Activer l'élévation et le provisionnement Juste-à-Temps

Après le déploiement d'AD PAM dans votre environnement, il est possible d'activer l'élévation Just-in-Time et le provisionnement pour octroyer un accès temporaire privilégié à la demande.

Élévation Juste-à-Temps

  1. Ajouter la permission de créer des groupes d'utilisateurs à votre compte de fournisseur de domaine PAM dans AD.

  2. Identifier les groupes d'utilisateurs dans AD que vous souhaitez rendre disponibles pour l'élévation Juste-à-Temps.

  3. Dans Devolutions Server ou Devolutions Hub Business, aller à AdministrationAccès privilégiéFournisseurs, et cliquer sur Modifier sur votre fournisseur PAM.

  4. Sélectionner la section élévation de privilèges JAT dans le menu de gauche.

  5. Sélectionner le groupe d'utilisateurs identifié précédemment.

  6. Si vous souhaitez limiter l'accès JAT à des comptes spécifiques, cliquer sur Activer les ensembles de privilèges.

  7. Ajouter un préfixe au nom du groupe, tel que DVLS-JIT-.

  8. Sélectionner un emplacement pour les groupes temporaires à créer.

  9. Si vous avez plusieurs DC, configurer une latence de réplication pour s'assurer que le JAT a le temps de se répliquer entre tous les DC. Cliquer sur Sauvegarder.

Provisionnement Juste-à-Temps

  1. Ouvrir la console de l'utilisateur et des ordinateurs Active Directory (ADUC), faire un clic droit sur l'unité d'organisation (OU) contenant votre compte PAM, et sélectionner Déléguer le contrôle....

  2. Suivre l'assistant, et s'assurer de cocher l'autorisation Créer, supprimer, et gérer les comptes d'utilisateur lors de l'étape de délégation de tâche.

    Pour des raisons de moindres privilèges, créer une tâche personnalisée pour déléguer afin d'ajouter uniquement les autorisations minimales requises pour créer des utilisateurs dans AD.

  3. Dans Devolutions Server ou Devolutions Hub Business, aller à AdministrationAccès privilégiéFournisseurs, et cliquer sur Modifier sur votre fournisseur PAM.

  4. Ouvrir l'onglet élévation de privilège JAT, et sélectionner le groupe d'utilisateurs identifié précédemment.

  5. Choisir un emplacement pour créer les utilisateurs temporaires.

  6. Si vous avez plusieurs contrôleurs de domaine (DC), configurer la latence de réplication pour donner aux modifications JAT suffisamment de temps pour se répliquer sur tous les DC, et cliquer sur Sauvegarder.

  7. Dans votre PAM coffre, ajouter un nouvel utilisateur de domaine.

  8. Entrer le nom d'utilisateur pour le compte.

  9. Cocher la case Compte Just-In-Time (JAT), et cliquer sur Sauvegarder.

Devolutions Forum logo Partagez vos commentaires