Créer un fournisseur PAM Azure AD

Le guide suivant fournit les étapes pour créer un fournisseur PAM utilisateur Azure AD pour Devolutions Server.

Dans le Portail Azure

  1. Dans une page de navigateur, ouvrir le Portail Microsoft Azure AD et se connecter à votre compte.

  2. Sélectionner Microsoft Entra ID dans la section Services Azure. Si vous ne le voyez pas, cliquer sur Plus de services pour faire apparaître d'autres services.

Microsoft Entra ID
Microsoft Entra ID
  1. Dans Inscriptions d'applications, cliquer sur Nouvelle inscription.

App registrations – New registration
App registrations – New registration
  1. Définir le Nom de votre application.

  2. Cliquer sur Enregistrer en bas une fois terminé.

Set the Name and click Register
Set the Name and click Register

Dans Devolutions Server

  1. Connectez-vous à votre Devolutions Server.

  2. Aller à Administration – Accès Privilégié – Fournisseurs, puis cliquer sur Ajouter.

Administration – Privileged Access – Providers – Add
Administration – Privileged Access – Providers – Add
  1. Sélectionner Utilisateur Azure AD comme nouveau fournisseur de gestion des accès privilégiés, puis cliquer sur Continuer.

Add New PAM Provider – Azure AD User
Add New PAM Provider – Azure AD User
  1. Dans la fenêtre Fournisseur, entrer un Nom (obligatoire) et une Description (facultative) pour votre nouveau fournisseur PAM Azure AD. Si nécessaire, sélectionner un modèle de mot de passe dans la liste déroulante.

Name, Description, and Password template
Name, Description, and Password template

Dans le Portail Azure

  1. Dans l'Vue d'ensemble de votre nouvelle inscription d'application, copier l'ID du répertoire (locataire).

Copy the Directory (tenant) ID
Copy the Directory (tenant) ID

Dans Devolutions Server

  1. Coller l'ID copié à l'étape précédente dans le champ ID de locataire.

Tenant ID
Tenant ID

Dans le Portail Azure

  1. Toujours dans l'Aperçu de votre nouvel enregistrement d'application, copier l'ID d'application (client).

Copy the Application (client) ID
Copy the Application (client) ID

Dans Devolutions Server

  1. Coller l'ID copié à l'étape précédente dans le champ ID client.

Client ID
Client ID

Dans le Portail Azure

  1. Dans Certificats & secrets, cliquer sur Secrets clients, puis sur Nouveau secret client.

New client secret
New client secret
  1. Dans la fenêtre Ajouter un secret client, entrer une Description et sélectionner une date d'expiration pour ce secret client, conformément à vos meilleures pratiques de sécurité internes.

Add a client secret
Add a client secret
  1. Cliquer Ajouter.

  2. Copier la Valeur de ce nouveau secret client en cliquant sur l'icône Copier dans le presse-papiers à côté.

Copy the Client Secret Value
Copy the Client Secret Value

Dans Devolutions Server

  1. Coller la valeur copiée à l'étape précédente dans le champ Clé secrète.

Secret key
Secret key
  1. Tester la connexion pour voir si elle fonctionne, puis cliquer sur Enregistrer. La fenêtre Configuration du Scan apparaîtra : la maintenir ouverte car elle sera remplie à une étape ultérieure.

Dans le Portail Azure

Attribuer des permissions d'API comme décrit dans les étapes 20 à 26 est seulement utile si vous voulez effectuer une détection des comptes Azure (scan). Si ce n'est pas le cas, pour éviter d'attribuer des permissions inutiles à l'application, passez à l'étape 27.

  1. Dans Autorisations d'API, cliquer sur Ajouter une autorisation.

API permissions – Add a permission
API permissions – Add a permission
  1. Dans la fenêtre Demande d'autorisations API, sélectionner Microsoft Graph.

Microsoft Graph
Microsoft Graph
  1. Cliquer Permissions d'application, puis cocher les cases à côté des permissions API Microsoft Graph suivantes pour les sélectionner :

    • Group.Read.All

    • RoleManagement.Readwrite.Directory

    • User.Read.All

    Select API permissions
    Select API permissions

Utiliser la barre de filtre au-dessus de la liste des permissions pour trouver celles que vous recherchez.

  1. Lorsque toutes les autorisations ci-dessus ont été sélectionnées, cliquer sur Ajouter des autorisations en bas.

  2. La liste des autorisations sera mise à jour pour inclure celles qui viennent d'être sélectionnées. Retirer toutes les autres autorisations non nécessaires à l'aide du bouton des points de suspension à côté.

Remove Unnecessary Permissions
Remove Unnecessary Permissions
  1. Les autorisations nécessitent le consentement de l'administrateur. Cliquer sur le bouton Octroyer le consentement d'administrateur pour < Votre Organisation >, puis cliquer sur Oui pour confirmer.

Grant admin consent for your organization
Grant admin consent for your organization
  1. Pour confirmer que le consentement de l'administrateur a été accordé, vérifier le Statut de vos autorisations.

Granted Status
Granted Status
  1. Pour octroyer à l'application la capacité de faire tourner les mots de passe, quitter les Inscriptions d'applications pour revenir à Azure Active Directory, puis sélectionner Rôles et administrateurs dans le menu de gauche.

  2. Dans Tous les rôles, cliquer sur le rôle Administrateur du Helpdesk. Si les comptes gérés par le module de gestion des accès privilégiés sont membres de n'importe quel rôle ou groupe d'administrateurs – ou si la Gestion des Identités Privilégiées (PIM) est utilisée –, alors l'application a besoin du rôle Administrateur d'authentification privilégiée.

All roles – Helpdesk Administrator
All roles – Helpdesk Administrator
  1. Dans Affectations, cliquer sur le bouton Ajouter des affectations.

Helpdesk Administrator – Add assignments
Helpdesk Administrator – Add assignments
  1. Filtrer la liste pour trouver l'application Azure précédemment créée, la sélectionner, puis cliquer sur Ajouter.

Add assignments
Add assignments

Votre nouvelle affectation devrait maintenant s'afficher dans Affectations.

Dans Devolutions Server

  1. Les dernières étapes sont dédiées à configurer un scan pour ce fournisseur. Dans la fenêtre Configuration de scan qui est apparue lorsque vous avez enregistré la configuration de votre fournisseur à l'étape 19, sous Général, entrer un Nom pour cette configuration.

Scan Configuration Name
Scan Configuration Name
  1. Sous Configuration, sélectionner Groupes ou Rôles dans la liste déroulante Mode de recherche. Vous pouvez filtrer le Mode de recherche pour des groupes ou rôles Azure AD spécifiques en cliquant sur le bouton Modifier à côté de la liste déroulante.

Scan Configuration Search mode
Scan Configuration Search mode
  1. Cliquer sur OK lorsque la configuration est terminée.

  2. Dans Devolutions Server, aller à Administration – Accès Privilégié – Configurations de Scan. Si l'option Lancer le scan à la sauvegarde était laissée activée pendant la configuration du scan, celui-ci devrait avoir commencé de lui-même. Pendant le processus, la colonne Statut affiche une icône en forme de sablier à côté de l'entrée du scan.

Administration – Privileged Access – Scan Configurations
Administration – Privileged Access – Scan Configurations
  1. Lorsque le processus est terminé, l'icône de sablier change pour une coche verte. À ce moment, sélectionner des comptes et les importer dans les comptes privilégiés comme tout autre type de compte privilégié.

Devolutions Forum logo Donnez-nous vos commentaires