Dans cet article, je vous propose de découvrir et de mettre en place la fonctionnalité de Azure appelée Privileged Identity Management ou PIM.
Présentation de Azure PIM – Privilege Identity Management
Azure PIM est un outil qui vous permet de répondre à un besoin de contrôle des accès à forts privilèges au sein de votre infrastructure. Il vous permet de définir un processus dans lequel vos administrateurs disposeront désormais de privilèges admin de manière temporaire (Just In Time access) ainsi que pour le seul périmètre qui leur est nécessaire (Just Needed access).
Vous allez donc pouvoir définir des accès qui ne seront pas actifs en permanence. Ils seront limités dans le temps. Et surtout, un administrateur pourra faire une demande précise en fonction de ses besoins. Par exemple, il n’est pas nécessaire d’être Global Administrateur si le périmètre d’intervention concerne uniquement Exchange Online ou SharePoint Online.
Un autre intérêt de cette fonctionnalité, c’est la traçabilité. Puisqu’en effet toutes les informations liées à une demande d’élévation de privilèges seront archivées. L’administrateur devra expliqué pourquoi il a besoin de ce niveau d’accès via un commentaire. L’accès expirera après une certaine durée automatiquement. Et enfin, vous pouvez même améliorer votre workflow pour définir un scénario d’approbation pour chaque demande.
Maintenant que nous avons fait les présentations, je vous propose de voir ensemble comment activer et utiliser cette fonctionnalité. Dans mon cas, je dispose d’un tenant Office 365 et d’un certain nombres de services hébergés sur Azure. 🙂
Etape 1 : Activation de Azure PIM
Avant toute chose, sachez que vous devez posséder des licences de type Azure AD Premium P2 ou équivalent EMS E5 pour avoir accès à la fonctionnalité de Azure PIM.
Par défaut, tous les comptes que vous utilisez avec Azure PIM doivent être sécurisés avec Azure MFA. Les comptes doivent donc être enrollés avec un numéro de téléphone portable. Si ce n’est pas le cas, vous serez invité à le faire.
Une fois que c’est fait, vous devrez activer Azure PIM en réalisant les 2 actions ci-dessous :
- Vous devrez suivre le processus « Consent to PIM » ou « Onboard« .
- Vous devrez également cliquez sur « Sign up« .
Une fois que c’est bon, la fonctionnalité est active et peut être utilisée.
Etape 2 : Création d’un accès
Avec les différentes versions du portail Azure, PIM a récemment été déplacé. Pour accéder à cette fonctionnalité : rendez-vous dans Azure Active Directory, puis Identity Governance et enfin Privileged Identity Management via le bouton Manage role assignments.
Cliquez sur le bouton Manage pour créer un nouvel administrateur. Dans la section Roles, vous allez voir tous les accès pour lesquels vous pouvez créer un nouvel administrateur PIM.
Ici, vous allez pouvoir définir vos différents administrateurs ainsi que leurs permissions. Dès lors que vous utilisez Azure PIM, vous aurez 3 choix possibles :
- Permanent : c’est le format classique et ce que l’on souhaite éviter. Il s’agit d’un compte administrateur qui dispose de ses privilèges de manière permanente.
- Eligible : c’est l’option vers laquelle on souhaite aller. Un administrateur qui dispose d’un privilège qui peut être activé sur demande (en respectant le workflow).
- Active : un accès activé et en cours d’utilisation.
Dans mon scénario, j’ai choisi de créer un accès de type SharePoint Service Administrator. Cliquez donc sur ce rôle puis sur Add member pour définir les administrateurs de ce rôle.
Vous allez maintenant pouvoir créer un Assignment c’est-à-dire créer un privilège pour l’un de vos administrateurs. Par défaut, un Assignment est valide pour une durée de 3 mois – période pendant laquelle l’utilisateur pourra faire des élévations de privilèges. Vous pouvez modifier cette durée.
Concernant le type d’assignment, vous pouvez choisir Active ou Eligible. Nous allons choisir la seconde d’option.
Note accès est à présent créé. Il nous reste à faire un tour d’horizon des fonctionnalités avancées en cliquant sur le bouton Settings tout en haut.
Pour l’exemple, j’ai choisi de personnaliser un peu quelques réglages et notamment :
- L’activation du rôle n’est possible que pour une durée maximum de 4 heures ;
- Azure MFA sera nécessaire ;
- Une approbation sera nécessaire et c’est un autre administrateur qui pourra approuver ou refuser les demandes pour SharePoint Service Administrator ;
- Il sera impossible de convertir cet accès en accès permanent.
Il ne s’agit là que d’exemples de configuration. A vous d’adapter en fonction de vos besoins. 😉
Etape 3 : Demander une élévation de privilèges (SharePoint Service Administrator)
Mon compte de test peut désormais faire une demande d’élévation de privilèges pour devenir temporairement SharePoint Service Administrator. Pour ce faire, dans les options de PIM, My Roles puis Azure AD roles cliquez sur le bouton Activate.
L’utilisateur devra alors indiquer un message pour expliquer pour quelle(s) raison(s) il a besoin de cet accès ainsi qu’une durée pendant laquelle cela sera actif.
Dans mon scénario, on voit que j’ai activé un scénario d’approbation. L’élévation de privilèges doit donc être approuvée avant d’être active.
Etape 4 : Approbation par un responsable
Il ne reste désormais plus qu’à approuver la demande de cet utilisateur. Pour ce faire, je retourne sur le compte qui doit statuer sur cette demande.
En allant dans Identity Governance, Privileged Identity Management puis Approve Requests, je vais pouvoir approuver ou refuser la demande.
Cliquez sur l’unique ligne et vous allez pouvoir approuver ou refuser la demande tout en ajoutant une justification. 😉
Etape 5 : Utilisation de l’accès
Vous pouvez maintenant vérifier que votre compte de test dispose bien d’un privilège de type SharePoint Service Administrator. L’accès sera automatiquement désactivé d’ici 2 heures.
Si j’ai terminé avant, je peux désactiver mon privilège ou bien l’étendre pour une durée plus importante. 😉
Evidemment l’intérêt de cette fonctionnalité c’est également de pouvoir tracer et mémoriser toute demande avec les commentaires et les justifications.
Vous allez vous en rendre compte il y a beaucoup de possibilités et cela vous permettra sans aucun doute d’apporter une certaine hygiène et traçabilité dans l’utilisation de vos comptes administrateurs. 🙂
Plus d’infos
Plus d’infos sur Azure PIM via le TechNet :
Pour info, l’alternative On-Prem à Azure PIM correspond à déployer la solution MIM (Microsoft Identity Management) avec l’ajout de PAM (Privileged Access Management).
