Configurer correctement Microsoft Entra ID et Devolutions Server pour utiliser l'authentification Microsoft en suivant les instructions ci-dessous.
Devolutions Server prend en charge deux modes d’authentification pour la connexion Microsoft : Autorisations d’application (par défaut recommandé) et Autorisations déléguées (pour les locataires où les autorisations d’application sont bloquées par politique).
| Fonctionnalité | Application | Délégué |
|---|---|---|
| Agit comme | L'appli | Un utilisateur (compte de service) |
| URI de redirection | Non requis | Requis |
| Consentement administrateur | Requis | Requis pour les portées *.All |
| Authentification de connexion | Oui | Oui |
| PAM | Oui | Non, utiliser Application |
| Courriel Microsoft 365 | Oui | Non, utiliser Application |
| Créer automatiquement des utilisateurs | Oui | Oui |
Planificateur Devolutions Server installé et en cours d'exécution
Un abonnement Microsoft Entra ID
Une application web Entra ID pour l'application web Devolutions Server et le cache
Pour simplifier les étapes de configuration et pour facilement copier-coller tous les paramètres requis, garder les pages Web de Devolutions Server et du Portail Azure ouvertes côte à côte tout au long du processus.
Se connecter à votre Devolutions Server et naviguer vers Administration – Paramètres serveur – Authentification.
Sous Modes d'authentification, s'assurer que S’authentifier avec utilisateur Microsoft est activé.
Sous Configuration, cliquer sur authentification Microsoft.
Dans la liste déroulante Mode d’authentification, sélectionner le modèle d’autorisations pour votre environnement : \n
Autorisations d’application (par défaut recommandé) : Devolutions Server s’authentifie lui-même comme appli via les informations d’identification client.
Autorisations déléguées : Devolutions Server se fait passer pour un utilisateur de compte de service pour effectuer des appels Microsoft Graph. Utiliser ce mode uniquement si la stratégie de votre locataire bloque les autorisations d’application.
Se connecter à votre Microsoft Azure Portal en utilisant des informations d'identification d'administration.
Une fois connecté, sélectionner Microsoft Entra ID dans la section des services Azure. Si vous ne le voyez pas, cliquer sur Plus de services pour faire apparaître d'autres services ou le rechercher dans la barre de recherche.
Sur la page Vue d'ensemble, trouver l'ID de locataire dans la section Informations de base, puis cliquer sur l'icône de copie à côté.
Coller cette valeur dans le champ ID de locataire de la page de configuration Authentification Microsoft.
-
Dans le volet de navigation gauche, sélectionner Inscriptions d’appli.
-
Cliquer sur + Nouvelle inscription.
-
Saisir un nom significatif pour l'application. Ce nom ne sera pas utilisé en dehors du Portail Azure.
-
Définir quels types de comptes pris en charge sont autorisés à se connecter. Habituellement, sélectionner locataire unique uniquement est suffisant pour votre authentification Entra ID.
-
Définir l’URI de redirection selon votre mode d’authentification :
-
Application : Définir sur Web et saisir l’URL de votre instance Devolutions Server avec
/api/external-provider-responseajouté à la fin. Aucune configuration supplémentaire de l’URI de redirection n’est requise. -
Déléguées : Définir sur Web et saisir l’URL de votre instance Devolutions Server en utilisant le modèle suivant :
https://<your-dvls-host>/<instance-path>/api/configuration/authentication/azure/connect-callbackExemple pour une instance locale sur
/dps:http://localhost/dps/api/configuration/authentication/azure/connect-callbackPuis, dans l'enregistrement de votre appli, aller à Authentification – Configuration de l’URI de redirection – + Ajouter un URI de redirection – Web, saisir l'URI de redirection, et cliquer sur Configurer.
-
-
Sur la page Vue d'ensemble de l’inscription d’appli, trouver l'ID de l’application (client) dans la section Essentiels et cliquer sur l’icône de copie à côté.
Coller l'ID d'application (client) dans le champ ID client.
Sélectionner l’enregistrement d’appli que vous venez de créer. Dans la section Certificats et secrets, cliquer sur + Nouveau secret client.
Entrer une description et définir une date d'expiration.
Cliquer sur Ajouter.
Copier la valeur. Veiller à l’enregistrer dans un endroit sûr avant de changer de page du portail Azure, car le bouton de copie ne sera plus disponible.
Coller la Valeur dans le champ valeur secrète.
Dans la liste déroulante Type d’interaction utilisateur à la connexion, définir le comportement d’invite de connexion Entra ID : \n
Sélectionner un compte (
select_account) : affiche toujours le sélecteur de compte, même si l’utilisateur a déjà une session active.Laisser la valeur par défaut pour la connexion silencieuse lorsqu’une session valide existe déjà.
-
Sélectionner l’enregistrement d’appli que vous venez de créer.
-
Dans la section Autorisations d'API, cliquer sur + Ajouter une autorisation.
-
Sélectionner Microsoft Graph.
-
Sélectionner le type d’autorisation API et ajouter les autorisations selon votre mode d’authentification :
Mode Autorisations API Autorisations d’application User.Read.All,Group.Read.All(type Application) — consentement d’administrateur requisAutorisations déléguées User.Read(type délégué, consentement utilisateur possible) plusUser.Read.All,Group.Read.All(type délégué) pour lire l’annuaire — consentement administrateur requis pour*.All -
Cliquer sur Ajouter des autorisations.
Selon la configuration de votre locataire, l’une des issues suivantes aura lieu après consentement :
| Scénario | Résultat |
|---|---|
| L'administrateur accorde un consentement à l’échelle du locataire dans le portail | Silencieux — tous les utilisateurs couverts, aucune fenêtre contextuelle |
| L’administrateur n’accorde pas le consentement + le compte de service possède les rôles Administrateur des utilisateurs et Administrateur des groupes | Lors de la première connexion, une fenêtre contextuelle de consentement s’affiche ; le compte de service peut se consentir lui-même |
| L’administrateur ne donne pas son consentement + le compte de service ne peut pas se consentir lui-même | Connexion bloquée avec AADSTS65001 |
Uniquement pour le mode autorisations déléguées, dans le champ Courriel du compte de service, saisir l’UPN du compte utilisateur que Devolutions Server va usurper pour les appels Microsoft Graph (par exemple,
svc-dvls@contoso.com).Uniquement pour le mode autorisations déléguées, cliquer sur Se connecter à Microsoft. Une fenêtre OAuth s’ouvre. Se connecter avec le compte de service pour le lier à Devolutions Server. Une fois le flux OAuth complété avec succès, le statut Connecté affiche l’UPN du compte de service lié.
Uniquement pour le mode autorisations déléguées, cliquer sur Tester la connexion pour exécuter un appel API Graph délégué et vérifier que le jeton du compte de service fonctionne correctement.
Pour révoquer le jeton mis en cache et supprimer à tout moment le lien avec le compte de service, cliquer sur Déconnecter. Faire cela avant de modifier le compte de service ou de faire pivoter les identifiants.
Faire tourner le secret client ou modifier la configuration du locataire invalide automatiquement le jeton délégué mis en cache. Lorsqu’un mot de passe de compte de service est modifié ou qu’une session est révoquée, un administrateur doit se reconnecter via Administration – Paramètres du serveur – Authentification – Authentification Microsoft ; le reste de la configuration est conservé.
Cliquer sur Enregistrer.
Vous devriez désormais pouvoir utiliser le bouton Microsoft sur l’interface Web.
Connexion uniquement : la gestion des accès privilégiés (PAM) et l’intégration du courriel Microsoft 365 nécessitent des autorisations d'application. Si vous utilisez ces fonctionnalités, conserver le mode Application ou exécuter une configuration hybride avec des enregistrements d’applis distincts.
Lectures d’annuaire sur l’ensemble du locataire :
User.Read.AlletGroup.Read.Allsont des étendues à l’échelle du locataire. Entra ID ne possède pas de sous-étendue native pour OAuth. Pour restreindre les utilisateurs que Devolutions Server peut créer automatiquement, utiliser l’option de restriction de création automatique par groupe dans Devolutions Server.Dépendance au compte de service : le mode délégué lie Devolutions Server à l'identité d’un seul compte de service. Si le compte de service est désactivé, le mot de passe modifié ou sa session révoquée, un administrateur doit se reconnecter via Administration – Paramètres serveur – Authentification – Authentification Microsoft.
Partagez vos commentaires