoft 365 Identity and Threat Protection (12 $ par utilisateur, par mois), qui comprend Azure AD Premium P2, Microsoft Cloud App Security et Microsoft 365 Defender — anciennement appelé Microsoft Threat Protection — qui fournit Azure Sentinel, Microsoft Defender for Identity (anciennement Azure Advanced Threat Protection), Microsoft Defender for Endpoint (anciennement Microsoft Defender ATP) et Microsoft Defender for Office 365 (anciennement Office 365 Advanced Threat Protection). Cette combinaison offre un ensemble plus étendu d’avantages de sécurité et ne coûte pas beaucoup plus cher que la licence Azure AD Premium P2.
Décider du forfait à acheter nécessite beaucoup de recherche et de compréhension pour s’assurer que vous obtenez la meilleure valeur pour votre argent. N’achetez pas le meilleur niveau absolu de licence disponible avant de savoir que vous l’utiliserez.
Tester Azure AD avec l’édition gratuite
Azure AD continue de se développer et de collecter régulièrement de nouvelles fonctionnalités et capacités. Parmi les capacités de gestion des identités d’Azure AD, on trouve un mélange de gestion des utilisateurs internes et externes, de gestion des accès aux applications et de protection des comptes. La plupart des entreprises utiliseront à la fois Active Directory sur site et Azure AD pour répondre aux différentes exigences du système, et les deux systèmes se complètent bien.
Vous pouvez essayer Azure AD gratuitement en configurant un locataire Azure gratuit si vous n’en avez pas déjà un, puis créer un répertoire. Vous pouvez ensuite, en option, installer le client Azure AD Connect pour synchroniser vos objets Active Directory sur site.
Ce niveau gratuit d’Azure AD est idéal pour les tests, mais pas pour l’environnement réel d’une entreprise. L’édition Free ne dispose pas de fonctionnalités de sécurité essentielles telles que l’accès conditionnel et le MFA. Vous voulez éviter de mettre des identités dans le nuage sans protection MFA. Une recherche rapide en ligne permet de trouver une récente session de la conférence Black Hat qui explique à quel point il est facile d’attaquer ces configurations Azure AD, il est donc fortement recommandé de verrouiller le locataire Azure AD avant de commencer à expérimenter.