Sélectionner Azure Active Directory dans la section Services Azure. Si vous ne le voyez pas, cliquer sur Plus de services pour faire apparaître d'autres services.
Service Azure Active Directory
Dans Inscriptions d'applications, cliquer sur Nouvelle inscription.
Inscriptions d'applications – Nouvelle inscription
Définir le Nom de votre application.
Inscrire une application
Cliquer sur Inscrire en bas une fois terminé.
Dans Devolutions Server
Se connecter à votre Devolutions Server.
Aller à Administration – Accès privilégié – Fournisseurs, puis cliquer sur Ajouter.
Administration – Accès privilégié – Fournisseurs – Ajouter
Sélectionner Utilisateur Azure AD comme nouveau fournisseur PAM, puis cliquer sur Continuer.
Ajouter un nouveau fournisseur PAM – Utilisateur Azure AD
Dans la fenêtre Fournisseur, entrer un Nom (obligatoire) et une Description (facultative) pour votre nouveau fournisseur PAM Utilisateur Azure AD. Si besoin, sélectionner un Modèle de mot de passe dans la liste déroulante.
Nom, Description et Modèle de mot de passe
Dans le portail Azure
Dans l'Aperçu de votre nouvelle inscription d'application, copier l'ID de répertoire (locataire).
Copier l'ID de répertoire (locataire)
Dans Devolutions Server
Coller l'ID copié à l'étape précédente dans le champ ID de locataire.
ID de locataire
Dans le portail Azure
Toujours dans l'Aperçu de votre nouvelle inscription d'application, copier l'ID d'application (client).
Copier l'ID d'application (client)
Dans Devolutions Server
Coller l'ID copié à l'étape précédente dans le champ ID client.
ID client
Dans le portail Azure
Dans Certificats et secrets, cliquer sur Secrets client, puis sur Nouveau secret client.
Nouveau secret client
Dans la fenêtre Ajouter un secret client, entrer une Description et sélectionner une date d'expiration pour ce secret client, conformément à vos meilleures pratiques de sécurité internes.
Ajouter un secret client
Cliquer sur Ajouter.
Copier la Valeur de ce nouveau secret client en cliquant sur l'icône Copier dans le presse-papiers à côté.
Copier la valeur du secret client
Dans Devolutions Server
Coller la valeur copiée à l'étape précédente dans le champ Clé secrète.
Clé secrète
Tester la connexion pour voir si elle fonctionne, puis cliquer sur Sauvegarder. La fenêtre Configuration de l'analyse apparaîtra : la laisser ouverte car elle sera remplie lors d'une étape ultérieure.
Dans le portail Azure
L'attribution des autorisations API décrites aux étapes 20 à 26 n'est utile que si vous souhaitez effectuer la découverte de comptes Azure (analyse). Si ce n'est pas le cas, pour éviter d'attribuer des autorisations inutiles à l'application, passer à l'étape 27.
Dans Autorisations API, cliquer sur Ajouter une autorisation.
Autorisations API – Ajouter une autorisation
Dans la fenêtre Demander des autorisations API, sélectionner Microsoft Graph.
Microsoft Graph
Cliquer sur Autorisations d'application, puis cocher les cases à côté des autorisations API Microsoft Graph suivantes pour les sélectionner :
Group.Read.All
RoleManagement.Readwrite.Directory
User.Read.AllSélectionner les autorisations API
Utiliser la barre de filtre au-dessus de la liste des autorisations pour trouver celles que vous recherchez.
Une fois toutes les autorisations ci-dessus sélectionnées, cliquer sur Ajouter des autorisations en bas.
La liste des autorisations sera mise à jour pour inclure celles qui viennent d'être sélectionnées. Supprimer toute autre autorisation inutile en utilisant le bouton ellipsis à côté.
Supprimer les autorisations inutiles
Les autorisations nécessitent le consentement de l'administrateur. Cliquer sur le bouton Accorder le consentement admin pour < Votre Organisation >, puis cliquer sur Oui pour confirmer.
Accorder le consentement admin pour votre organisation
Pour confirmer que le consentement admin a été accordé, vérifier le Statut de vos autorisations.
Statut accordé
Pour donner à l'application la capacité de faire tourner les mots de passe, quitter les Inscriptions d'applications pour revenir à Azure Active Directory, puis sélectionner Rôles et administrateurs dans le menu de gauche.
Dans Tous les rôles, cliquer sur le rôle Administrateur d'assistance. Si les comptes gérés par le module PAM sont membres de rôles ou groupes administrateurs, alors l'application a besoin du rôle Administrateur d'authentification privilégiée.
Tous les rôles – Administrateur d'assistance
Dans Attributions, cliquer sur le bouton Ajouter des attributions.
Administrateur d'assistance – Ajouter des attributions
Filtrer la liste pour trouver l'application Azure précédemment créée, la sélectionner, puis cliquer sur Ajouter.
Ajouter des attributions
Votre nouvelle attribution devrait maintenant être affichée dans Attributions.
Dans Devolutions Server
Les dernières étapes sont dédiées à la configuration d'une analyse pour ce fournisseur. Dans la fenêtre Configuration de l'analyse apparue lors de la sauvegarde de votre configuration de fournisseur à l'étape 19, sous Général, entrer un Nom pour cette configuration.
Nom de la configuration de l'analyse
Sous Configuration, sélectionner Groupes ou Rôles dans la liste déroulante Mode de recherche. Vous pouvez filtrer le Mode de recherche pour des groupes ou rôles Azure AD spécifiques en cliquant sur le bouton Modifier à côté de la liste déroulante.
Mode de recherche de la configuration de l'analyse
Cliquer sur OK lorsque la configuration est terminée.
Dans Devolutions Server, aller à Administration – Accès privilégié – Configurations d'analyse. Si l'option Démarrer l'analyse à la sauvegarde a été laissée activée lors de la configuration de l'analyse, l'analyse devrait avoir démarré d'elle-même. Pendant le processus, la colonne Statut affiche une icône de sablier à côté de l'entrée d'analyse.
Administration – Accès privilégié – Configurations d'analyse
Lorsque le processus est terminé, l'icône de sablier change pour une coche verte. À ce moment-là, sélectionner les comptes et les importer dans les comptes privilégiés comme tout autre type de compte privilégié.
