Créer un fournisseur Azure AD PAM

Sur cette page

Le guide suivant fournit des étapes pour créer un fournisseur de gestion des accès privilégiés Azure AD pour Devolutions Hub Business.

Créer un fournisseur PAM Azure AD

Dans le portail Azure

  1. Dans une page de navigateur, ouvrir le Portail Microsoft Azure et se connecter à votre compte.
  2. Sélectionner Microsoft Entra ID (anciennement Azure Active Directory) dans la section Azure Services. Si vous ne le voyez pas, cliquer sur More services pour faire apparaître d'autres services.
    Microsoft Entra ID service
    Microsoft Entra ID service
  3. Dans App registrations, cliquer sur New registration.
    App registrations – New registration
    App registrations – New registration
  4. Définir le Nom du nouvel enregistrement.
    Name
    Name
  5. Cliquer sur Enregistrer en bas une fois terminé. Vous serez présenté avec un aperçu de votre application.
  6. Localiser l'ID de l'application (client) et l'ID de répertoire (locataire). Vous aurez besoin de ces informations dans les étapes ultérieures, alors ne fermez pas cette fenêtre.
    Application (client) ID and Directory (tenant) ID
    Application (client) ID and Directory (tenant) ID

Dans Devolutions Hub Business

  1. Se connecter à votre hub.

  2. Aller à Administration – Accès privilégié – Fournisseurs.

  3. Cliquer sur Add Provider (+).

    Administration – Privileged Access – Providers – Add Provider
    Administration – Privileged Access – Providers – Add Provider

  4. Entrer un Nom (obligatoire) pour votre fournisseur. Facultativement, entrer une Description et sélectionner un Modèle de mot de passe.

    Name, Description, and Password template
    Name, Description, and Password template

  5. Entrer le ID de locataire et ID de client que vous avez préalablement localisés dans la page Overview de l'application d'entreprise dans votre Azure Portal.

    Tenant ID and Client ID
    Tenant ID and Client ID

    Ne pas fermer la fenêtre des paramètres du fournisseur tant que vous n'avez pas saisi la clé secrète. Suivre les étapes ci-dessous pour créer un secret client.

Créer un secret client

Dans le portail Azure

  1. Dans Certificates & secrets, sélectionner Client secrets, puis cliquer sur New client secret.
    New client secret
    New client secret
  2. Entrer une Description et définir une date d'expiration (ou utiliser celle recommandée).
    Add a client secret
    Add a client secret
  3. Cliquer sur Ajouter.
  4. Copier la valeur de votre nouveau secret client (pas l'ID Secret).
    Client secret value
    Client secret value

Dans Devolutions Hub Business

  1. Coller la valeur du secret client dans le champ clé secrète.
    Secret key
    Secret key
  2. Cliquer sur Ajouter.

Votre nouveau fournisseur a maintenant été ajouté à la liste des Fournisseurs.

Configurer les permissions de l'API

Dans le portail Azure

  1. Dans la page de votre application récemment créée, aller à API permissions et cliquer sur Add a permission.
    Add a permission
    Add a permission
  2. Sélectionner Microsoft Graph.
    Microsoft Graph
    Microsoft Graph
  3. Sélectionner Application permissions.
    Application permissions
    Application permissions
  4. Trouver et cocher les cases à côté des permissions Microsoft Graph API suivantes :\n
      \n
    • Group.Read.All
      • \n
    • RoleManagement.Read.Directory
      • \n
    • User.Read.All
      • \n
    \n

Select permissions
Select permissions

  1. Cliquer sur Ajouter des permissions en bas.

  2. Cliquer sur Grant admin consent for [your organization], puis confirmer en cliquant sur Yes.

    Grant admin consent
    Grant admin consent

    Le Statut à côté de chaque permission devrait maintenant être mis à jour.

Permettre à l'application de faire pivoter les mots de passe

Dans le portail Azure

  1. Retourner à Microsoft Entra ID, puis aller à Rôles et administrateurs dans le menu de gauche.

    Assurez-vous de revenir à la vue d'ensemble principale de Microsoft Entra ID. Si vous allez dans Rôles et administrateurs tout en étant dans la vue d'ensemble de votre enregistrement d'application ou application d'entreprise, par exemple, vous n'aurez accès qu'aux rôles administratifs disponibles pour cette section.

  2. Dans Tous les rôles, rechercher le rôle Administrateur du service d'assistance. Si les comptes gérés par le module PAM sont membres de n'importe quel rôle ou groupe d'administrateurs, alors rechercher également le rôle Administrateur d'authentification privilégiée et compléter les prochaines étapes pour les deux rôles.

  3. Cliquer sur le nom du rôle (ne pas cocher la case).

    Roles and administrators
    Roles and administrators

  4. Cliquer sur Add assignments.

    Add assignments
    Add assignments

  5. Cliquer sur No member selected.

    No member selected
    No member selected

  6. Rechercher dans la liste pour trouver l'application.

  7. Cocher la case à côté de l'application, puis cliquer sur Select.

    Select the application
    Select the application

  8. Cliquer sur Next.

    Next
    Next

  9. Entrer une justification pour l'attribution, puis cliquer sur Assign.

    Enter justification and Assign
    Enter justification and Assign
    Your application has now been added to the list.

    Si les comptes gérés par le module PAM sont membres de rôles ou groupes d'administrateurs, n'oubliez pas de compléter les étapes ci-dessus avec le rôle Administrateur d'authentification privilégiée également.

Devolutions Forum logo Donnez-nous vos commentaires