Configurer Azure et Devolutions Server correctement pour utiliser l'authentification Microsoft en suivant les instructions ci-dessous.
Exigences
- Devolutions Server scheduler installé et en cours d'exécution
- Un abonnement Microsoft Azure AD
- Une application web Azure AD pour l'application web Devolutions Server et le cache
Création des applications Azure AD et configuration Microsoft de Devolutions Server
Pour simplifier les étapes de configuration et pour copier et coller facilement tous les paramètres requis, garder les pages web de Devolutions Server et du portail Azure ouvertes côte à côte tout au long du processus.
Dans Devolutions Server
- Se connecter à votre Devolutions Server et naviguer vers Administration – Paramètres du serveur – Authentification.
- Sous Modes d'authentification, s'assurer que Authentifier avec un utilisateur Microsoft est activé.
- Sous Configuration, cliquer sur Authentification Microsoft.
Dans le portail Azure
- Se connecter à votre portail Microsoft Azure en utilisant des identifiants d'administrateur.
- Une fois connecté, sélectionner Microsoft Entra ID dans la section des services Azure. Si vous ne le voyez pas, cliquer sur Plus de services pour faire apparaître d'autres services ou le rechercher dans la barre de recherche.
- Dans Propriétés, copier la valeur Tenant ID.
Dans Devolutions Server
-
Coller cette valeur dans le champ Tenant ID de la page de configuration Authentification Microsoft de Devolutions Server.
L'option Utiliser un client ID spécifique pour les utilisateurs et le cache des groupes d'utilisateurs ne doit être cochée que pour prendre en charge les configurations lors de la migration d'une version antérieure de Devolutions Server.
Dans le portail Azure
- Dans la section du menu Gérer, cliquer sur Inscriptions d'applications puis sur Nouvelle inscription.
- Entrer un nom significatif pour l'application. Ce nom ne sera pas utilisé en dehors du portail Azure.
- Définir quels Types de comptes pris en charge sont autorisés à se connecter. Généralement, sélectionner Comptes dans cet annuaire organisationnel uniquement est largement suffisant pour votre authentification Azure AD.
- Définir l'URI de redirection sur Web et entrer une URL valide, l'URL pour atteindre votre instance Devolutions Server, avec /api/external-provider-response à la fin.
- Cliquer sur Enregistrer.
- Cliquer sur Copier dans le presse-papiers à côté de Application (client) ID.
Dans Devolutions Server
- Coller l'Application (client) ID dans le champ Client ID.
Dans le portail Azure
- Dans la section Authentification, sous Flux implicite et hybrides, activer Jeton d'accès et Jeton ID.
- Cliquer sur Enregistrer.
- Dans la section Certificats & secrets, cliquer sur Nouveau secret client.
- Entrer une description et définir une date d'expiration.
- Cliquer sur Ajouter.
- Copier la Valeur. Assurez-vous de sauvegarder la Valeur dans un endroit sûr avant de passer à une autre page du portail Azure, car le bouton de copie ne sera plus disponible.
Dans Devolutions Server
- S'assurer que le paramètre Utiliser uniquement le TokenID pour l'authentification est désactivé. Ce paramètre ne doit être activé que si vous avez activé les jetons ID dans Azure, mais pas les jetons d'accès, pour des raisons de rétrocompatibilité.
- Coller la Valeur dans le champ Valeur du secret.
Dans le portail Azure
- Dans la section Permissions API, cliquer sur Ajouter une permission.
- Sélectionner Microsoft Graph.
- Sélectionner Permissions d'application.
- Sélectionner Group.Read.All sous la section Groupe et User.Read.All sous la section Utilisateur.
- Cliquer sur Ajouter des permissions.
- Cliquer sur les trois points à côté de la permission User.Read et la supprimer.
- Confirmer la suppression en cliquant sur Oui, supprimer puisque cette permission n'est pas requise pour l'application de synchronisation.
- Si le Statut des permissions User.Read.All et Group.Read.All est défini sur Non accordé, un administrateur doit donner son consentement. Si le compte utilisé pour créer l'application est déjà un administrateur dans Azure, cliquer sur Accorder le consentement d'administration pour <votre organisation>.
Dans Devolutions Server
- Cliquer sur Enregistrer.
Vous devriez maintenant être capable d'utiliser le bouton Microsoft sur l'interface web.
Après avoir activé l'authentification Microsoft, il peut falloir un certain temps pour que le cache se charge avant de pouvoir importer des utilisateurs et des groupes d'utilisateurs. Si le problème persiste, veuillez consulter Impossible d'importer des utilisateurs ou des groupes Azure AD pour le dépannage via la Console de Devolutions Server.
Suivant le processus de connexion, vous pourriez recevoir une invite pour autoriser l'application à lire les comptes utilisateurs et les groupes. Cocher la case Consentir au nom de votre organisation puis cliquer sur Accepter.