Difference entre Windows AD (AD DS) et Azure AD (AAD) et Azure AD DS(AADDS)

Avec le développement des solutions Cloud, de nouveaux concepts d’identité sont nés et il n’est pas toujours facile de faire la différence entre les termes : AD DS et Azure AD et AADDS

Nous allons clarifier tout ça dans l’article suivant :

Active Directory aka   ( AD DS ou AD )   désigne le service d’annuaire que vous déployez dans votre centre de données et qui est fourni en natif dans toute nouvelle Installation de Windows Server. Quand on le dit comme ça beaucoup de personnes savent à quoi on se réfère puisque  AD est aujourd’hui un standard en matière de gestion d’identités pour plusieurs organisations

 

Azure Active Directory aka (AAD) est l’offre Identity as a Service de Microsoft propose par Microsoft Azure. AAD est donc un service Cloud mutualise de gestion d’identités et d’accès pour les applications essentiellement WEB hébergées et exécutées dans le Cloud Azure qui peut être étendu a votre Centre de données.

Chaque fois que vous souscrivez à un abonnement O365 vous avez droit à une instance de AAD. tous les objets crées dans votre tenant O365 résident dans votre Instance AAD

Vous avez toute la documentation sur cette couche AAD ici : https://docs.microsoft.com/fr-fr/azure/active-directory/

La différence entre AD DS et AAD

Tout d’abord il faut garder à l’esprit que AAD ne remplace pas AD DS

Listons les fonctionnalités de l’un et de l’autre pour en ressortir les différences :

Quand on parle AD DS on pense à :

  • Forêt /Domaine (Root & Child) Active Directory
  • Contrôleurs de domaine (DC : Domain Controller) hébergés chez vous généralement et sur lesquels vous avez Full Control (qu’ils soient physiques ou virtuels).
  • Service d’annuaire qui a une structure hiérarchique basée sur X.500
  • Annuaire pouvant stocker de multiple type d’objet : utilisateurs, ordinateurs, imprimantes, GPOs, Sites AD, Partages…
  • Annuaire pouvant être interrogé à l’aide du protocole LDAP (Lightweight Directory Access Protocol) ou LDAPS
  • Authentification via Kerberos/NTLM
  • Organisation des objets à l’aide d’OU (Organitional Unit)
  • Configuration des postes clients (Ordinateurs) et utilisateurs à l’aide de GPO (Group Policy Object)
  • Relation d’approbation entre deux ou plusieurs forêt

Alors que AAD quant à lui  est :

  • Un service Cloud (: cela veut dire que Microsoft conçoit, déploie et gère toute l’infrastructure (mutualisée) hébergeant Azure AD. Et vous, en tant que client vous consommez et payer ce service de manière mensuelle
  • Authentifie les utilisateurs aux niveaux des applications hébergées dans Azure ou celles hébergées chez vous OnPrem, via l’utilisation du service Azure AD Application Proxy.
  • L’authentification se fait via Internet : Azure AD s’appuie principalement sur une authentification over Internet (HTTP/80 ou HTTPS/433).
  • L’authentification ne se limite pas aux devices connectés sur le réseau Corporate de l’Entreprise mais plutôt to Any Device (vu que la communication avec un Azure AD se fait à l’aide des protocoles HTTP ou HTTPS, il suffit d’avoir un device connecté à Internet pour pouvoir communiquer avec un Azure AD.
  • Azure AD s’appuie quant à lui sur des protocoles dis « Modern Authentication Protocol » tels que OpenID Conncet /Oauth2 /SAML /WS-FEDERATION (et none Kerberos & NTLM ).
  • Contrairement à un Active Directory, Azure AD peut être interrogé via une interface REST API, appelée AD Graph API
  • Azure AD étant un service Cloud (IDentity-as-a-Service), vous n’avez pas la main sur l’infrastructure hébergeant cette solution IAM, il n’y pas de gestion de GPO possible, la création d’une structure d’OU n’est pas non plus disponible car il s’agit d’une structure Plate (Flat).
  • Azure AD stocke et gère uniquement les objets « Users » et « Groups » : pas de GPO, pas de partage réseau, pas de sites AD…etc
  • La manière dont les objets AD classiques (users, computers, partages, groupes….) sont stockés et gérés est complètement différente entre un AD et Azure AD

Azure AD DS  ou AADDS c’est quoi ?

Azure AD DS c’est votre AD DS géré et déployé par Microsoft dans Azure avec les mêmes caractéristiques listées plus haut pour AD DS mais avec les limitations suivantes :

  • Contrairement à un AD, Azure ADDS ne vous permet pas d’établir/créer de relations d’approbation entre plusieurs instances Azure ADDS.
  • Vous n’avez plus la main sur les comptes « Admins Entreprises » et « Admins du Schéma »
  • Et enfin, l’extension du schéma AD n’est pas possible sur un domaine (Managé) Azure ADDS.

L’une des questions qui revient souvent beaucoup posent souvent la question du scenario d’utilisation de AADDS. Si vous avez des contraintes de sécurité relatives à la réplication de votre AD local vers Azure (vers des DCs hébergés sous forme de VMs Azure), l’offre Azure ADDS peut être une solution à adopter pour créer rapidement une nouvelle forêt dédiée pour Azure, pour authentifier (via Kerberos/NTLM) vos utilisateurs/machines Windows hébergés dans Azure.