Le guide suivant fournit les étapes pour créer un fournisseur PAM utilisateur Azure AD pour Devolutions Hub Business.
Créer un fournisseur PAM Azure AD
Dans le portail Azure
- Dans une page de navigateur, ouvrir le Portail Microsoft Azure et se connecter à votre compte.
- Sélectionner Microsoft Entra ID (anciennement Azure Active Directory) dans la section Services Azure. Si vous ne le voyez pas, cliquer sur Plus de services pour faire apparaître d'autres services.
- Dans Inscriptions d'applications, cliquer sur Nouvelle inscription.
- Définir le Nom de la nouvelle inscription.
- Cliquer sur Enregistrer en bas une fois terminé. Vous serez présenté avec un aperçu de votre application.
- Localiser l'ID d'application (client) et l'ID de répertoire (locataire). Vous aurez besoin de ces informations dans les étapes suivantes, donc ne fermez pas cette fenêtre.
Dans Devolutions Hub Business
-
Se connecter à votre hub.
-
Aller à Administration – Accès privilégié – Fournisseurs.
-
Cliquer sur Ajouter un fournisseur (+).
-
Entrer un Nom (obligatoire) pour votre fournisseur. Optionnellement, entrer une Description et sélectionner un Modèle de mot de passe.
-
Entrer l'ID de locataire et l'ID de client que vous avez précédemment localisés dans la page Vue d'ensemble de l'application d'entreprise dans votre portail Azure.
Ne fermez pas la fenêtre des paramètres du fournisseur car vous devez encore entrer la Clé secrète. Suivre les étapes ci-dessous pour créer un secret client.
Créer un secret client
Dans le portail Azure
- Dans Certificats et secrets, sélectionner Secrets clients, puis cliquer sur Nouveau secret client.
- Entrer une Description et définir une date d'expiration (ou utiliser celle recommandée).
- Cliquer sur Ajouter.
- Copier la Valeur de votre nouveau secret client (pas l'ID secret).
Dans Devolutions Hub Business
- Coller la valeur du secret client dans le champ Clé secrète.
- Cliquer sur Ajouter.
Votre nouveau fournisseur a maintenant été ajouté à la liste des Fournisseurs.
Définir les autorisations de l'API
Dans le portail Azure
- Dans la page de votre application récemment créée, aller à Autorisations de l'API et cliquer sur Ajouter une autorisation.
- Sélectionner Microsoft Graph.
- Sélectionner Autorisations d'application.
- Localiser et cocher les cases à côté des autorisations de l'API Microsoft Graph suivantes :
- Group.Read.All
- RoleManagement.Read.Directory
- User.Read.All
-
Cliquer sur Ajouter des autorisations en bas.
-
Cliquer sur Accorder le consentement d'admin pour [votre organisation], puis confirmer en cliquant sur Oui.
Le Statut à côté de chaque autorisation devrait maintenant être mis à jour.
Activer l'application pour faire tourner les mots de passe
Dans le portail Azure
-
Revenir à Microsoft Entra ID, puis aller à Rôles et administrateurs dans le menu de gauche.
Assurez-vous de revenir à la vue d'ensemble principale de Microsoft Entra ID. Si vous allez à Rôles et administrateurs tout en étant dans la vue d'ensemble de votre inscription d'application ou application d'entreprise, par exemple, vous n'aurez accès qu'aux rôles administratifs disponibles pour cette section.
-
Dans Tous les rôles, rechercher le rôle Administrateur du support technique. Si les comptes gérés par le module PAM sont membres de rôles ou groupes administrateurs, rechercher également le rôle Administrateur d'authentification privilégiée et compléter les étapes suivantes pour les deux rôles.
-
Cliquer sur le nom du rôle (ne pas cocher la case).
-
Cliquer sur Ajouter des attributions.
-
Cliquer sur Aucun membre sélectionné.
-
Rechercher dans la liste pour trouver l'application.
-
Cocher la case à côté de l'application, puis cliquer sur Sélectionner.
-
Cliquer sur Suivant.
-
Entrer une justification pour l'attribution, puis cliquer sur Attribuer. Votre application a maintenant été ajoutée à la liste.
Si les comptes gérés par le module PAM sont membres de rôles ou groupes administrateurs, n'oubliez pas de compléter les étapes ci-dessus avec le rôle Administrateur d'authentification privilégiée également.