Préparez-vous dès maintenant à la fin éventuelle de Microsoft Active Directory, car il sera progressivement supprimé au profit d’Entra, plus sécurisé et moins risqué.
L’intelligence artificielle est une priorité pour presque tout ce que Microsoft fait ces jours-ci, mais il y a un autre objectif que l’entreprise aimerait voir ses utilisateurs s’efforcer d’atteindre – un objectif qui n’est peut-être pas facile à atteindre – et qui doit être rejoint uniquement par Entra.
Cela signifie plus d’Active Directory (AD) et plus de domaine traditionnel : à la place, vos appareils rejoignent Entra (anciennement Azure AD) de manière native et sont intégrés au service d’annuaire basé sur le cloud de Microsoft pour une gestion, une authentification et une sécurité centralisées.
Il s’agit d’un changement majeur par rapport aux configurations de jointure hybride sur lesquelles beaucoup d’entre nous comptaient dans le passé, dans lesquelles les postes de travail se connectaient à la fois aux ressources Entra et au domaine Active Directory traditionnel et d’autres se connectaient à un domaine AD et à des ressources en ligne telles que la messagerie hébergée, SharePoint, et les ressources OneDrive.
L’intention de Microsoft de permettre aux clients de passer à une adhésion Entra uniquement a été révélée lors de sa récente conférence annuelle professionnelle sur les technologies de l’information Ignite, à partir de laquelle je recherche toujours des indicateurs sur les projets futurs de l’entreprise et leur impact potentiel sur moi.
Bien que l’approche hybride ait été la méthode privilégiée par beaucoup au cours des 10 dernières années, elle introduit davantage de risques pour un système. Il est intrinsèquement moins sécurisé, en raison de la nécessité d’avoir un domaine de confiance qui introduit des chemins de mouvement latéraux bien connus pour les attaquants.
De plus, vous disposez des efforts supplémentaires nécessaires pour maintenir Active Directory et Entra simultanément, ce qui peut souvent déclencher des problèmes où les stratégies de groupe héritées entrent en concurrence avec les stratégies Intune. Cela ajoute à la complexité du débogage des raisons pour lesquelles les systèmes fonctionnent et que vous souhaitez qu’ils fassent.
La migration des systèmes vers Entra uniquement renforcera la sécurité
S’appuyer sur la jointure hybride signifie également permettre une plus grande complexité dans votre infrastructure. Vous devez garder une trace des domaines, des contrôleurs de domaine, des serveurs de noms de domaine, des serveurs DHCP et de diverses technologies, des pare-feu aux réseaux privés virtuels, le tout pour garantir que votre domaine traditionnel fonctionne simplement. De plus, vous devrez vous assurer que ces actifs sont maintenus, corrigés et bénéficient d’un support actif.
Cela peut également signifier du temps et de l’énergie consacrés à la mise à jour et à la maintenance des systèmes d’exploitation des serveurs – en plus de la nécessité de migrer de Windows 10 vers Windows 11 et vous devrez peut-être procéder à de nombreuses réévaluations sur la façon dont vous appliquez les ressources technologiques dans votre entreprise.
Aller de l’avant avec une adhésion Entra uniquement fournira à terme une inscription simplifiée qui peut être déployée avec une simple connexion Internet. Ceci est particulièrement pratique lorsque vous avez une main-d’œuvre dispersée : tout ce dont vous avez besoin pour déployer un poste de travail est une connexion Internet et un pilote automatique configuré pour vous connecter à Entra ID.
Les futures fonctionnalités supplémentaires seront disponibles uniquement sur Entra ID, garantissant ainsi qu’à l’avenir, vous serez prêt pour les futurs changements que Microsoft apportera à terme à ses offres cloud.
Mais les considérations de sécurité les plus importantes sont peut-être l’utilisation d’Entra ID pour l’authentification et la gestion des identités, l’application des politiques de conformité via des outils tels que Microsoft Intune, l’authentification unique et l’application de mesures de sécurité avancées telles que l’authentification multifacteur (MFA).
Comment passer à Entra uniquement
Tout d’abord, faites l’inventaire de vos applications métier et déterminez si elles commencent leur propre migration vers les versions cloud de leurs homologues Active Directory ou si vos applications actuelles peuvent réellement fonctionner avec un poste de travail joint à Entra ID. Vous constaterez peut-être que certaines applications clés nécessitent encore un réseau traditionnel. Passez en revue les plans à long terme des fournisseurs et des vendeurs et intégrez-les à vos propres plans.
Si vos candidatures datent de plus de 10 ans, il y a de fortes chances que vous ne puissiez pas mettre en œuvre une adhésion Entra uniquement et que vous deviez conserver un arrangement hybride. Les applications plus anciennes ne disposent souvent pas des processus nécessaires pour utiliser des techniques d’authentification alternatives et utilisent toujours des processus d’authentification plus traditionnels.
Ils ne comprennent pas l’authentification des machines et supposent plutôt une infrastructure Active Directory plus traditionnelle et ne recherchent pas de support pour se connecter aux ressources cloud. J’ai personnellement constaté que trop d’applications s’appuient encore sur des techniques d’authentification plus anciennes telles que NTLM et n’ont pris aucune mesure pour pouvoir travailler avec des technologies plus récentes.
Commencez à dresser une liste des applications qui peuvent être déplacées vers un réseau moderne et de celles qui ne le peuvent pas. Contactez ces fournisseurs dès maintenant, même si vous n’avez pas l’intention dans l’immédiat d’opter pour Entra uniquement.
Vérifiez s’il existe des méthodologies existantes qui peuvent vous fournir les outils dont vous avez besoin pour vos applications. Par exemple, si vos applications ont besoin d’un mappage de lecteur pour se connecter aux postes de travail, cela peut être fait avec diverses méthodologies qui n’incluent pas de stratégie de groupe. Intune peut être utilisé pour mapper des lettres de lecteur à l’aide de modèles ADMX.
Examiner les politiques de groupe
Ensuite, prenez le temps d’examiner et de déterminer si toutes vos politiques de groupe sont toujours valides et toujours efficaces. À mesure que vous migrez vers Intune, beaucoup d’entre vous constateront peut-être que les stratégies de groupe que vous avez encore dans votre Active Directory ne sont plus nécessaires ou valides sur votre réseau.
Exportez vos objets de stratégie de groupe et examinez ce qu’ils font. Pendant de nombreuses années, beaucoup d’entre nous ont utilisé des stratégies de groupe personnalisées pour définir des ajustements uniques aux systèmes d’exploitation et aux suites Office dont nous disposions à l’époque.
Mais ne jetez pas toutes vos pratiques que vous avez l’habitude de pratiquer. Par exemple, dans Active Directory traditionnel, vous avez l’habitude de faire régulièrement tourner les clés Kerberos. Lorsque vous passez à Entra ID, le processus est similaire. Tout comme avec Active Directory, vous devrez également faire pivoter les clés Kerberos. L’exécution de cette étape permettra de minimiser le vol ou l’usurpation d’identité de tickets Kerberos.
Vous devrez régulièrement alterner ces clés à l’aide de la commande PowerShell suivante :
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred -RotateServerKey
Le passage au cloud n’élimine pas la nécessité d’effectuer des processus pour garantir la sécurité des informations d’identification. La rotation des clés est obligatoire dans les ressources sur site et dans le cloud.
Attendez-vous à davantage de fonctionnalités de participation Entra uniquement de la part de Microsoft
À l’avenir, Microsoft ajoute de nouvelles fonctionnalités en gardant à l’esprit un point de vue Entra uniquement. Par exemple, les versions récentes d’Autopilot fonctionnent avec les exigences suivantes :
- Windows 11, version 23H2 avec KB5035942 ou version ultérieure.
- Windows 11, version 22H2 avec KB5035942 ou version ultérieure.
- ID Microsoft Entra : seule la jointure Microsoft Entra est prise en charge.
Vous n’avez plus à vous soucier de la prise en charge du pilote automatique lorsque vous êtes uniquement membre d’Entra.
Les appareils Windows 11 22H2 qui sont uniquement joints à Entra sont pris en charge pour la connexion Web. Comme l’a noté Microsoft, voici les exigences :
- Windows 11, version 22H2 avec 5030310 ou version ultérieure.
- Microsoft Entra a rejoint.
- Connectivité Internet, car l’authentification se fait sur Internet.
Pour la connexion Web, un appareil connecté hybride ou un appareil Active Directory n’est pas pris en charge.
Active Directory va être progressivement supprimé sur une longue période – prenez le temps dès maintenant de vous assurer que vous planifiez cela à long terme et que vous pouvez adapter les ressources de votre entreprise à vos besoins.