Bonjour à tous, nouvel article aujourd'hui sur "Azure AD Privileged Identity Management".
"Azure AD Privileged Identity Management" est un service Azure permettant de gérer et contrôler l'accès aux ressources Azure (Azure AD, Office 365, Azure....).
L'objectif de "PIM" est donc de pouvoir déléguer avec affinités les accès (Accès configuration Teams, Exchange, Administration des licences....).
Grâce à "Azure AD Privileged Identity Management" nous allons donc pouvoir:
- Donner des accès temporels à des utilisateurs (accès à la demande).
- Remonter des alertes d'accès à des applications avec privilèges.
- Gérer l'attribution des rôles à haut privilèges dans Azure AD.
- Générer des rapports sur l'historique des droits attribués
Pour pouvoir utiliser "Azure AD Privileged Identity Management" il faudra acquérir les licences suivantes:
- Azure AD Premium P2
- Enterprise Mobility + Security (EMS) E5
Ci-dessous les options de licences à cocher pour les utilisateurs concernés par la délégation des droits.
Nous allons maintenant nous connecter sur la console "Azure AD" https://aad.portal.azure.com
Vous pouvez également vous connecter depuis le portail Azure directement https://portal.azure.com
Avant de pouvoir utiliser l'application "Azure AD Privileged Identity Management" il va falloir vérifier notre identité afin de sécuriser l'accès.
Une authentification "MFA" vous sera demandée
Nous validons le consentement "PIM" pour l'accès à l'application.
Nous avons maintenant totalement accès à notre console.
En allant dans la partie "Mes rôles" nous observons un message qui nous indique que nous devons inscrire "PIM" dans "Azure AD".
Il nous suffit de cliquer sur "s'inscrire".
On valide l’inscription.
Nous pouvons maintenant afficher tous les rôles dans "Azure AD".
Nous allons pouvoir nous déplacer dans la partie "Membres" pour attribuer à un utilisateur des droits à une application "office 365".
Cliquer sur "Ajouter un membre".
Sélectionner le rôle que vous souhaitez attribuer.
Sélectionner les membres "utilisateurs" ou "groupes".
Le groupe a correctement été ajouté.
Ci-dessous on peut constater que le groupe est en mode "Eligible".
Cela veut dire que les utilisateurs ont été affectés à un rôle "Azure AD" considéré comme éligible.
Dans la partie "Groupe", on peut constater une vue assez pratique qui classe les différents rôles avec les différents membres.
Dans la partie "historique d'audit" nous permet de voir tout l'historique des actions effectuées dans "PIM".
Dans "Rôles Azure AD" la partie "Paramètres" nous permet d'affiner la configuration des rôles.
Choisir le rôle que l'on souhaite modifier.
On va pouvoir par exemple modifier la durée d'activation par défaut du rôle.
Ci-dessus, nous avions pu voir l'attribution de l'accès à une application pour un utilisateur ou un groupe.
Une fois un rôle attribuer, l'utilisateur reçois la notification ci-dessous, pour qu'il puisse activer son accès.
L'utilisateur arrive sur le portail ci-dessous et va pouvoir "activer" le rôle qui lui a été attribué.
Cliquer à nouveau sur "Activer"
Vous avez l'obligation de mettre une description.
L'activation est maintenant correctement validée.
On peut également vérifier les rôles actifs pour l'utilisateur et sa durée d'utilisation.
Une notification sera également envoyée par mail aux administrateurs.
Dans cet article nous avons pu voir comment mettre en place "Azure AD Privileged Identity Management" pour pouvoir gérer, déléguer et contrôler l'accès aux différents rôles Azures.
Je vous souhaite une très bonne semaine.
A bientôt. 😏😊
Aucun commentaire:
Enregistrer un commentaire