Décision de conception : considérations relatives à la migration utilisateur

La plupart des utilisateurs finaux se connectent depuis l’extérieur du cloud Azure lorsqu’ils accèdent aux ressources du cloud à l’aide de leurs propres appareils ou des appareils de votre entreprise. Les caractéristiques de l’utilisateur et de l’appareil influencent grandement la conception et l’architecture de l’environnement cloud ainsi que les chemins de migration recommandés. La façon dont vous gérez votre environnement aujourd’hui impose certaines exigences si ce système de gestion passe à Azure.

Les utilisateurs sont gérés principalement par le biais des services d’annuaire. Si vous utilisez un déploiement d’utilisateurs uniquement dans le cloud, vous devez commencer par créer un tenant Azure AD. Vous liez ensuite ce locataire à Azure AD et vous créez les utilisateurs et les groupes directement dans Azure AD. Si vous avez déjà un déploiement, vous pouvez utiliser Azure AD Connect pour synchroniser automatiquement vos utilisateurs et groupes AD avec Azure AD.

En général, l’installation et la configuration d’Azure AD Connect pour la synchronisation avec Azure AD sont un processus fastidieux. Le temps passé à configurer Azure AD Connect en vaut la peine, car les utilisateurs peuvent accéder plus facilement aux ressources. La mise en œuvre d’Azure AD est recommandée en tant que meilleure stratégie cloud à long terme pour l’authentification.

Voici les questions auxquelles vous devez répondre concernant la gestion des utilisateurs :

De quel fournisseur d’identité ai-je besoin pour Citrix Cloud ?

  • Citrix Cloud prend en charge les fournisseurs d’identité suivants en mode natif :
    • Répertoire Active Directory local
    • Azure Active Directory
    • Fournisseur d’identité Citrix
    • Plus de 20 fournisseurs tiers fédérés tels que Okta ou Ping
  • Sélectionnez le fournisseur d’identité qui convient le mieux à votre déploiement Citrix Cloud. N’oubliez pas de prendre en compte toutes les applications existantes et leurs exigences pour intégrer les services cloud

  • Déterminez si l’utilisation d’une fédération établie avec un déploiement sur site est une exigence pour les identités des utilisateurs. Parmi les fédérations potentielles, citons l’authentification unique basée sur Kerberos, SAML ou MFA avec des cartes à puce ou des jetons matériels tels que RSA SecurID.

Comment déplacer mes utilisateurs et groupes AD locaux vers Azure AD ?

  • Consultez la documentation Microsoft disponible pour déterminer la conception qui répond le mieux aux besoins de votre entreprise

  • Vérifiez que le modèle de licence de votre Azure AD prend en charge les fonctionnalités et le nombre d’utilisateurs de votre environnement.

  • Microsoft recommande d’installer un contrôleur de domaine dans Azure afin de le synchroniser avec vos contrôleurs de domaine locaux via Azure ExpressRoute ou un VPN. Le fait d’avoir un contrôleur de domaine dans Azure améliore les performances de synchronisation Azure AD Connect.

  • Installez et configurez Azure AD Connect et autorisez-le à synchroniser vos utilisateurs et membres de groupes avec Azure AD

  • Un seul serveur Azure AD Connect est limité à une seule forêt pour la synchronisation. L’utilisation d’Azure AD Connect est plus compliquée lorsque plusieurs domaines AD au sein de la même forêt sont impliqués dans le processus de synchronisation.

  • En fonction de l’identité hybride requise, différentes options peuvent être activées :
    • Synchronisation par hachage de mot de passe (PHS)
    • Authentification pass-through (PTA)
    • Authentification multifacteur (basée sur le cloud uniquement)
    • Authentification unique avec Federated Services (cartes à puce, notifications d’expiration de mot de passe, MFA sur site)
  • Si tous les utilisateurs ne doivent pas être synchronisés avec Azure AD, Azure AD Connect prend en charge le filtrage au niveau du domaine, de l’unité organisationnelle, de l’attribut ou du groupe.

  • Filtrez la portée AD pour inclure uniquement les objets qui doivent se trouver dans Azure AD

  • L’importation de grands répertoires prend un temps considérable. Actuellement, Azure AD limite les opérations d’écriture à 84 000 par heure. Vous devez donc prévoir suffisamment de temps pour qu’une synchronisation complète se produise.

  • Surveillez et configurez les alertes à l’aide du portail Azure AD Connect Health dans Azure

Liens vers d’autres ressources

Considérations sur la conception d’identité hybride Azure Active Directory

Synchronisation Azure AD Connect : comprendre et personnaliser la synchronisation

Connecter Azure Active Directory à Citrix Cloud

Qu’est-ce que l’identité hybride avec Azure Active Directory ?

Décision de conception : considérations relatives à la migration utilisateur