Votre environnement Active Directory est un v\u00e9ritable fouillis. Quinze ans de meilleures pratiques changeantes, de nouvelles fonctionnalit\u00e9s, de for\u00eats de ressources et d\u2019approbations de for\u00eats recueillies au fil des fusions et scissions d\u2019entreprises\u2026 vous voil\u00e0 maintenant aux prises avec un environnement complexe, o\u00f9 les utilisateurs sont dupliqu\u00e9s et la gestion est disparate.<\/p>\n
Au loin, vous apercevez le Cloud, ce ch\u00e2teau scintillant des services \u00e0 prix fixe. Vous vous aventurez dans sa direction, mais on vous arr\u00eate \u00e0 la grille d\u2019entr\u00e9e. Le gardien l\u00e8ve un sourcil, regarde par-dessus votre \u00e9paule et, tandis que vous regardez aussi derri\u00e8re vous, il souffle le mot : \u00ab Identit\u00e9 \u00bb.<\/p>\n
Ce sc\u00e9nario peut para\u00eetre dramatique, mais beaucoup de grandes entreprises peinent \u00e0 franchir cette \u00ab grille d\u2019entr\u00e9e \u00bb. Si le probl\u00e8me de l\u2019identit\u00e9 n\u2019est pas r\u00e9solu, vous devrez traverser les montages pour arriver au Cloud.<\/p>\n
Les services Cloud sont bas\u00e9s sur une structure d\u2019identit\u00e9 horizontale, avec des donn\u00e9es nettoy\u00e9es. Si vous tentez de transmettre des donn\u00e9es Active Directory mal g\u00e9r\u00e9es vers le Cloud, vous allez tr\u00e9bucher. Et si le service Cloud que vous mettez en \u0153uvre est essentiel \u00e0 vos affaires, vous risquez m\u00eame de tomber.<\/p>\n
Il m\u2019est d\u00e9j\u00e0 arriv\u00e9, en travaillant avec une tr\u00e8s grande entreprise, de voir une migration vers Exchange Online Protection (EOP) mal tourner en raison de probl\u00e8mes li\u00e9s au nettoyage des donn\u00e9es Active Directory. Active Directory Connect (anciennement DirSync) ne synchronise pas les donn\u00e9es Active Directory sur votre site directement dans le Cloud. Office 365 ajoutera automatiquement votre nom d\u2019utilisateur principal (UPN) en tant qu\u2019adresse courriel valide pour chaque utilisateur synchronis\u00e9. \u00c9tant donn\u00e9 qu\u2019EOP utilise les donn\u00e9es Azure Active Directory comme source, cette entreprise a d\u00e9couvert que les courriels destin\u00e9s \u00e0 un utilisateur \u00e9taient envoy\u00e9s \u00e0 un autre utilisateur dont l\u2019UPN correspondait \u00e0 l\u2019adresse courriel. Par cons\u00e9quent, environ 500 utilisateurs ne recevaient pas leurs courriels externes, il n\u2019\u00e9tait pas envisageable de faire un retour arri\u00e8re, et la taille importante de l\u2019environnement occasionnait de longs d\u00e9lais entre les synchronisations. Il a fallu plusieurs jours avant que la soci\u00e9t\u00e9 ne parvienne \u00e0 r\u00e9soudre tous les probl\u00e8mes.<\/p>\n
Assurez-vous que cette situation ne vous arrive pas. Ce billet porte sur le nettoyage des donn\u00e9es et le cycle de vie des objets dans Active Directory. Vous y retrouverez aussi des solutions pratiques qui vous permettront de passer au Cloud en minimisant les tracas.<\/p>\n
Active Directory s\u2019est beaucoup d\u00e9velopp\u00e9 depuis 2000. Les meilleures pratiques ont chang\u00e9, \u00e0 mesure que les fonctionnalit\u00e9s et options de s\u00e9curit\u00e9 ont \u00e9volu\u00e9. Avant de commencer votre nettoyage, \u00e9valuez la conception actuelle de votre syst\u00e8me et d\u00e9terminez si des changements majeurs s\u2019imposent avant de vous concentrer sur les d\u00e9tails.<\/p>\n
Dans un environnement Active Directory moderne, il y a tr\u00e8s peu de raisons d\u2019avoir plusieurs domaines, et encore moins de raisons d\u2019avoir plusieurs for\u00eats. \u00c0 une certaine \u00e9poque, il \u00e9tait n\u00e9cessaire d\u2019avoir un nouveau domaine pour une politique de mot de passe diff\u00e9rente, et les mises \u00e0 jour de sch\u00e9ma \u00e9taient si intimidantes qu\u2019une for\u00eat de ressources s\u2019av\u00e9rait essentielle pour un d\u00e9ploiement d\u2019Exchange. Cette \u00e9poque est r\u00e9volue. D\u00e9sormais, l\u2019id\u00e9al est d\u2019avoir un environnement simple \u00e0 g\u00e9rer, avec le moins d\u2019administrateurs possible.<\/p>\n
Il n\u2019y a que deux raisons pour lesquelles vous pourriez envisager un mod\u00e8le \u00e0 for\u00eats ou \u00e0 domaines multiples :<\/p>\n
Dans le pass\u00e9, vous auriez eu besoin d\u2019une implantation de FIM personnalis\u00e9e et\/ou d\u2019une for\u00eat AD interm\u00e9diaire simplement pour utiliser un environnement \u00e0 for\u00eats multiples avec Office 365. D\u00e9sormais, Active Directory Connect prend en charge la r\u00e9plication de for\u00eats multiples<\/a>, mais ce mod\u00e8le comporte son lot de d\u00e9fis, notamment les noms d\u2019utilisateurs qui entrent en conflit et les duplications d\u2019identit\u00e9s des usagers. Si vous ne correspondez pas \u00e0 l\u2019un des sc\u00e9narios ci-dessus (ou aux deux), sortez votre trousse de migration Active Directory et pr\u00e9parez-vous \u00e0 rationaliser..<\/p>\n Le DNS de votre for\u00eat Active Directory est-il nomm\u00e9 Corp.Local? Il faut que \u00e7a change! Depuis 2007, Microsoft recommande d\u2019utiliser un domaine publiquement routable (et de propri\u00e9t\u00e9 publique)<\/a> pour votre DNS. Les probl\u00e8mes associ\u00e9s \u00e0 ce type de nom de for\u00eat sont nombreux, et maintenant que les domaines de premier niveau sont vendus au plus offrant, quelqu\u2019un d\u2019autre pourrait poss\u00e9der votre domaine et d\u00e9tourner votre trafic d\u2019authentification vers ses propres serveurs, accidentellement ou intentionnellement. Le Cloud vous offre la mobilit\u00e9, mais la mobilit\u00e9 augmente le risque que quelqu\u2019un d\u2019autre puisse contr\u00f4ler la passerelle entre vos utilisateurs et vos serveurs. Si vous choisissez de concevoir un nouvel environnement Active Directory, assurez-vous \u00e0 tout prix d\u2019avoir un nom de for\u00eat public et publiquement routable.<\/p>\n Bien qu\u2019il soit per\u00e7u comme un format d\u2019ancienne g\u00e9n\u00e9ration, DOMAIN\\Username continue d\u2019\u00eatre utilis\u00e9 en tant que format d\u2019ouverture de session pour Outlook sur le Web (anciennement OWA; ), les postes de travail et de nombreuses applications h\u00e9rit\u00e9es. Avec l\u2019av\u00e8nement du Cloud, il est temps de d\u00e9laisser le format DOMAIN\\Username. Utilisez les adresses courriel de vos utilisateurs pour les valeurs UPN de ces derniers, et encouragez le format UPN lorsque possible. Les adresses courriel sont d\u00e9j\u00e0 uniques dans le monde, alors elles repr\u00e9sentent un choix s\u00e9curitaire.<\/p>\n Le probl\u00e8me des identit\u00e9s dupliqu\u00e9es peut s\u2019av\u00e9rer difficile \u00e0 r\u00e9soudre, mais cette t\u00e2che est n\u00e9cessaire. Les comptes d\u2019utilisateurs repr\u00e9sentent des co\u00fbts non n\u00e9gligeables dans un sc\u00e9nario SaaS (\u00ab software as a service \u00bb). En effet, pour chaque utilisateur dupliqu\u00e9, vous paierez une dizaine de dollars dans le vide chaque mois. T\u00e2chez donc de r\u00e9gler le probl\u00e8me.<\/p>\n Si vous d\u00e9sirez profiter de la meilleure exp\u00e9rience possible avec le Cloud, documentez les fa\u00e7ons dont vos donn\u00e9es Active Directory doivent \u00eatre utilis\u00e9es. Tenez compte des facteurs suivants :<\/p>\n La gestion des identit\u00e9s a peut-\u00eatre perdu de son lustre, mais elle est plus importante que jamais. Si vous devez ouvrir votre console Utilisateurs et ordinateurs Active Directory <\/em>chaque fois que quelqu\u2019un doit mettre \u00e0 jour son num\u00e9ro de t\u00e9l\u00e9phone ou acc\u00e9der \u00e0 un fichier, vous n\u2019avez pas la bonne approche.<\/p>\n L\u2019automatisation constitue la seule mani\u00e8re de normaliser et de nettoyer l\u2019environnement des identit\u00e9s des utilisateurs. Les suites haut de gamme pour la gestion de l\u2019identit\u00e9 sont parfois co\u00fbteuses, mais certaines options (quasi) gratuites vous sont \u00e9galement offertes.<\/p>\n Une fois que vous avez automatis\u00e9 la majorit\u00e9 de vos demandes d\u2019acc\u00e8s, vous d\u00e9l\u00e9guerez l\u2019acc\u00e8s \u00e0 moins de gens. Moins vous avez d\u2019administrateurs, moins vous aurez de changements non g\u00e9r\u00e9s et, cons\u00e9quemment, plus votre s\u00e9curit\u00e9 sera \u00e9lev\u00e9e. Le r\u00e9sultat? Un environnement mieux nettoy\u00e9.<\/p>\n Les utilisateurs \u00ab naissent \u00bb dans l\u2019univers des donn\u00e9es et portent des identifiants d\u2019employ\u00e9s, des num\u00e9ros de t\u00e9l\u00e9phone, des seconds pr\u00e9noms et des titres. Ils ont acc\u00e8s aux ressources, ils changent de postes et de bureaux\u2026 et, par accident, ils appuient sur le gros bouton rouge qui met le centre de donn\u00e9es en panne. Ils sont alors cong\u00e9di\u00e9s, puis vous devez chercher furieusement le bouton \u00ab supprimer \u00bb pour r\u00e9voquer leur acc\u00e8s avant que les choses n\u2019empirent. Ce sc\u00e9nario, quoique rocambolesque, illustre le cycle de vie des identit\u00e9s.<\/p>\n La cr\u00e9ation d\u2019utilisateurs se produit lorsque la premi\u00e8re ressource de TI est attribu\u00e9e, soit le compte d\u2019utilisateur. Cette \u00e9tape ne devrait jamais se faire manuellement. Le taux moyen de rotation des employ\u00e9s se situe \u00e0 environ 10%,<\/a> et la cr\u00e9ation manuelle demande g\u00e9n\u00e9ralement deux heures par utilisateur. Selon des calculs sommaires, l\u2019ex\u00e9cution de ce travail manuellement n\u00e9cessite l\u2019embauche \u00e0 temps plein d\u2019un administrateur des TI pour chaque tranche de 10 000 employ\u00e9s. Une solution d\u2019identit\u00e9 bien implant\u00e9e \u00e9liminera les co\u00fbts de TI et s\u2019autofinancera.<\/p>\n Pour le Cloud, chaque utilisateur cr\u00e9\u00e9 comporte un co\u00fbt mensuel direct; au sein des grandes compagnies, une telle individualisation facilite la compr\u00e9hension des co\u00fbts associ\u00e9s \u00e0 chaque utilisateur. Les solutions de gestion de l\u2019identit\u00e9 permettent g\u00e9n\u00e9ralement de faire le suivi des demandes, avec l\u2019option d\u2019un mod\u00e8le de r\u00e9trofacturation. Ainsi, les unit\u00e9s de votre entreprise peuvent comptabiliser les co\u00fbts r\u00e9els d\u2019un employ\u00e9, y compris les licences, la gestion des TI, etc.<\/p>\n L\u2019octroi d\u2019acc\u00e8s aux ressources r\u00e9seau et la mise \u00e0 jour des renseignements des utilisateurs sont des t\u00e2ches fastidieuses. D\u00e9l\u00e9guez et automatisez celles-ci autant que possible. En utilisant des solutions en libre-service, c\u2019est aux utilisateurs finaux que revient le travail.<\/p>\n La r\u00e9vocation de l\u2019acc\u00e8s \u00e0 des utilisateurs est essentielle \u00e0 la s\u00e9curit\u00e9 de votre environnement. Ceci vaut particuli\u00e8rement pour les services Cloud, car dans bien des cas, les utilisateurs peuvent acc\u00e9der \u00e0 ces services \u00e0 partir de n\u2019importe o\u00f9. En outre, le nombre d\u2019utilisateurs d\u00e9finit g\u00e9n\u00e9ralement le montant que vous payez.<\/p>\n En ce qui a trait aux mod\u00e8les d\u2019authentification modernes, il importe de savoir que les identit\u00e9s risquent d\u2019\u00eatre utilis\u00e9es apr\u00e8s la suppression des comptes d\u2019utilisateurs<\/a>. Un employ\u00e9 malveillant connect\u00e9 \u00e0 son compte courriel Office 365 sur un t\u00e9l\u00e9phone mobile peut y avoir acc\u00e8s pendant les huit heures suivant la d\u00e9sactivation de son compte dans Active Directory. Il n\u2019est pas possible d\u2019invalider un jeton SAML actif, mais vous pouvez r\u00e9duire la p\u00e9riode d\u2019expiration du jeton SAML en manipulant la dur\u00e9e de vie du jeton web SSO et la dur\u00e9e de vie du jeton de la partie d\u00e9pendante sur le serveur ADFS. Rappelez-vous de le faire avant <\/em>de cong\u00e9dier un employ\u00e9 mal intentionn\u00e9.<\/p>\n Lorsque vous supprimez un utilisateur du Cloud, la plupart du temps, ses donn\u00e9es dispara\u00eetront aussi. Testez vos syst\u00e8mes SaaS, et \u00e9laborez un plan pour conserver les donn\u00e9es d\u2019utilisateurs que vous ne voulez pas perdre dans le vaste univers num\u00e9rique.<\/p>\n Pour Office 365, songez \u00e0 ce que vous devrez faire avec la bo\u00eete de r\u00e9ception de l\u2019utilisateur une fois que son compte est supprim\u00e9 et que vous avez repris possession de la licence. Apr\u00e8s la p\u00e9riode de 30 jours durant laquelle une bo\u00eete de r\u00e9ception supprim\u00e9e est r\u00e9cup\u00e9rable, cette derni\u00e8re dispara\u00eetra, \u00e0 moins d\u2019activer la mise en attente pour litiges <\/a>ou de la convertir en bo\u00eete de r\u00e9ception partag\u00e9e.<\/p>\n Afin d\u2019entrer dans le Cloud \u2013 et de pr\u00e9venir les probl\u00e8mes une fois que vous y \u00eates \u2013 vous devrez g\u00e9rer les utilisateurs tout au long de leur cycle de vie pour vous assurer que vos donn\u00e9es sont bien nettoy\u00e9es et qu\u2019elles le restent.<\/p>\n Dans votre projet de nettoyage de donn\u00e9es Active Directory, les objets p\u00e9rim\u00e9s sont un des \u00e9l\u00e9ments les plus simples et \u00e9vidents \u00e0 prendre en charge. Les outils d\u2019entreprise pour l\u2019analyse de donn\u00e9es et la production de rapports comportent g\u00e9n\u00e9ralement des fonctions int\u00e9gr\u00e9es pour cette t\u00e2che, mais avec PowerShell, vous pourriez assembler une solution qui r\u00e9pond ad\u00e9quatement \u00e0 vos besoins.<\/p>\n Examinez la structure de vos unit\u00e9s d\u2019organisation (OU). Avez-vous plus de trois niveaux? Si oui, il y a probablement des OU dont vous n\u2019avez pas besoin. Suivez le principe KISS : \u00ab Keep it simple, stupid \u00bb. Une nouvelle unit\u00e9 d\u2019organisation est n\u00e9cessaire uniquement lorsque vous voulez faire une des deux choses suivantes :<\/p>\n Si vous avez des OU qui existent pour diff\u00e9rents services ou r\u00e9gions g\u00e9ographiques, il y a de bonnes chances que votre structure soit plus compliqu\u00e9e que n\u00e9cessaire. Plus la structure de vos unit\u00e9s d\u2019organisation est simple, plus il sera facile de comprendre o\u00f9 chaque objet devrait aller.<\/p>\n Si vous ne l\u2019avez pas d\u00e9j\u00e0 fait, vous devriez s\u00e9rieusement examiner vos options en ce qui a trait aux produits de gestion de l\u2019identit\u00e9. Si votre syst\u00e8me de ressources humaines pouvait automatiquement cr\u00e9er et mettre \u00e0 jour un objet d\u2019utilisateur conforme \u00e0 vos normes, vous ne liriez pas cet article. Apr\u00e8s tout, la conformit\u00e9 aux normes constitue la promesse de la gestion de l\u2019identit\u00e9.<\/p>\n J\u2019ai vu quelques-uns de ces produits au fil de ma carri\u00e8re : Dell One Identity Manager, Forefront Identity Manager, NetIQ Identity Manager, Tivoli Identity Manager. Le choix d\u2019un produit r\u00e9pondant \u00e0 vos besoins pr\u00e9cis est un sujet qui d\u00e9passe le propos de ce billet, mais si vous n\u2019avez pas examin\u00e9 les possibilit\u00e9s de ces produits, vous avez int\u00e9r\u00eat \u00e0 le faire.<\/p>\n M\u00eame si vous n\u2019optez pas pour un produit haut de gamme, \u00e9crivez au moins un script PowerShell <\/a>afin que vous utilisateurs soient cr\u00e9\u00e9s d\u2019une mani\u00e8re coh\u00e9rente.<\/p>\nUtilisez un nom de for\u00eat publiquement routable<\/h3>\n
Utilisez une adresse courriel pour ouvrir une session<\/h3>\n
Attribuez \u00e0 chaque utilisateur un seul objet d\u2019utilisateur Active Directory<\/h3>\n
D\u00e9finissez des normes pour vos donn\u00e9es Active Directory<\/h3>\n
\n
Automatisez et supprimez les d\u00e9l\u00e9gations<\/h3>\n
L\u2019identit\u00e9 et le Cloud : le cycle de vie de l\u2019identit\u00e9<\/h2>\n
Cr\u00e9ation d\u2019utilisateurs<\/h3>\n
Op\u00e9rations<\/h3>\n
Suppression des utilisateurs<\/h3>\n
L\u2019identit\u00e9 et le Cloud : nettoyage des donn\u00e9es Active Directory<\/h2>\n
Nettoyage des donn\u00e9es Active Directory<\/h3>\n
Restructuration<\/h3>\n
\n
Gestion de l\u2019identit\u00e9<\/h3>\n