Jean quitte l'entreprise un vendredi. Le lundi suivant, son compte Windows fonctionne encore, son accès VPN est actif, sa boîte mail reçoit des messages, et son compte ERP permet toujours de valider des commandes. Cette situation est banale en PME — et c'est un risque de sécurité majeur. La gestion des identités, c'est savoir qui a accès à quoi, et pouvoir le révoquer en 5 minutes.
Active Directory : le socle de la gestion des identités Windows
Active Directory (AD) est le service d'annuaire de Microsoft, présent dans quasiment toute PME qui utilise Windows Server. Il centralise :
• Les comptes utilisateurs — chaque collaborateur a un identifiant unique et un mot de passe géré centralement
• Les groupes de sécurité — les utilisateurs sont regroupés par service, rôle ou projet, et les droits d'accès sont attribués aux groupes plutôt qu'aux individus
• Les stratégies de groupe (GPO) — des règles appliquées automatiquement aux postes et aux utilisateurs : politique de mot de passe, verrouillage d'écran, restriction d'installation de logiciels, redirection de dossiers
• Les objets ordinateurs — chaque poste joint au domaine est inventorié et soumis aux GPO
Sans AD, chaque poste est une île : mots de passe locaux différents, pas de politique centralisée, aucune visibilité sur qui accède à quoi. Avec AD, un seul compte donne accès à tout ce dont l'utilisateur a besoin — et se désactive en un clic quand il part.
Active Directory on-premise vs Azure AD (Entra ID)
Deux modèles coexistent aujourd'hui :
| Critère | AD on-premise | Azure AD / Entra ID |
|---|---|---|
| Hébergement | Serveur Windows Server local | Cloud Microsoft |
| GPO | Oui, complètes | Via Intune (MDM), pas de GPO traditionnelles |
| Authentification | Kerberos / NTLM | OAuth 2.0 / SAML / OpenID Connect |
| SSO applications cloud | Nécessite ADFS ou Azure AD Connect | Natif (Microsoft 365, SaaS) |
| MFA | Nécessite un serveur NPS ou solution tierce | Intégré (Microsoft Authenticator) |
| Coût | Licence Windows Server + matériel | Inclus dans Microsoft 365 Business Premium |
| Profil PME idéal | Infrastructure locale, serveurs de fichiers, ERP on-premise | PME full-cloud, pas de serveur local |
La plupart des PME en transition utilisent un modèle hybride : AD on-premise pour les ressources locales (serveurs de fichiers, imprimantes, ERP) synchronisé avec Azure AD via Azure AD Connect pour les applications cloud (Microsoft 365, CRM en SaaS). Ce modèle permet de garder un pied dans chaque monde sans tout migrer d'un coup.
Cinq stratégies de groupe indispensables en PME
Les GPO sont le bras armé d'Active Directory. Voici les cinq que toute PME devrait appliquer dès le premier jour :
1. Politique de mot de passe. Longueur minimale de 12 caractères, complexité activée (majuscule + minuscule + chiffre + caractère spécial), expiration tous les 90 jours, historique de 12 mots de passe (empêche la réutilisation).
2. Verrouillage automatique de session. L'écran se verrouille après 5 minutes d'inactivité. Simple, efficace, et protège contre l'accès physique non autorisé.
3. Restriction d'installation logicielle. Seuls les administrateurs peuvent installer des logiciels. Cela bloque 90 % des vecteurs de malware courants (l'utilisateur qui installe un « accélérateur de PC » infecté).
4. Redirection de dossiers. Les dossiers Documents, Bureau et Favoris sont redirigés vers un partage réseau sauvegardé. Si le poste tombe en panne, aucune donnée utilisateur n'est perdue.
5. Configuration du pare-feu Windows. Activez le pare-feu sur tous les profils (domaine, privé, public) et autorisez uniquement les flux nécessaires. Une GPO garantit que personne ne désactive le pare-feu manuellement.
Le cycle de vie des identités : arrivée, mobilité, départ
La gestion des identités ne se limite pas à la création de comptes. C'est un cycle en trois phases :
Arrivée. Un nouveau collaborateur arrive : créer le compte AD, l'ajouter aux bons groupes de sécurité (selon son poste), configurer sa boîte mail, lui attribuer les licences logicielles. Idéalement, ce processus est documenté dans une checklist et déclenché par les RH 48 h avant l'arrivée.
Mobilité interne. Le collaborateur change de service : retirer les groupes de l'ancien service, ajouter ceux du nouveau. C'est l'étape la plus souvent oubliée — le collaborateur accumule des droits sans jamais en perdre (principe du « privilege creep »).
Départ. Le collaborateur quitte l'entreprise : désactiver le compte AD (ne pas le supprimer immédiatement — conserver 90 jours pour la traçabilité), révoquer les accès VPN, transférer la boîte mail au manager, retirer les licences. L'article sur la gestion des identités et des accès via Active Directory détaille les procédures pas à pas.
Point critique : l'ANSSI recommande de réaliser une revue des droits tous les 6 mois — vérifier que chaque utilisateur a uniquement les accès nécessaires à sa fonction actuelle. En PME, cette revue prend 2 heures et évite des mois de dérives silencieuses.
Questions fréquentes sur Active Directory en PME
Faut-il un serveur dédié pour Active Directory ?
Oui. Le contrôleur de domaine AD est un composant critique — s'il tombe, personne ne peut s'authentifier. Prévoyez au minimum deux contrôleurs de domaine (un principal, un réplica) pour la redondance. Ils peuvent être des machines virtuelles, mais doivent être sur des hôtes physiques différents.
Active Directory est-il compatible avec Linux et macOS ?
Partiellement. Les postes macOS peuvent rejoindre un domaine AD et s'authentifier via Kerberos. Les postes Linux utilisent SSSD ou Winbind pour s'intégrer. Cependant, les GPO ne s'appliquent qu'aux postes Windows. Pour un parc mixte, Azure AD / Entra ID + Intune offre une gestion plus homogène.
Comment migrer d'un environnement sans AD vers Active Directory ?
La migration se fait poste par poste : installer le rôle AD DS sur un Windows Server, créer les comptes et les groupes, puis joindre chaque poste au domaine. Les profils utilisateurs locaux sont conservés mais un nouveau profil de domaine est créé. Prévoyez un week-end pour une PME de 20 à 50 postes.
L'identité, c'est le nouveau périmètre de sécurité
Le périmètre réseau traditionnel (firewall = rempart) est dépassé. Avec le télétravail, le cloud et les applications SaaS, le vrai périmètre de sécurité, c'est l'identité. Savoir qui se connecte, depuis où, avec quels droits — et pouvoir couper cet accès instantanément — c'est la base de toute sécurité IT en 2026. Active Directory, qu'il soit on-premise, hybride ou full-cloud, est l'outil qui le permet.
Image : © Bing Images, 2026
