Étape 7 – Élever l'accès d'un utilisateur
Cette étape permet de montrer qu’un utilisateur peut demander l’accès à un rôle par le biais de MIM.
Vérifier que Jen ne peut pas accéder à la ressource privilégiée
Sans privilèges élevés, Jen ne peut pas accéder à la ressource privilégiée dans la forêt CORP.
- Déconnectez-vous de CORPWKSTN pour supprimer toute connexion ouverte mise en cache.
- Connectez-vous à CORPWKSTN en tant que CONTOSO\Jen, puis basculez vers la vue Bureau.
- Ouvrez une invite de commandes DOS.
- Tapez la commande
dir \\corpwkstn\corpfs. Le message d’erreur Accès refusé doit s’afficher. - Laissez la fenêtre d'invite de commandes ouverte.
Demandez un accès privilégié à partir de MIM.
Notes
Il est recommandé d’utiliser une station de travail de type privilégié (PAW). Pour plus d’informations, consultez sécurisation des appareils.
Sur PRIVWKSTN, ouvrez une session en tant que PRIV\priv.jen.
Cliquez sur Démarrer, Exécuter, puis entrez PowerShell.exe.
Tapez la commande suivante.
runas /user:Priv.Jen@priv.contoso.local powershellÀ l’invite, tapez le mot de passe du compte PRIV.Jen. Une nouvelle fenêtre d'invite de commandes s'affiche.
Quand la fenêtre PowerShell apparaît, tapez les commandes suivantes.
Notes
Une fois ces commandes exécutées, toutes les étapes suivantes ont une durée limitée.
Import-module MIMPAM $r = Get-PAMRoleForRequest | ? { $_.DisplayName –eq "CorpAdmins" } New-PAMRequest –role $r klist purgeÀ la fin de l’opération, fermez la fenêtre PowerShell.
Dans la fenêtre de commandes DOS, tapez la commande suivante
runas /user:Priv.Jen@priv.contoso.local powershellTapez le mot de passe du compte PRIV.Jen. Une nouvelle fenêtre d'invite de commandes s'affiche.
Validez l'accès avec élévation de privilèges.
Dans la fenêtre récemment ouverte, tapez les commandes suivantes :
whoami /groups
dir \\corpwkstn\corpfs
Si la commande dir échoue avec le message d’erreur l' accès est refusé, revérifiez la relation d’approbation.
Activer le rôle privilégié
Procédez à l’activation en demandant un accès privilégié via l’exemple de portail PAM.
Sur CORPWKSTN, vérifiez que vous êtes connecté en tant que CORP\Jen.
Tapez la commande suivante dans une fenêtre de commandes DOS.
runas /user:Priv.Jen@priv.contoso.local "c:\program files\Internet Explorer\iexplore.exe"À l’invite, tapez le mot de passe du compte PRIV.Jen. Une nouvelle fenêtre du navigateur web s'affiche.
Accédez à
http://pamsrv.priv.contoso.local:8090et vérifiez qu’une page web de l’exemple de portail est visible.Dans Internet Explorer, sélectionnez OutilsOptions Internet, puis cliquez sur l’onglet Sécurité.
Cliquez sur Zone Intranet localSitesAvancé, puis ajoutez le site web à la zone.
Fermez les boîtes de dialogue Options Internet.
Sous l’onglet gauche, cliquez sur Activer. Sélectionnez le rôle PAM, puis cliquez sur Activer.
Notes
Dans cet environnement, vous pouvez aussi apprendre à développer des applications qui utilisent l’API REST PAM, décrite dans Privileged Access Management REST API Reference (Informations de référence sur l’API REST PAM).
Résumé
Une fois que vous aurez effectué les étapes décrites dans cette procédure pas à pas, vous aurez expérimenté un scénario Privileged Access Management, où les privilèges de l’utilisateur sont élevés pour une durée limitée, ce qui lui permet d’accéder à des ressources protégées à l’aide d’un compte privilégié distinct. Dès l'expiration de la session d'élévation, le compte privilégié ne peut plus accéder à la ressource protégée. L’administrateur PAM décide des groupes de sécurité qui représentent les rôles privilégiés. Une fois que les droits d’accès ont été migrés vers le système Privileged Access Management, l’accès qui était jusqu’à maintenant possible grâce au compte d’utilisateur d’origine est désormais possible uniquement en se connectant par le biais d’un compte privilégié spécial, mis à disposition à la demande. Ainsi, les appartenances aux groupes dotés de privilèges élevés sont effectives pour une durée limitée.