Dans cet article, je vous propose de découvrir et de mettre en place la fonctionnalité de Azure appelée Privileged Identity Management ou PIM.
Azure PIM est un outil qui vous permet de répondre à un besoin de contrôle des accès à forts privilèges au sein de votre infrastructure. Il vous permet de définir un processus dans lequel vos administrateurs disposeront désormais de privilèges admin de manière temporaire (Just In Time access) ainsi que pour le seul périmètre qui leur est nécessaire (Just Needed access).
Vous allez donc pouvoir définir des accès qui ne seront pas actifs en permanence. Ils seront limités dans le temps. Et surtout, un administrateur pourra faire une demande précise en fonction de ses besoins. Par exemple, il n’est pas nécessaire d’être Global Administrateur si le périmètre d’intervention concerne uniquement Exchange Online ou SharePoint Online.
Un autre intérêt de cette fonctionnalité, c’est la traçabilité. Puisqu’en effet toutes les informations liées à une demande d’élévation de privilèges seront archivées. L’administrateur devra expliqué pourquoi il a besoin de ce niveau d’accès via un commentaire. L’accès expirera après une certaine durée automatiquement. Et enfin, vous pouvez même améliorer votre workflow pour définir un scénario d’approbation pour chaque demande.
Maintenant que nous avons fait les présentations, je vous propose de voir ensemble comment activer et utiliser cette fonctionnalité. Dans mon cas, je dispose d’un tenant Office 365 et d’un certain nombres de services hébergés sur Azure. 🙂
Avant toute chose, sachez que vous devez posséder des licences de type Azure AD Premium P2 ou équivalent EMS E5 pour avoir accès à la fonctionnalité de Azure PIM.
Par défaut, tous les comptes que vous utilisez avec Azure PIM doivent être sécurisés avec Azure MFA. Les comptes doivent donc être enrollés avec un numéro de téléphone portable. Si ce n’est pas le cas, vous serez invité à le faire.
Une fois que c’est fait, vous devrez activer Azure PIM en réalisant les 2 actions ci-dessous :
Une fois que c’est bon, la fonctionnalité est active et peut être utilisée.
Avec les différentes versions du portail Azure, PIM a récemment été déplacé. Pour accéder à cette fonctionnalité : rendez-vous dans Azure Active Directory, puis Identity Governance et enfin Privileged Identity Management via le bouton Manage role assignments.
Cliquez sur le bouton Manage pour créer un nouvel administrateur. Dans la section Roles, vous allez voir tous les accès pour lesquels vous pouvez créer un nouvel administrateur PIM.
Ici, vous allez pouvoir définir vos différents administrateurs ainsi que leurs permissions. Dès lors que vous utilisez Azure PIM, vous aurez 3 choix possibles :
Dans mon scénario, j’ai choisi de créer un accès de type SharePoint Service Administrator. Cliquez donc sur ce rôle puis sur Add member pour définir les administrateurs de ce rôle.
Vous allez maintenant pouvoir créer un Assignment c’est-à-dire créer un privilège pour l’un de vos administrateurs. Par défaut, un Assignment est valide pour une durée de 3 mois – période pendant laquelle l’utilisateur pourra faire des élévations de privilèges. Vous pouvez modifier cette durée.
Concernant le type d’assignment, vous pouvez choisir Active ou Eligible. Nous allons choisir la seconde d’option.
Note accès est à présent créé. Il nous reste à faire un tour d’horizon des fonctionnalités avancées en cliquant sur le bouton Settings tout en haut.
Pour l’exemple, j’ai choisi de personnaliser un peu quelques réglages et notamment :
Il ne s’agit là que d’exemples de configuration. A vous d’adapter en fonction de vos besoins. 😉
Mon compte de test peut désormais faire une demande d’élévation de privilèges pour devenir temporairement SharePoint Service Administrator. Pour ce faire, dans les options de PIM, My Roles puis Azure AD roles cliquez sur le bouton Activate.
L’utilisateur devra alors indiquer un message pour expliquer pour quelle(s) raison(s) il a besoin de cet accès ainsi qu’une durée pendant laquelle cela sera actif.
Dans mon scénario, on voit que j’ai activé un scénario d’approbation. L’élévation de privilèges doit donc être approuvée avant d’être active.
Il ne reste désormais plus qu’à approuver la demande de cet utilisateur. Pour ce faire, je retourne sur le compte qui doit statuer sur cette demande.
En allant dans Identity Governance, Privileged Identity Management puis Approve Requests, je vais pouvoir approuver ou refuser la demande.
Cliquez sur l’unique ligne et vous allez pouvoir approuver ou refuser la demande tout en ajoutant une justification. 😉
Vous pouvez maintenant vérifier que votre compte de test dispose bien d’un privilège de type SharePoint Service Administrator. L’accès sera automatiquement désactivé d’ici 2 heures.
Si j’ai terminé avant, je peux désactiver mon privilège ou bien l’étendre pour une durée plus importante. 😉
Evidemment l’intérêt de cette fonctionnalité c’est également de pouvoir tracer et mémoriser toute demande avec les commentaires et les justifications.
Vous allez vous en rendre compte il y a beaucoup de possibilités et cela vous permettra sans aucun doute d’apporter une certaine hygiène et traçabilité dans l’utilisation de vos comptes administrateurs. 🙂
Plus d’infos sur Azure PIM via le TechNet :
Pour info, l’alternative On-Prem à Azure PIM correspond à déployer la solution MIM (Microsoft Identity Management) avec l’ajout de PAM (Privileged Access Management).
Aperçu de la nouvelle version à venir de Microsoft Outlook - Source Microsoft Microsoft prévoit…
Jacquie et Michel : le géant français du X racheté par des Américains Le célèbre…
Sora : Le Nouvel Outil Révolutionnaire de ChatGPT pour Créer des Vidéos avec l’IA OpenAI…
Nouveautés dans la recherche sur Google : Résultats non personnalisés Google introduit une nouvelle fonctionnalité…
Câble sous-marin - Image d'illustration Meta, la société mère de Facebook, Instagram et WhatsApp, envisage…
Google Maps : une révolution attendue dans le signalement d'incidents routiers Depuis plusieurs années, les…
