Maîtriser Microsoft Entra ID : users, groups, dynamic groups, B2B/B2C guests, MFA, Conditional Access, Identity Protection, PIM, hybrid identity (Entra Connect), self-service password reset, application registrations.
📍 À lire d’abord : Pilier Azure AZ-104 · Tenant Azure gratuit.
Introduction
Microsoft Entra ID (renommé en juillet 2023, anciennement Azure Active Directory) est le service d’identité cloud de Microsoft. Domaine 1 Manage Azure Identities and Governance (20-25 % AZ-104) — le plus pondéré.
Prérequis
- Tenant Azure configuré.
- Niveau intermédiaire.
- Temps : 2 heures.
Étape 1 — Comprendre Entra ID vs Active Directory
Active Directory (AD DS) : on-premises, depuis 2000, basé Kerberos/LDAP
Group Policy, schéma extensible, forêts/domaines
Microsoft Entra ID (cloud) : SaaS multi-tenant, basé OAuth/OIDC/SAML
Pas de Group Policy, pas de Kerberos par défaut
Plus moderne, intégration Office 365
Entra Domain Services (Azure AD DS): managed Active Directory dans Azure
Hybride : Kerberos/LDAP en cloud
Use case : VMs cloud nécessitant AD legacy
Entra Connect : sync Entra ID ↔ AD on-premises
Synchro horaire, Password Hash Sync ou Pass-Through Auth
À l’examen : différence claire. Question typique : « On-prem AD users doivent accéder Office 365 » → Entra Connect.
Étape 2 — Tiers Entra ID
Free : SSO de base, MFA basique, jusqu'à 50 000 objets
Microsoft Entra ID P1 : Conditional Access, dynamic groups, SSPR
inclus dans Microsoft 365 Business Premium / E3
Microsoft Entra ID P2 : Identity Protection, PIM, Access Reviews
inclus dans M365 E5
À l’examen : connaître quelle feature dans quel tier. Conditional Access = P1+. PIM = P2.
Étape 3 — Users et Groups
# Créer user
az ad user create \
--display-name "Mariam Niang" \
--user-principal-name mniang@yourtenant.onmicrosoft.com \
--password "TempPwd2026!" \
--force-change-password-next-sign-in true
# Créer group
az ad group create --display-name "IT-Admins" --mail-nickname "it-admins"
# Ajouter user au group
az ad group member add --group "IT-Admins" --member-id <user-object-id>
Étape 4 — Dynamic Groups (P1+)
Membership automatique selon attributs user.
Rule example : (user.department -eq "Engineering") -and (user.country -eq "Senegal")
Tout user avec department=Engineering ET country=Senegal est automatiquement membre. Mise à jour temps réel.
À l’examen : Dynamic Groups nécessitent Entra ID P1. User attributes peuvent être étendus via custom security attributes.
Étape 5 — Multi-Factor Authentication
Per-user MFA (legacy) : activé par user, basé sur Conditional Access
Approche obsolète, garder pour compatibilité
Conditional Access MFA: recommandé moderne, granulaire
Enforce MFA selon contexte (location, device, risk)
Security Defaults : MFA forcé pour tous (Free tier, simple)
Active par défaut sur nouveaux tenants
Méthodes MFA Entra ID :
– Microsoft Authenticator (push notification recommandé)
– TOTP (Authenticator app)
– SMS / phone call (déprécié, à éviter)
– FIDO2 security key (le plus sécurisé)
– Windows Hello for Business (biométrie)
Étape 6 — Conditional Access (P1+)
Policies basées sur signaux : user, location, device, app, risk.
Exemples policies :
- "Si user dans group SalesOnly + accède Salesforce + IP hors Sénégal → bloquer"
- "Si user admin + accède portal Azure → MFA obligatoire"
- "Si device pas conforme Intune → bloquer sauf web non-sensitive"
- "Si risque user élevé (Identity Protection) → re-auth + reset password"
Configuration via portal Entra ID > Protection > Conditional Access.
À l’examen : composantes (Assignments + Access controls), conditions cumulables, modes Report-only / On / Off pour test progressif.
Étape 7 — Identity Protection (P2)
Détection automatique de risques par ML Microsoft :
User risk : compte compromis (creds leaked, anomalies)
Sign-in risk : tentative connexion suspecte (impossible travel, atypical location, anonymous IP)
Policies remediation :
– User risk élevé → forcer reset password
– Sign-in risk medium → forcer MFA
– Sign-in risk high → bloquer
Étape 8 — PIM : Privileged Identity Management (P2)
Just-in-time admin access. Rôles privilégiés (Global Admin, Subscription Owner) ne sont plus permanents — élévation à la demande avec justification + approval.
Eligibility : user éligible à un role, mais pas activé
Activation : user demande l'élévation, durée limitée (ex 4h max)
Approval : optionnel, par autre admin
Justification : raison documentée
Audit log : qui, quand, pourquoi
Idéal banques/conformité : aucun « permanent admin », élévation tracée.
Étape 9 — Self-Service Password Reset (SSPR)
Permettre aux users de reset leur password sans helpdesk.
1. Portal > Entra ID > Password reset
2. Configure self-service password reset for: All users
3. Authentication methods : 2 minimum (mobile phone, security questions, email)
4. Notifications : envoi email à admin + user lors d'un reset
5. Activer aussi pour AD on-prem via Entra Connect (writeback)
Réduit charge helpdesk de 30-50 %. Crucial en organisation > 100 users.
Étape 10 — Hybrid Identity avec Entra Connect
Pour entreprises avec AD on-prem existant :
1. Installer Entra Connect sur serveur Windows joined au domaine
2. Configurer Express Settings (sync tous users/groups)
3. Choisir méthode auth :
- Password Hash Sync (PHS) : hash sync vers cloud, simple
- Pass-Through Auth (PTA) : auth via agent on-prem
- Federation (ADFS) : SSO via ADFS
4. Sync interval 30 min par défaut
5. Filtrer scope : OU, domain, attributs
À l’examen : différences PHS vs PTA. PHS plus simple, PTA pas de hash en cloud (compliance).
Erreurs fréquentes
| Erreur | Solution |
|---|---|
| Conditional Access lock-out | Toujours créer une « break glass » account exempt des policies |
| MFA register laissé optionnel | Forcer registration via Conditional Access |
| Entra Connect sync errors | Vérifier ProxyAuth, Service account, firewall outbound |
| PIM sans approval mode = inutile | Toujours configurer approval + justification |
| External users avec Global Admin | Audit Access Reviews, PIM avec approval externe |
Adaptation au contexte ouest-africain
Banques : Entra ID P2 + PIM + Conditional Access strict + Identity Protection. Standard PCI DSS / ISO 27001.
PME : Entra ID P1 (inclus M365 Business Premium ~22 USD/user/mois) suffit pour MFA + Conditional Access basique.
Éducation : Entra ID for Education = tier gratuit étendu pour universités. ESC Sénégal et autres y ont droit.
FAQ
Entra ID = Active Directory ?
Non. Entra ID = cloud-based. AD = on-prem. Différents protocoles, fonctionnalités. Coexistent en hybride.
Migrer 100 % vers Entra ID est-ce possible ?
Oui via Entra Domain Services pour apps legacy nécessitant Kerberos/LDAP, ou réécriture apps en OAuth/OIDC.
Combien coûte Entra ID P1 ?
~6 USD/user/mois standalone. Inclus dans M365 Business Premium / E3 / E5.
Pour aller plus loin
- 🔝 Pilier Azure AZ-104
- ➡️ Suite : RBAC Azure (rôles, scopes, PIM) (à venir).
- Documentation : Microsoft Entra ID docs, Conditional Access best practices.
Mots-clés : Microsoft Entra ID, Azure AD, Conditional Access, MFA, PIM Privileged Identity Management, Identity Protection, Entra Connect hybrid, SSPR, dynamic groups.
Approfondissement et cas pratiques
Études de cas réelles Azure en Afrique de l’Ouest
Cas 1 — Banque pan-africaine, déploiement Microsoft 365 + Azure 2024. Banque avec 8 filiales en Afrique de l’Ouest et Centrale, 2 800 employés. Migration Exchange on-prem vers Microsoft 365 E5 puis extension Azure. Stack : Microsoft Entra ID Premium P2 avec Conditional Access par filiale, Intune pour gestion 6 000 endpoints (laptops + smartphones BYOD), Azure Information Protection pour classification documents, Microsoft Defender for Cloud + Sentinel pour SIEM unifié. Déploiement progressif 16 mois, ROI cybersec mesuré : -65 % d’incidents phishing en 12 mois post-déploiement.
Cas 2 — Opérateur télécom, refonte legacy 2025. Opérateur ivoirien avec datacenter Plateau et apps Windows Server 2008 critiques pour CRM clients. Stratégie : Azure Migrate pour assessment, lift-and-shift de 120 VMs vers Azure (eu-west-3 France Central), modernisation progressive vers Azure Container Apps + Azure SQL Managed Instance. Hybrid via Azure Arc pour gestion centralisée serveurs on-prem encore en place. Économie matérielle : 1,8 milliards FCFA évités vs renouvellement datacenter. Coût Azure 38 000 USD/mois.
Cas 3 — Startup edtech, Senegal/Mali/Burkina, 2024-2026. Startup éducative cloud-native dès création. Stack 100 % Azure : Azure Kubernetes Service (AKS) pour app multi-tenant, Azure Front Door pour CDN + WAF, Azure SQL Hyperscale pour DB élastique, Cosmos DB pour catalogue cours, Azure OpenAI Service pour IA pédagogique (GPT-4 Turbo). Coût initial 1 200 USD/mois, scale à 8 500 USD/mois après 18 mois et 40 000 utilisateurs. Architecture validée par audit Microsoft for Startups (crédits 150 000 USD obtenus).
Cinq scénarios AZ-104 type examen détaillés
Scénario 1 : RBAC granulaire pour équipe DevOps. Équipe de 8 développeurs doit pouvoir déployer dans RG-Dev mais pas Prod. Réponse : custom role « Junior DevOps Operator » avec actions limitées + Resource Locks « ReadOnly » sur RG-Prod + PIM pour élévation temporaire en Contributor avec approval.
Scénario 2 : conformité RGPD données EU. App SaaS hébergée Azure doit garantir données restent en UE. Réponse : Azure Policy « Allowed Locations » appliquée au Management Group, restriction à France Central + North Europe + West Europe. Audit Compliance dashboard + alertes si tentative déploiement hors zone.
Scénario 3 : DR cross-region + RTO 1h. Workload critique RDS-équivalent + 50 VMs dans France Central. Réponse : Azure Site Recovery configuré vers West Europe (region pair), réplication continue avec lag < 15 min, runbook documenté pour failover en 30-45 min. Tests DR semestriels obligatoires.
Scénario 4 : optimisation coût Storage 50 To. Backups dispersés Hot tier coûtent 1 200 USD/mois. Réponse : lifecycle management policy migration vers Cool après 30j, Archive après 180j. Coût attendu après lifecycle : 180 USD/mois (-85 %).
Scénario 5 : intégration Active Directory hybride. Forêt AD on-prem 15 000 users à intégrer Azure pour SSO Office 365. Réponse : Microsoft Entra Connect avec Password Hash Sync (le plus simple), filtrage scope OU « Employees », écriture passwords back-prop si user reset depuis Office 365 portal, MFA via Conditional Access sur cloud apps.
Architecture hybride enterprise Azure 2026
[Bureau on-prem] [Azure cloud]
│
[Active Directory] ──── Entra Connect ──→ [Microsoft Entra ID]
│
[Datacenter Plateau] │
│ ExpressRoute │
└─── (10 Gbps privé) ──────────────→ [vNet hub]
│ ↑
│ └── Azure Firewall
│
┌───────────┼───────────┐
↓ ↓ ↓
[vNet spoke1] [vNet spoke2] [vNet spoke3]
Production Dev/Test Workloads
spécifiques
│ │ │
↓ ↓ ↓
[VMs + AKS] [VMs Dev] [Azure SQL MI]
Identité : Entra Connect → Entra ID + Conditional Access + MFA
Sécurité : Azure Firewall + Microsoft Defender for Cloud + Sentinel
Backup : Azure Backup vault GRS + Site Recovery vers West Europe
Monitor : Azure Monitor + Log Analytics central + Application Insights
Coût : 18 000 USD/mois pour stack complète enterprise 500 employés
Ce pattern est l’architecture de référence pour les grandes entreprises africaines avec investissement on-prem significatif qu’elles ne veulent pas abandonner immédiatement.
Coûts détaillés en FCFA pour PME africaine
PME 50 employés, infrastructure Microsoft (AD, file server, SQL Server, Office), migration progressive vers Azure :
Service Coût/mois
------- ---------
50× licences Microsoft 365 Business Premium 1 100 USD (22 USD/user)
Azure VM hosting AD DC + file server 85 USD (D2s_v3 reserved 1y)
Azure VM hosting SQL Server (B4ms) 120 USD
Azure Files (NAS) 500 Go Premium 130 USD
Azure Backup vault GRS 45 USD
Microsoft Sentinel (200 Go logs/mois) 95 USD
Bandwidth + IP 30 USD
---------
Total 1 605 USD/mois
≈ 965 000 FCFA/mois
≈ 11 500 000 FCFA/an
Vs maintien datacenter on-prem : 18-25 millions FCFA/an (matériel amortis + climatisation + sécurité physique + admin temps plein). Migration Azure ROI 1,5-2 ans.
Pour une fintech ou startup partant from scratch : Microsoft for Startups crédits 25 000-150 000 USD couvrent les 12-24 premiers mois entièrement.
Plan de carrière post-AZ-104
0-12 mois : poste Azure administrator junior dans entreprise Microsoft (banque, opérateur, ESN partenaire Microsoft). Salaire 700 000-1 100 000 FCFA. Activités : gestion VMs/storage/backup, support utilisateurs, monitoring CloudWatch-équivalent (Azure Monitor), résolution tickets N1/N2.
12-30 mois : pivoter selon affinité. Cybersec : AZ-500 (Security Engineer). DevOps : AZ-400 (DevOps Engineer Expert). Architecture : AZ-305 (Solutions Architect Expert). Salaire 1 200 000-1 800 000 FCFA. Activités : design solutions, automation Bicep/Terraform/PowerShell, governance Management Groups + Policy.
30-60 mois : Azure Architect senior ou consulting. Profil très demandé en remote pour clients européens (Microsoft écosystème). Salaire 2 500 000-4 500 000 FCFA local, 5-9 millions en remote international.
60+ mois : positions Principal Architect, Microsoft MVP, Engineering Manager Cloud, ou consulting indépendant. Possibilité partenariat Microsoft (Microsoft Partner Network — Solutions Partner status pour ESN).
Évolution alternative — Microsoft 365 + Power Platform : combiner Azure avec Power Platform (Power Apps, Power Automate, Power BI) ouvre les rôles « Solutions Architect Microsoft 365 + Azure », très recherché 2026-2030. Salaires premium en remote 6-12 millions FCFA.
Outils complémentaires Azure 2026
IaC : Bicep (DSL Microsoft moderne, recommandé 2026), Terraform AzureRM provider, ARM templates JSON (legacy), Pulumi.
Automation : Azure Automation (runbooks PowerShell), Azure Logic Apps (workflows low-code), Azure Functions (serverless), GitHub Actions Azure tasks.
Security : Microsoft Defender for Cloud (CSPM + workload protection), Microsoft Sentinel (SIEM/SOAR), Microsoft Purview (data governance + DLP), Microsoft Entra ID Governance (lifecycle + access reviews).
Observability : Azure Monitor + Log Analytics (natif), Application Insights, Datadog Azure integration, Grafana Cloud.
Migration : Azure Migrate (assessment + replication), Azure Database Migration Service, Azure Arc (gestion ressources hybrides + multi-cloud).
FinOps : Azure Cost Management + Billing, Azure Advisor recommendations, Microsoft Cost Management Connector pour Power BI.