Le guide suivant fournit les étapes pour créer un fournisseur PAM utilisateur Azure AD pour Devolutions Server.
Dans une page de navigateur, ouvrir le Portail Azure AD de Microsoft et se connecter à votre compte.
Sélectionner Microsoft Entra ID dans la section Services Azure. Si vous ne le voyez pas, cliquer sur Plus de services pour faire apparaître d'autres services.
Dans Inscriptions d'applications, cliquer sur Nouvelle inscription.
Définir le Nom de votre application.
Cliquer sur Enregistrer en bas une fois terminé.
Se connecter à votre Devolutions Server.
Aller à Administration – Privileged Access – Providers, puis cliquer sur Add.
Sélectionner Utilisateur Azure AD comme nouveau fournisseur PAM, puis cliquer sur Continuer.
Dans la fenêtre Fournisseur, entrer un Nom (obligatoire) et une Description (facultative) pour votre nouveau fournisseur PAM utilisateur Azure AD. Si besoin, sélectionner un modèle de mot de passe dans la liste déroulante.
Dans l'Aperçu de votre nouvelle inscription d'application, copier l'ID de répertoire (locataire).
Coller l'ID copié à l'étape précédente dans le champ ID de locataire.
Toujours dans l'Aperçu de votre nouvel enregistrement d'application, copier l'ID d'application (client).
Coller l'ID copié à l'étape précédente dans le champ ID client.
Dans Certificats & secrets, cliquer sur Secrets client, puis sur Nouveau secret client.
Dans la fenêtre Add a client secret, entrer une Description et sélectionner une date d'expiration pour ce secret client, selon vos meilleures pratiques internes de sécurité.
Cliquer sur Ajouter.
Copier la Valeur de ce nouveau secret client en cliquant sur l'icône Copier dans le presse-papiers à côté.
Coller la valeur copiée à l'étape précédente dans le champ Clé secrète.
Tester la connexion pour voir si elle fonctionne, puis cliquer sur Sauvegarder. La fenêtre Configuration de l'analyse apparaîtra : la garder ouverte car elle sera remplie à une étape ultérieure.
Attribuer des autorisations API comme décrit dans les étapes 20 à 26 n'est utile que si vous souhaitez effectuer une détection (analyse) de comptes Azure. Si ce n'est pas le cas, pour éviter d'attribuer des autorisations inutiles à l'application, passer à l'étape 27.
Dans Autorisations API, cliquer sur Ajouter une autorisation.
Dans la fenêtre Demande d'autorisations API, sélectionner Microsoft Graph.
-
Cliquer sur Application permissions, puis cocher les cases à côté des permissions Microsoft Graph API suivantes pour les sélectionner :
Group.Read.All
RoleManagement.Readwrite.Directory
User.Read.All
Select API permissions
Utiliser la barre de filtre au-dessus de la liste des permissions pour trouver celles que vous recherchez.
Lorsque toutes les permissions ci-dessus ont été sélectionnées, cliquer sur Add permissions en bas.
La liste des autorisations sera mise à jour pour inclure celles qui viennent d'être sélectionnées. Supprimer toutes autres autorisations inutiles en utilisant le bouton de points de suspension à côté.
Les autorisations nécessitent le consentement de l'administrateur. Cliquer sur le bouton Octroyer le consentement d'administrateur pour < Votre Organisation >, puis cliquer sur Oui pour confirmer.
Pour confirmer que le consentement de l'administrateur a été accordé, vérifier le Statut de vos autorisations.
Pour octroyer à l'application la capacité de faire tourner les mots de passe, quitter les App registrations pour retourner à l'Azure Active Directory, puis sélectionner Rôles et administrateurs dans le menu de gauche.
Dans Tous les rôles, cliquer sur le rôle Administrateur du service d'assistance. Si les comptes gérés par le module PAM sont membres de rôles ou de groupes administratifs –ou si la Gestion des Identités Privilégiées (PIM) est utilisée–, alors l'application nécessite le rôle Administrateur de l'authentification privilégiée.
Dans Assignments, cliquer sur le bouton Add assignments.
Filtrer la liste pour trouver l'application Azure précédemment créée, la sélectionner, puis cliquer sur Ajouter.
Votre nouvelle attribution devrait maintenant être affichée dans Attributions.
Les dernières étapes sont dédiées à configurer une analyse pour ce fournisseur. Dans la fenêtre Configuration de l'analyse qui est apparue lorsque vous avez enregistré votre configuration fournisseur à l'étape 19, sous Général, entrer un Nom pour cette configuration.
Sous Configuration, sélectionner Groups ou Roles dans la liste déroulante Search mode. Vous pouvez filtrer le Search mode pour des groupes ou rôles spécifiques Azure AD en cliquant sur le bouton Edit à côté de la liste déroulante.
Cliquer sur OK lorsque la configuration est terminée.
Dans Devolutions Server, aller à Administration – Privileged Access – Scan Configurations. Si l'option Start Scan on Save a été laissée activée pendant la configuration de l'analyse, l'analyse devrait avoir commencé d'elle-même. Pendant le processus, la colonne Status affiche une icône de sablier à côté de l'entrée de l'analyse.
Lorsque le processus est terminé, l'icône de sablier se transforme en un symbole de coche verte. À ce moment, sélectionner des comptes et les importer dans les comptes privilégiés comme tout autre type de compte privilégié.
Donnez-nous vos commentaires