À quoi fait référence Azure AD Connect ?
Élément | Description |
Fonction principale | Synchronisation des identités (utilisateurs, groupes, contacts) entre Active Directory local et Azure AD |
Cas d’usage | Authentification hybride, gestion des identités cloud, SSO, synchronisation des mots de passe |
Outils remplacés | DirSync, Azure AD Sync, Forefront Identity Manager |
Scénarios supportés | Forêt unique/multiple, topologies multi-locataires, synchronisation personnalisée |
Principaux composants | Service de synchronisation, règles de synchronisation, connecteurs AD/Azure, SQL LocalDB |
Intégrations | Microsoft 365, Azure, services cloud Microsoft |
Surveillance | Azure AD Connect Health |
Prérequis techniques et compétences
Type | Prérequis |
Système | Windows Server 2016 ou ultérieur (idéalement 2022), joint à un domaine |
Réseau | Résolution DNS correcte, ports ouverts vers Azure, certificats TLS/SSL pour AD FS si utilisé |
Comptes | Compte AD avec droits d’admin, compte Azure avec droits admin général ou hybride |
Compétences | Administration Windows Server, Active Directory, notions de PowerShell, concepts cloud Azure |
Autres | Interface graphique requise (pas de support pour Server Core) |
Niveau de difficulté d’implémentation
Scénario | Difficulté | Éléments à maîtriser / Points de vigilance |
Installation Express (forêt unique) | ★★☆☆☆ | Simple, peu de choix à faire, peu de personnalisation |
Installation personnalisée | ★★★☆☆ | Filtrage, règles custom, choix des attributs synchronisés |
Multi-forêts / multi-locataires | ★★★★☆ | Planification avancée, topologie, gestion des conflits |
Synchronisation avancée (règles) | ★★★★☆ | Création de règles personnalisées, gestion des attributs |
Intégration AD FS (fédération) | ★★★★☆ | Certificats, configuration AD FS, sécurité, SSO |
Evénements du journal d’activité Azure, qui fournit des informations sur les actions et incidents au niveau de l’abonnement dans Azure. Ce journal permet de suivre toutes les opérations importantes, les alertes, les incidents de santé, les recommandations, etc., afin de surveiller et d’auditer l’activité de l’environnement Azure.
Points clés :
Catégories d’événements :
Administrative : Actions de gestion (création, modification, suppression de ressources via Azure Resource Manager).
Service Health : Incidents d’intégrité des services Azure (pannes, maintenances, etc.).
Resource Health : État de santé des ressources individuelles (disponible, indisponible, dégradé, etc.).
Alert : Déclenchements d’alertes Azure.
Autoscale : Événements liés à la mise à l’échelle automatique.
Recommendation : Conseils d’Azure Advisor.
Security : Alertes de sécurité générées par Microsoft Defender for Cloud.
Policy : Actions effectuées par Azure Policy.
Niveau de gravité : Chaque événement a un niveau (Essentiel, Erreur, Avertissement, Information) qui permet de prioriser les actions à mener.
Schéma JSON : Chaque événement est structuré selon un schéma précis, comprenant des propriétés comme l’identifiant de ressource, l’utilisateur à l’origine de l’action, l’opération réalisée, le statut, les timestamps, etc.
Utilisation : Le schéma peut varier selon la méthode d’accès (API REST, Portail Azure, stockage, Event Hubs, Log Analytics).
Exemple de mise en pratique
Cas d’usage : Détection automatique d’une modification non autorisée sur un groupe de sécurité réseau (NSG)
Contexte :
Tu veux illustrer comment utiliser le journal d’activité pour détecter et réagir à une modification inattendue d’un NSG (Network Security Group), ce qui est critique pour la sécurité de ton infrastructure.
Étapes pratiques :
Surveillance du journal d’activité
Configure une requête (par exemple via Azure Monitor ou Log Analytics) pour surveiller les événements de type Administrative où l’opération est Microsoft.Network/networkSecurityGroups/write.
Déclenchement d’une alerte
Crée une règle d’alerte qui se déclenche dès qu’un tel événement est détecté, surtout si l’auteur de la modification n’est pas un administrateur connu.
Exemple d’événement JSON
Voici un extrait simplifié d’un événement que tu pourrais recevoir :
- {
« authorization »: {
« action »: « Microsoft.Network/networkSecurityGroups/write »,
« scope »: « /subscriptions/xxxx/resourcegroups/monGroupe/providers/Microsoft.Network/networkSecurityGroups/monNSG »
},
« caller »: « utilisateur_inconnu@entreprise.com »,
« eventTimestamp »: « 2025-04-29T08:00:00Z »,
« level »: « Informational »,
« operationName »: {
« value »: « Microsoft.Network/networkSecurityGroups/write »
},
« resourceId »: « /subscriptions/xxxx/resourcegroups/monGroupe/providers/Microsoft.Network/networkSecurityGroups/monNSG »,
« status »: {
« value »: « Succeeded »
}
}
Illustration concrète
Détection : L’alerte se déclenche.
Action : Un administrateur reçoit une notification (email, SMS, webhook, etc.).
Audit : L’équipe de sécurité analyse l’événement, vérifie si la modification était prévue, et restaure la configuration si besoin.
Illustration visuelle possible :
Un schéma montrant le flux :
Utilisateur effectue une modification sur le NSG
Azure Monitor capture l’événement
Déclenchement de l’alerte
Notification à l’administrateur
Action corrective
Résumé illustré :
Le journal d’activité Azure, grâce à sa structure détaillée et ses catégories, permet de surveiller en temps réel les modifications critiques sur l’infrastructure, de détecter les incidents ou actions non autorisées, et d’automatiser la réponse via des alertes et des workflows de remédiation.
