Choisir l’authentifications dans Office 365

Choisir un mode d’authentification dans office n’est pas toujours une mince. Beaucoup de personnes se demande comment bien choisir le niveau d’authentification a implémenter avec Office 365. Cette question mérite d’être posée car il peut vite être contraignant de devoir en changer une fois Office 365 déployé.

Les modes d’authentification dans Office 365

Il existe dans Office 365 deux modes d’authentification :

  • Identité Microsoft Online : La connexion se fait avec votre identifiant Cloud Microsoft. L’authentification s’effectue dans le Cloud sur une base de compte Microsoft. Vos utilisateurs disposent ainsi de deux identifiants, un pour les services de l’entreprise et un pour les services Cloud Microsoft Office 365. Un nom d’utilisateur (email de l’utilisateur) et son mot de passe est demandé à chaque connexion aux services Office 365. La gestion de la stratégie de mot de passe peut être différente dans l’entreprise et dans le Cloud et elle est gérée à deux emplacements. Il en est pour la réinitialisation de mot de passe. Cette solution est surtout adapté aux environnement disposant d’un nombre limité d’utilisateurs (jusqu’à quelques centaines). Il n’est pas impératif d’installer de serveurs spécifiques dans l’entreprise.
  • Fédération d’identités : La Connexion se fait avec l’identifiant d’entreprise de l’utilisateur. L’authentification s’effectue dans l’entreprise sur la base de compte Active Directory local. Vos utilisateurs utilisent leur nom d’utilisateur ainsi que leur mot de passe d’entreprise pour accéder aux services de l’entreprise et à ceux du Cloud Microsoft Office 365. Les utilisateurs disposent d’une authentification unique de type SSO (Single Sign On). La gestion de la stratégie de mot de passe se fait uniquement en entreprise. Il est va de même pour la réinitialisation de mot de passe. Pour utiliser la fédération de l’identité avec Office 365 l’entreprise devra installer un ou plusieurs serveurs dans son entreprise. Cette solution est surtout adaptée aux environnements disposant d’un nombre important d’utilisateurs (plusieurs milliers).

Le tableau suivant est une aide au choix du mode d’authentification dans Office 365

Cible

Avantages

Inconvénients

Identifiant MS Online

Petites entreprises sans Active Directory

Pas de serveurs requis en entreprise

  • Pas de SSO
  • 2 jeux d’identifiants à gérer avec des stratégies de mot de passe différentes
  • Identifiants gérés dans le cloud

Identifiant MS Online et DirSync

Moyennes/Grandes entreprises avec Active Directory

  • Utilisateurs et groupes gérés en entreprise
  • Permet des scénarios de coexistence
  • Pas de SSO
  • 2 jeux d’identifiants à gérer avec des stratégies de mot de passe différentes
  • Un serveur requis en entreprise

Fédération d’Identités + DirSync

Grandes entreprises avec Active Directory
  • SSO avec identifiant entreprise
  • Identités gérées en entreprise
  • Stratégie de mot de passe gérée en entreprise
  • Permet des scénarios de coexistence
  • Déploiements de serveurs en Haute disponibilité requis
  • Compétences supplémentaires nécessaires dans l’entreprise
  • Administration et supervision de nouveaux services

ADFS : Authentification sur Office 365

L’authentification sur Office 365 avec ADFS (Active Directory Federation Service) nécessite le déploiement de serveurs supplémentaires dans l’entreprise. Leur nombre va dépendre du niveau de haute disponibilité et de la charge qui devra être supporté pour authentifier les utilisateurs de votre entreprise qui se connecteront aux services Cloud Microsoft Office 365. Nous pouvons établir 3 choix d’implémentation du service ADFS en entreprise :

  1. Utilisation des contrôleurs de domaine Active Directory actuel pour le rôle Serveur AD FS 2.0 si un accès depuis l’internet n’est pas requis. Si un accès depuis l’extérieur est requis, il est recommandé d’utilisé un serveur proxy. Les serveurs doivent utiliser le système d’exploitation Windows Server 2008 ou Windows Server 2008 R2 au minimum. Il est recommandé d’utiliser au minimum 2 serveurs en load-balancing, car si un serveur n’est plus disponible, les utilisateurs ne pourront pas accéder à Office 365.
  2. Utilisation de 2 serveurs dédiés pour héberger le service AD FS 2.0. Si les utilisateurs se connectent à distance aux services Office 365, c’est à dire par l’internet , vous devrez installer un serveur AD FS supplémentaire votre DMZ qui fera office de serveur proxy d’authentification.
  3. Enfin en fonction de la charge, du nombre d’utilisateur il peut être nécessaire de déployer un nombre plus important de serveur ADFS ou proxy ADFS. Le service ADFS utilisant une base de données Microsoft SQL serveur, vous devriez utiliser ce service en haute disponibilité (clustering) afin d’éviter que le service d’authentification ne soit plus disponible.

ADFS simplifie l’usage des services Office 365 pour les utilisateurs de l’entreprise à l’aide du SSO. Cependant il ne faudrait pas que cette fonctionnalité devienne votre talon d’Achilles. Il faut que la redondance soit globale. En effet si par exemple vous redondez uniquement l’ensemble de vos serveurs pas votre réseau (connectivité internet, switch, etc) vous pourriez en cas de défaillance du réseau ne peut utiliser les services Office 365 et ceux aussi bien pour les utilisateurs interne que les utilisateurs externes… Seul l’authentification ne fonctionnerait plus alors que tous les services seraient opérationnel avec une authentification Microsoft Online. Il est important de bien poser le pour et le contre surtout lorsque la taille de votre entreprise (quelques centaines d’utilisateur, voir plus) et votre infrastructure informatique vous pousserait à utiliser les services ADFS.

  • DirSync: synchronisation d’annuaire Office365
  • DirSync permet une coexistence applicative et d’identité. Les identités sont gérées sur le site (on-premise) c’est à dire au sein de l’entreprise. Dirsync permet de synchroniser les utilisateurs, groupes et contacts. C’est un utilitaire qui permet une fédération d’identité simple et une coexistence applicative avec Active Directory, Exchange et Lync et votre abonnement Office 365. Exchange On-premise ou Lync coexistent avec leurs équivalents coté OnLine dans Office 365 (routage, annuaires, …). DirSync inclus des fonctionnalités de « write-back » c’est à dire qu’il est capable de répliquer des valeurs d’attributs présents dans Office 365 vers votre service d’annaire Active Directory hébergé sur le réseau de l’entreprise.
  • La version de Dirsync de BPOS V1 se contentait de faire une synchro d’objets simples. La version 2 de DirSync a été fortement améliorée et permet désormais :
  • Une coexistence d’identités – les identités sont gérée on-premises
  • De gérer les salles de conférence, boites aux lettres de ressources
  • De supporter la fédération des identités
  • De synchroniser les groupes de sécurité
  • De synchroniser des informations supplémentaires comme par exemple les photos
  • D’assurer une coexistence des Free/Busy (avec un serveur CAS Exchange Server 2010 CAS SP1 on premise)
  • De supporter les fonctions Rich Coexistence avec Exchange Server 2010 (Archives Cloud, Filtrages, Délégations)

Type de société

Petite sociétés

Petite et moyenne sociétés

Grands comptes

Usage

  • Création des utilisateurs
  • Tous le monde est activé en même temps
    Pas d’historique des l’ancien système

Création des utilisateurs en masse (Office 365 APIs)

  • Coexistence long-terme
  • L’administrateur installe DirSync. DirSync provisionne dans Office 365 tous les utilisateurs, les groupes et contacts.

Avantages

  • Facile à déployer
  • simple pour les petites organisations

Facilité pour créer beaucoup d’utilisateurs

  • Les objets sont créés coté on-premise
    Permet de gérer la coexistence entre les annuaire et les Free/Busy

Inconvénients

Perte de l’ancien contenu

  • Satisfaction utilisateurs à cause de la perte des données
  • Pas de coexistence

Nécessite un serveur on-premise sur le long terme

Avant de déployer DirSync, posez vous les bonnes questions

  • Comptez-vous activer la fédération d’identité avec ADFS ? En effet si vous prévoyez d’utiliser la fédération d’identité (SSO) au moyen d’ Active Directory Federation Services (ADFS), il est recommandé de le faire avant l’installation de DirSync
  • Avez-vous enregistré vos domaines dans Office 365 ?
  • Est-ce que l’Active Directory est « propre » ? (exemple: objets dupliqués, mal renseignés, etc.) ? Vous éviterez ainsi les avertissements ou erreurs lors de la synchronisation.
  • Il existe 2 usages de déploiement de DirSync :
  1. Coexistence simple :
    • DirSync synchronise les identités
    • Pas de serveur Exchange Server 2010 Client Access on premise
  2. Coexistence riche :
    • DirSync synchronise les identités
    • Installation d’un serveur Exchange Server 2010 Client Access on premise
    • Activation des fonctionnalités de coexistence riche
  • Le coexistence riche et le scénario pour usage sur le long terme. Ce mode vous permet d’utiliser les Free/Busy et partage de calendriers entre utilisateurs on premise (sur site) et online. Vous pourrez également effectuer une migration simple des boites aux lettres dans les deux sens gérée à partir du serveur Exchange 2010 local. Vous pouvez utiliser les fonctionnalités avancées d’Office 365 comme l’archive online ou le filtrage anti-spam. Pour cet usage vous devez posséder dans votre Organisation Exchange locale d’un serveur Exchange Server 2010 server SP1 (extension de schéma, URL…), même si ce serveur Exchange Server 2010 n’héberge pas les boites aux lettres de vos utilisateurs. En fait il faut uniquement le rôle CAS pour ce mode déploiement hybride. C’est ce scénario qui est souvent choisi lors d’une migration dès que votre nombre d’utilisateurs Exchange en local est important car il permet un déplacement progressif de vos boites aux lettres vers Office 365. Vous pouvez organiser votre pilote, préparer vos lots de migration. La migration des boites revient a effectuer un déplacement de boite aux lettres (move mailbox).
  • Synchroniser Active Directory et Office 365
  • Lorsque vous déployez DirSync vous pouvez synchroniser les objets présents dans votre service d’annuaire Active Directory local et Office 365. Plusieurs type de réplication sont possibles. La synchronisation Full ou la synchronisation Delta Syncs, mais quelles sont les différences et quand devons nous utiliser l’une ou l’autre ?
    Après l’installation Microsoft Online DirSync va synchroniser la forêt dans son intégralité (une seule forêt dans les versions initiales). Il synchronisera tous les utilisateurs, les groupes de distribution (mail-enable) , les groupes de sécurité, et les contacts. Attention la première synchronisation peut prendre du temps en fonction du nombre d’objets à synchroniser. Ensuite après la synchronisation Full, les synchronisations suivantes seront un delta des modification. Cette synchronisation s’effectue par défaut, toutes les trois heures. Elle synchronisera tous les changements effectués dans votre Active Direcory local vers Microsoft Online Office 365, comme par exemple la création de nouveaux utilisateurs ou groupe, ou alors la modification d’attributs sur vos utilisateurs. Par moment vous pouvez souhaiter forcer une réplication pour un objet nouvellement créé. Il est possible de forcer la synchronisation de DyrSync au moyen de PowerShell avec la cmdlet MSO Directory SyncConfigShell.ps1 qui se trouve dans le répertoire d’installation Microsoft Online Directory Sync. Il vous suffira de saisir la la commande suivante : Start-OnlineCoexistenceSync
  • DirSync est en fait une version spécifique de ILM, Identity Lifecycle Manager 2007. Cette version a été remodelé pour permettre la synchronisation entre les Active Directory locaux des clients Microsoft et Office 365. DirSync utilise par défaut un moteur de base de données SQL Server Express. Cependant si votre service d’annuaire dispose d’un nombre important d’objets (environ 50000 objets à synchroniser) vous devrez utiliser un moteur SQL complet (Microsoft SQL Server 2005/2008 minimum). Bien entendu vous pouvez dédier une base de données SQL pour le service de synchronisation DirSync même si vous vous disposez de moins d’objets à synchroniser essentiellement pour disposer de haute disponibilité avec des serveurs SQL en cluster.
DOPIERALA Ludovik

Après avoir créé ma société C2POINTS, spécialisée dans les infrastructures Microsoft et Citrix, j’ai rejoint en 2007 le Permis Informatique en tant que Directeur Technique grand compte. En 2017 le groupe a pris une nouvelle dimension. CTO au sein du Groupe Artemys je participe à la stratégie cloud.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *