C'est quoi Entra ID ?
De Azure Active Directory à Entra ID
Pendant des années, le service d'identité cloud de Microsoft s'appelait Azure Active Directory (Azure AD). En juillet 2023, Microsoft l'a renommé Microsoft Entra ID. Ce changement fait partie d'une refonte plus large de la famille Entra, qui regroupe désormais tous les produits de sécurité des identités et des accès de Microsoft.
Ce n'est pas qu'un simple changement de nom : il reflète l'évolution du produit vers une plateforme d'identité unifiée qui couvre bien au-delà des seuls utilisateurs Azure. Sous le capot, le service est exactement le même — les API, les connecteurs, les fonctionnalités n'ont pas changé du jour au lendemain. Mais la terminologie, elle, évolue. Dans la documentation récente, dans les certifications Microsoft (AZ-900, SC-900, AZ-104…) et dans les offres commerciales, c'est le nom Entra ID qui fait référence.
Si tu lis de la documentation ou des forums avec la mention Azure AD ou AAD, ne sois pas surpris : ce sont des références à l'ancienne appellation du même service. Les deux termes désignent la même chose.
Active Directory on-prem vs Entra ID cloud
Beaucoup de gens confondent Active Directory (AD) et Entra ID. Ce sont deux produits différents, conçus pour des contextes différents.
| Critère | Active Directory (on-prem) | Entra ID (cloud) |
|---|---|---|
| Hébergement | Serveur Windows dans ton datacenter | Service cloud Microsoft (SaaS) |
| Protocoles | Kerberos, LDAP, NTLM | OAuth 2.0, OpenID Connect, SAML |
| Structure | Domaines, forêts, unités d'organisation (OU) | Tenants, groupes, rôles |
| Gestion des postes | Group Policy (GPO) | Intune (MDM/MAM) |
| Accès aux apps | Apps internes au réseau | Apps cloud et SaaS (M365, Salesforce…) |
| Maintenance | Tu gères les serveurs, les sauvegardes, les mises à jour | Microsoft gère tout l'infrastructure |
Dans de nombreuses organisations, les deux coexistent. Microsoft Entra Connect (ex-Azure AD Connect) est l'outil qui synchronise les utilisateurs et groupes de l'AD on-prem vers Entra ID, permettant un modèle hybride.
Entra ID n'est pas un Active Directory dans le cloud. Tu ne peux pas le joindre en tant que contrôleur de domaine via Kerberos ou piloter des GPO dessus. Pour ça, Microsoft propose Entra Domain Services (ex-Azure AD DS), un service séparé qui émule un AD classique dans le cloud.
Les rôles d'Entra ID
Entra ID est bien plus qu'un simple annuaire d'utilisateurs. C'est une plateforme d'identité complète qui remplit plusieurs fonctions essentielles dans une organisation moderne.
Authentification et Single Sign-On (SSO)
Entra ID est le fournisseur d'identité central (IdP) pour tout l'écosystème Microsoft et des milliers d'applications tierces. Une fois connecté, l'utilisateur accède à Microsoft 365, Azure, Salesforce, GitHub Enterprise, Slack et n'importe quelle app compatible SAML ou OIDC — sans ressaisir son mot de passe. C'est le principe du Single Sign-On.
Autorisation et contrôle d'accès
Entra ID attribue des rôles aux utilisateurs et aux groupes, qui définissent ce à quoi ils ont accès. Dans Azure, ce système s'appelle le RBAC (Role-Based Access Control). Un utilisateur peut être "Lecteur" sur un abonnement Azure, "Administrateur" d'une application spécifique, ou "Contributeur" sur un groupe de ressources.
Authentification multifacteur (MFA)
Entra ID intègre nativement le MFA : SMS, application Microsoft Authenticator, clé FIDO2, Windows Hello… Le MFA peut être imposé systématiquement ou déclenché de façon conditionnelle via les stratégies d'accès conditionnel (ex : exiger le MFA si la connexion vient d'un pays inhabituel ou d'un appareil non géré).
Gestion des appareils
Les appareils peuvent être enregistrés ou joints à Entra ID (Entra joined ou Entra registered). Couplé à Microsoft Intune, Entra ID permet de gérer les politiques de conformité des appareils (chiffrement, antivirus, mises à jour) et de conditionner l'accès aux ressources à leur conformité.
Le tenant Entra ID
Quand une organisation s'inscrit à un service Microsoft cloud (Microsoft 365, Azure…), Microsoft crée automatiquement un tenant Entra ID. C'est l'instance dédiée et isolée du service pour cette organisation.
Un tenant est identifié par un identifiant unique (Tenant ID) sous forme de GUID,
et par un ou plusieurs noms de domaine. Par défaut, Microsoft attribue un domaine
en *.onmicrosoft.com (ex : contoso.onmicrosoft.com), mais les organisations
y associent généralement leur propre domaine vérifié (ex : contoso.com).
Un seul tenant Entra ID peut être lié à plusieurs abonnements Azure et à un seul tenant Microsoft 365. C'est l'annuaire commun qui gère les identités pour tous ces services. Changer le tenant d'un abonnement Azure est possible mais délicat — c'est une opération rare et à planifier soigneusement.
Les licences Entra ID
Entra ID existe en plusieurs niveaux de licence. Chaque niveau débloque des fonctionnalités supplémentaires.
| Licence | Incluse dans | Fonctionnalités clés |
|---|---|---|
| Entra ID Free | Tout abonnement Azure ou Microsoft 365 | Utilisateurs, groupes, SSO (jusqu'à 10 apps), MFA de base, connexion à Office 365 |
| Entra ID P1 | Microsoft 365 Business Premium, EMS E3, M365 E3 | Accès conditionnel, groupes dynamiques, Entra Connect (hybride), réinitialisation de mot de passe en libre-service (SSPR), Entra ID Protection basique |
| Entra ID P2 | EMS E5, Microsoft 365 E5 | Tout P1 + Identity Protection avancée, Privileged Identity Management (PIM), révisions d'accès (Access Reviews) |
Pour les environnements de lab ou les petites structures, la licence Free couvre la grande majorité des besoins. La licence P1 est incontournable dès qu'on veut implémenter un accès conditionnel sérieux. La licence P2 ajoute les outils de gouvernance des identités privilégiées (PIM) et de détection des risques avancés.
Entra ID dans l'écosystème Microsoft
Entra ID est la colonne vertébrale de l'identité dans tout l'écosystème Microsoft. Il ne fonctionne pas en silo — il est intégré nativement avec :
- Microsoft 365 (M365) : Exchange Online, Teams, SharePoint, OneDrive… tous s'authentifient via Entra ID. Les licences M365 sont attribuées aux utilisateurs Entra ID.
- Azure : chaque abonnement Azure est lié à un tenant Entra ID. Le RBAC Azure utilise les identités Entra ID pour contrôler l'accès aux ressources (VMs, stockage, bases de données…).
- Microsoft Intune : la plateforme MDM/MAM de Microsoft s'appuie sur Entra ID pour l'enregistrement des appareils et l'application des politiques de conformité.
- Microsoft Defender XDR : les signaux d'identité Entra ID (connexions suspectes, comptes compromis) alimentent la détection des menaces dans Defender.
- Applications tierces : via la galerie d'applications Entra ID (plus de 3 000 apps préconfigurées) ou des connecteurs SAML/OIDC personnalisés, Entra ID centralise le SSO pour des apps comme Salesforce, Workday, ServiceNow, AWS…
- Entra ID est le nouveau nom de Microsoft Azure Active Directory (depuis juillet 2023).
- Ce n'est pas un Active Directory on-prem dans le cloud — il utilise des protocoles modernes (OAuth 2.0, OIDC, SAML) et non Kerberos/LDAP.
- Entra ID joue le rôle de fournisseur d'identité (IdP) central : authentification SSO, MFA, autorisation RBAC, gestion des appareils.
- Un tenant est l'instance Entra ID dédiée à une organisation, identifiée par un Tenant ID et des noms de domaine.
- Les licences Free / P1 / P2 débloquent progressivement l'accès conditionnel, le SSPR, PIM et la protection avancée des identités.
- Entra ID est l'annuaire commun pour Microsoft 365, Azure, Intune, Defender et des milliers d'applications tierces.