Je constate que beaucoup d’informaticiens confondent encore Active Directory et Microsoft Entra ID. C’est normal, Microsoft n’a pas facilité les choses avec le changement de nom d’ Azure AD ! Faisons le point ensemble.
Active Directory, le service d’annuaire historique.
Active Directory, c’est le service d’annuaire que vous connaissez depuis des années. Celui qui tourne sur vos contrôleurs de domaine Windows Server, dans votre datacenter ou votre salle serveur.
Son rôle
Gérer tout ce qui se passe dans votre réseau local : vos utilisateurs, vos ordinateurs joints au domaine, vos stratégies de groupe (GPO), vos partages de fichiers. C’est le pilier de votre infrastructure Windows classique.
En pratique
Quand un collaborateur allume son PC le matin et se connecte au domaine « ENTREPRISE », c’est Active Directory qui vérifie son mot de passe via Kerberos. Quand il accède au lecteur réseau H:, c’est encore AD qui gère les permissions NTFS.
Microsoft Entra ID, la solution cloud.
Microsoft Entra ID (anciennement Azure AD), c’est une approche différente. Pas de serveur à installer, pas de contrôleur de domaine à maintenir. C’est un service cloud géré par Microsoft.
Son domaine d’intervention
Tout ce qui touche à Microsoft 365 et aux applications cloud. Quand vos utilisateurs se connectent à Teams, Outlook sur le web, SharePoint Online ou même Salesforce, c’est Entra ID qui s’en occupe.
La différence d’approche
Là où AD raisonne en domaines et forêts, Entra ID parle de tenant et d’annuaire unique. C’est une structure plus simple, mais différente dans sa logique.
Les différences au quotidien.
L’hébergement.
AD vit dans votre infrastructure, Entra ID est hébergé chez Microsoft. Cette distinction change la maintenance, la disponibilité et la gestion de la sécurité.
Les protocoles d’authentification.
AD utilise des protocoles éprouvés (LDAP, Kerberos), tandis qu’Entra ID utilise les standards web actuels (OAuth, SAML, OpenID Connect). Conséquence : AD s’intègre naturellement aux applications Windows traditionnelles, Entra ID dialogue avec les applications web et mobiles.
Les fonctionnalités de sécurité.
Avec Entra ID, vous disposez nativement de l’authentification multifacteur, de l’accès conditionnel (qui bloque une connexion inhabituelle) ou de la détection des risques liés aux identités. Sur AD classique, ces fonctionnalités nécessitent des composants additionnels.
Ce qu’Entra ID ne fait pas.
Si vous vous comprenez les limites d’Entra ID vous vous éviterez des mauvaises surprises avant d’entreprendre une migration. Entra ID ne remplacera jamais Active Directory pour :
- Les stratégies de groupe (GPO) classiques : vous ne pourrez pas déployer vos GPO traditionnelles via Entra ID. Il faudra vous tourner vers Intune pour la gestion moderne des appareils.
- La gestion des services réseau : DHCP, DNS interne, serveurs d’impression… tout cela reste du domaine d’Active Directory.
- L’authentification des applications legacy : certaines applications métier qui utilisent LDAP ou Kerberos ne pourront pas s’authentifier directement auprès d’Entra ID.
- La jonction de domaine classique : un PC « joint à Entra ID » n’est pas la même chose qu’un PC « joint au domaine AD ». Les fonctionnalités diffèrent.
Entra ID n’est pas une version cloud d’Active Directory, c’est un service d’identité pensé différemment.
Le scénario hybride dans les organisations.
Dans la réalité, la plupart des entreprises ne sont plus 100% on-premise. Vous avez probablement encore des serveurs de fichiers locaux, tout en utilisant Microsoft 365.
Entra Connect, le pont entre les deux mondes
Cet outil (anciennement Azure AD Connect) synchronise vos comptes AD vers Entra ID. Vos utilisateurs conservent ainsi le même identifiant et mot de passe pour toutes leurs ressources.
Les méthodes de synchronisation.
Quand vous mettez en place Entra Connect, vous devez choisir comment gérer l’authentification. C’est une décision importante qui impacte la sécurité et l’expérience utilisateur.
Password Hash Sync (PHS) : la méthode la plus courante
Entra Connect synchronise un hachage du mot de passe de l’utilisateur vers le cloud. Quand l’utilisateur se connecte à Microsoft 365, l’authentification se fait directement dans le cloud. C’est simple, fiable, et ça fonctionne même si votre infrastructure locale est indisponible.
Pass-through Authentication (PTA) : l’authentification locale
Le mot de passe n’est jamais envoyé dans le cloud. Quand un utilisateur se connecte à Microsoft 365, Entra ID renvoie la demande vers votre Active Directory local via un agent. L’authentification reste sur site, ce qui rassure certaines organisations.
Fédération (ADFS) : pour les besoins avancés
Cette méthode utilise Active Directory Federation Services. Elle offre plus de contrôle et permet des scénarios complexes (authentification par carte à puce, MFA on-premise). Mais elle demande aussi plus d’infrastructure et de maintenance.
Mon conseil
Je recommande généralement PHS avec l’accès conditionnel d’Entra ID. C’est le meilleur compromis entre simplicité, sécurité et résilience. Réservez PTA ou ADFS aux cas où vous avez des contraintes réglementaires spécifiques.
À retenir
Synchroniser ne signifie pas que les deux annuaires ont les mêmes fonctions. AD reste responsable de la gestion locale, Entra ID gère l’accès au cloud. Les deux se complètent sans se remplacer.
Quelle approche adopter ?
Pour une nouvelle entreprise 100% cloud
Entra ID peut suffire. Vous évitez ainsi la gestion de serveurs Active Directory. Prévoyez simplement Intune pour la gestion de vos appareils et vérifiez que vos applications sont compatibles avec l’authentification moderne.
Avec une infrastructure existante
Si vous avez des applications métier qui nécessitent AD, conservez-le. Connectez-le simplement à Entra ID pour accéder à Microsoft 365. C’est le scénario de 80% des entreprises que j’accompagne.
En phase de transformation
Le modèle hybride reste la solution la plus adaptée. Il permet une migration progressive vers le cloud, sans rupture dans les services.
Pour conclure.
Maîtriser ces deux environnements constitue aujourd’hui un véritable atout. Que vous évoluiez dans un environnement 100 % cloud ou que vous administriez une infrastructure hybride, comprendre les forces et les limites de chaque solution vous permettra d’effectuer les bons choix techniques.
N’hésitez pas à partager vos questions ou vos retours d’expérience en commentaire. C’est toujours enrichissant d’échanger sur ces sujets !
