Le guide suivant fournit les étapes pour créer un fournisseur PAM utilisateur Azure AD pour Devolutions Server.
Dans une page de navigateur, ouvrir le Portail Microsoft Azure AD et se connecter à votre compte.
Sélectionner Microsoft Entra ID dans la section Services Azure. Si vous ne le voyez pas, cliquer sur Plus de services pour faire apparaître d'autres services.
Dans Inscriptions d'applications, cliquer sur Nouvelle inscription.
Définir le Nom de votre application.
Cliquer sur Enregistrer en bas une fois terminé.
Connectez-vous à votre Devolutions Server.
Aller à Administration – Accès Privilégié – Fournisseurs, puis cliquer sur Ajouter.
Sélectionner Utilisateur Azure AD comme nouveau fournisseur de gestion des accès privilégiés, puis cliquer sur Continuer.
Dans la fenêtre Fournisseur, entrer un Nom (obligatoire) et une Description (facultative) pour votre nouveau fournisseur PAM Azure AD. Si nécessaire, sélectionner un modèle de mot de passe dans la liste déroulante.
Dans l'Vue d'ensemble de votre nouvelle inscription d'application, copier l'ID du répertoire (locataire).
Coller l'ID copié à l'étape précédente dans le champ ID de locataire.
Toujours dans l'Aperçu de votre nouvel enregistrement d'application, copier l'ID d'application (client).
Coller l'ID copié à l'étape précédente dans le champ ID client.
Dans Certificats & secrets, cliquer sur Secrets clients, puis sur Nouveau secret client.
Dans la fenêtre Ajouter un secret client, entrer une Description et sélectionner une date d'expiration pour ce secret client, conformément à vos meilleures pratiques de sécurité internes.
Cliquer Ajouter.
Copier la Valeur de ce nouveau secret client en cliquant sur l'icône Copier dans le presse-papiers à côté.
Coller la valeur copiée à l'étape précédente dans le champ Clé secrète.
Tester la connexion pour voir si elle fonctionne, puis cliquer sur Enregistrer. La fenêtre Configuration du Scan apparaîtra : la maintenir ouverte car elle sera remplie à une étape ultérieure.
Attribuer des permissions d'API comme décrit dans les étapes 20 à 26 est seulement utile si vous voulez effectuer une détection des comptes Azure (scan). Si ce n'est pas le cas, pour éviter d'attribuer des permissions inutiles à l'application, passez à l'étape 27.
Dans Autorisations d'API, cliquer sur Ajouter une autorisation.
Dans la fenêtre Demande d'autorisations API, sélectionner Microsoft Graph.
-
Cliquer Permissions d'application, puis cocher les cases à côté des permissions API Microsoft Graph suivantes pour les sélectionner :
Group.Read.All
RoleManagement.Readwrite.Directory
User.Read.All
Utiliser la barre de filtre au-dessus de la liste des permissions pour trouver celles que vous recherchez.
Lorsque toutes les autorisations ci-dessus ont été sélectionnées, cliquer sur Ajouter des autorisations en bas.
La liste des autorisations sera mise à jour pour inclure celles qui viennent d'être sélectionnées. Retirer toutes les autres autorisations non nécessaires à l'aide du bouton des points de suspension à côté.
Les autorisations nécessitent le consentement de l'administrateur. Cliquer sur le bouton Octroyer le consentement d'administrateur pour < Votre Organisation >, puis cliquer sur Oui pour confirmer.
Pour confirmer que le consentement de l'administrateur a été accordé, vérifier le Statut de vos autorisations.
Pour octroyer à l'application la capacité de faire tourner les mots de passe, quitter les Inscriptions d'applications pour revenir à Azure Active Directory, puis sélectionner Rôles et administrateurs dans le menu de gauche.
Dans Tous les rôles, cliquer sur le rôle Administrateur du Helpdesk. Si les comptes gérés par le module de gestion des accès privilégiés sont membres de n'importe quel rôle ou groupe d'administrateurs – ou si la Gestion des Identités Privilégiées (PIM) est utilisée –, alors l'application a besoin du rôle Administrateur d'authentification privilégiée.
Dans Affectations, cliquer sur le bouton Ajouter des affectations.
Filtrer la liste pour trouver l'application Azure précédemment créée, la sélectionner, puis cliquer sur Ajouter.
Votre nouvelle affectation devrait maintenant s'afficher dans Affectations.
Les dernières étapes sont dédiées à configurer un scan pour ce fournisseur. Dans la fenêtre Configuration de scan qui est apparue lorsque vous avez enregistré la configuration de votre fournisseur à l'étape 19, sous Général, entrer un Nom pour cette configuration.
Sous Configuration, sélectionner Groupes ou Rôles dans la liste déroulante Mode de recherche. Vous pouvez filtrer le Mode de recherche pour des groupes ou rôles Azure AD spécifiques en cliquant sur le bouton Modifier à côté de la liste déroulante.
Cliquer sur OK lorsque la configuration est terminée.
Dans Devolutions Server, aller à Administration – Accès Privilégié – Configurations de Scan. Si l'option Lancer le scan à la sauvegarde était laissée activée pendant la configuration du scan, celui-ci devrait avoir commencé de lui-même. Pendant le processus, la colonne Statut affiche une icône en forme de sablier à côté de l'entrée du scan.
Lorsque le processus est terminé, l'icône de sablier change pour une coche verte. À ce moment, sélectionner des comptes et les importer dans les comptes privilégiés comme tout autre type de compte privilégié.