Sélectionner Microsoft Entra ID dans la section Services Azure. Si vous ne le voyez pas, cliquer sur Plus de services pour faire apparaître d'autres services. Microsoft Entra ID
Dans Enregistrements d'applications, cliquer sur Nouvel enregistrement. App registrations – New registration
Définir le Nom de votre application.
Cliquer sur Enregistrer en bas lorsque c'est fait. Set the Name and click Register
Dans Devolutions Server
Se connecter à votre Devolutions Server.
Aller à Administration – Accès Privilégié – Fournisseurs, puis cliquer sur Ajouter. Administration – Privileged Access – Providers – Add
Sélectionner Utilisateur Azure AD comme nouveau fournisseur PAM, puis cliquer sur Continuer. Add New PAM Provider – Azure AD User
Dans la fenêtre Fournisseur, entrer un Nom (obligatoire) et une Description (optionnelle) pour votre nouveau fournisseur PAM Utilisateur Azure AD. Si besoin, sélectionner un Modèle de mot de passe dans la liste déroulante. Name, Description, and Password template
Dans le portail Azure
Dans l'Aperçu de votre nouvel enregistrement d'application, copier l'ID de répertoire (locataire). Copy the Directory (tenant) ID
Dans Devolutions Server
Coller l'ID copié à l'étape précédente dans le champ ID de locataire. Tenant ID
Dans le portail Azure
Toujours dans l'Aperçu de votre nouvel enregistrement d'application, copier l'ID d'application (client). Copy the Application (client) ID
Dans Devolutions Server
Coller l'ID copié à l'étape précédente dans le champ ID client. Client ID
Dans le portail Azure
Dans Certificats et secrets, cliquer sur Secrets client, puis sur Nouveau secret client. New client secret
Dans la fenêtre Ajouter un secret client, entrer une Description et sélectionner une date d'expiration pour ce secret client, selon vos meilleures pratiques de sécurité internes. Add a client secret
Cliquer sur Ajouter.
Copier la Valeur de ce nouveau secret client en cliquant sur l'icône Copier dans le presse-papiers à côté. Copy the Client Secret Value
Dans Devolutions Server
Coller la valeur copiée à l'étape précédente dans le champ Clé secrète. Secret key
Tester la connexion pour voir si elle fonctionne, puis cliquer sur Enregistrer. La fenêtre Configuration de l'analyse apparaîtra : la garder ouverte car elle sera remplie à une étape ultérieure.
Dans le portail Azure
Attribuer des autorisations API comme décrit dans les étapes 20 à 26 n'est utile que si vous souhaitez effectuer une détection de comptes Azure (analyse). Si ce n'est pas le cas, pour éviter d'attribuer des autorisations inutiles à l'application, passer à l'étape 27.
Dans Autorisations API, cliquer sur Ajouter une autorisation. API permissions – Add a permission
Dans la fenêtre Demande d'autorisations API, sélectionner Microsoft Graph. Microsoft Graph
Cliquer sur Autorisations d'application, puis cocher les cases à côté des autorisations API Microsoft Graph suivantes pour les sélectionner :
Group.Read.All
RoleManagement.Readwrite.Directory
User.Read.AllSelect API permissions
Utiliser la barre de filtre au-dessus de la liste des autorisations pour trouver celles que vous recherchez.
Lorsque toutes les autorisations ci-dessus ont été sélectionnées, cliquer sur Ajouter des autorisations en bas.
La liste des autorisations sera mise à jour pour inclure celles qui viennent d'être sélectionnées. Supprimer toutes les autres autorisations inutiles en utilisant le bouton à points de suspension à côté. Remove Unnecessary Permissions
Les autorisations nécessitent un consentement administrateur. Cliquer sur le bouton Octroyer le consentement administrateur pour < Votre Organisation >, puis cliquer sur Oui pour confirmer. Grant admin consent for your organization
Pour confirmer que le consentement administrateur a été octroyé, vérifier le Statut de vos autorisations. Granted Status
Pour octroyer à l'application la capacité de faire tourner les mots de passe, quitter les Enregistrements d'applications pour revenir à Azure Active Directory, puis sélectionner Rôles et administrateurs dans le menu de gauche.
Dans Tous les rôles, cliquer sur le rôle Administrateur du service d'assistance. Si les comptes gérés par le module PAM sont membres de n'importe quel rôle ou groupe d'administrateur, alors l'application a besoin du rôle Administrateur d'authentification privilégiée. All roles – Helpdesk Administrator
Dans Affectations, cliquer sur le bouton Ajouter des affectations. Helpdesk Administrator – Add assignments
Filtrer la liste pour trouver l'application Azure précédemment créée, la sélectionner, puis cliquer sur Ajouter. Add assignments Votre nouvelle affectation devrait maintenant être affichée dans Affectations.
Dans Devolutions Server
Les dernières étapes sont dédiées à la configuration d'une analyse pour ce fournisseur. Dans la fenêtre Configuration de l'analyse qui est apparue lorsque vous avez enregistré votre configuration de fournisseur à l'étape 19, sous Général, entrer un Nom pour cette configuration. Scan Configuration Name
Sous Configuration, sélectionner Groupes ou Rôles dans la liste déroulante Mode de recherche. Vous pouvez filtrer le Mode de recherche pour des groupes ou rôles Azure AD spécifiques en cliquant sur le bouton Modifier à côté de la liste déroulante. Scan Configuration Search mode
Cliquer sur OK lorsque la configuration est terminée.
Dans Devolutions Server, aller à Administration – Accès Privilégié – Configurations d'analyse. Si l'option Démarrer l'analyse à l'enregistrement a été laissée activée pendant la configuration de l'analyse, l'analyse devrait avoir commencé d'elle-même. Pendant le processus, la colonne Statut affiche une icône de sablier à côté de l'entrée de l'analyse. Administration – Privileged Access – Scan Configurations
Lorsque le processus est terminé, l'icône de sablier change en une coche verte. À ce moment-là, sélectionner des comptes et les importer dans les comptes privilégiés comme tout autre type de compte privilégié.
Donnez-nous vos commentaires