utilisation d’Azure MFA pour l’activation dans MIM PAM

Important

les versions précédentes de MIM utilisaient le kit de développement logiciel (SDK) azure Multi-Factor Authentication (mfa) pour s’intégrer à azure MFA. en raison de la dépréciation du kit de développement logiciel (sdk) azure mfa, les clients existants et nouveaux MIM ne pourront plus télécharger le kit de développement logiciel (sdk) azure mfa. Pour plus d’informations sur l’utilisation du serveur Azure MFA à la place du kit de développement logiciel (SDK) Azure MFA, consultez utilisation du serveur Azure MFA dans PAM ou SSPR.

Quand vous configurez un rôle PAM, vous pouvez choisir comment autoriser les utilisateurs qui demandent à activer le rôle. Les choix implémentés par l’activité d’autorisation PAM sont les suivants :

Si aucun choix n’est effectué, les utilisateurs candidats sont automatiquement activés pour leur rôle.

Microsoft Azure Multi-Factor Authentication (MFA) est un service d'authentification qui oblige les utilisateurs à vérifier leurs tentatives de connexion à l'aide d'une application mobile, d'un appel téléphonique ou d'un message texte. Vous pouvez l’utiliser avec Microsoft Azure Active Directory, et en tant que service pour les applications d’entreprise locales et cloud. Pour le scénario PAM, Azure MFA représente un mécanisme d’authentification supplémentaire, qui peut être utilisé à des fins d’autorisation, quelle que soit la façon dont l’utilisateur s’est authentifié sur le domaine Windows PRIV.

Notes

l’approche PAM avec un environnement bastion fourni par MIM est destinée à être utilisée dans une architecture personnalisée pour les environnements isolés où l’accès à Internet n’est pas disponible, dans lequel cette configuration est requise par la réglementation, ou dans des environnements isolés à fort impact tels que des laboratoires de recherche hors ligne et des environnements de contrôle et d’acquisition de données déconnectés. étant donné qu’Azure MFA est un service Internet, ces conseils sont fournis uniquement pour les clients MIM PAM existants ou ceux des environnements dans lesquels cette configuration est requise par la réglementation. Si votre Active Directory fait partie d’un environnement connecté à Internet, consultez sécurisation de l’accès privilégié pour plus d’informations sur l’emplacement de démarrage.

Prérequis

pour utiliser Azure MFA avec MIM PAM, vous avez besoin des éléments suivants :

  • accès Internet à partir de chaque service MIM fournissant PAM, pour contacter le service Azure MFA ;
  • Un abonnement Azure
  • Azure MFA
  • licences Azure Active Directory Premium pour les utilisateurs candidats
  • numéros de téléphone de tous les utilisateurs candidats.

Téléchargement des informations d’identification du Service Azure MFA

auparavant, vous téléchargez un fichier ZIP du kit de développement logiciel (SDK) azure mfa qui comprenait le matériel d’authentification pour MIM contacter azure mfa. Toutefois, étant donné que le kit de développement logiciel (SDK) Azure MFA n’est plus disponible, consultez utilisation du serveur Azure MFA dans PAM ou SSPR pour plus d’informations sur l’utilisation du serveur Azure mfa.

Configuration du service MIM pour Azure MFA

  1. Sur l’ordinateur où est installé le service MIM, connectez-vous soit comme administrateur, soit comme utilisateur ayant installé MIM.

  2. Créez un dossier de répertoire sous le répertoire où le Service MIM a été installé, tel que C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts.

  3. Avec l’Explorateur Windows, accédez au dossier pf\certs du fichier zip téléchargé à la section précédente. Copiez le fichier cert\_key.p12 dans le nouveau répertoire.

  4. à l’aide de l’explorateur de Windows, accédez au pf dossier du fichier ZIP, puis ouvrez-le pf\_auth.cs dans un éditeur de texte comme Bloc-notes.

  5. Recherchez ces trois paramètres : LICENSE\_KEY, GROUP\_KEY et CERT\_PASSWORD.

Copier les valeurs à partir d’pf_auth fichier. cs-capture d’écran

  1. Dans le Bloc-notes, ouvrez le fichier MfaSettings.xml situé dans .

  2. Copiez les valeurs des paramètres LICENSE_KEY, GROUP_KEY et CERT_PASSWORD dans le fichier pf_auth. cs dans leurs éléments XML respectifs dans le fichier MfaSettings.xml.

  3. Dans l' élément XML, spécifiez le nom du chemin d’accès complet du fichier cert_key. P12 extrait précédemment.

  4. Dans l'élément , entrez un nom d'utilisateur quelconque.

  5. Dans l’élément , entrez l’indicatif du pays pour appeler vos utilisateurs, par exemple 1 pour les États-Unis et le Canada. Cette valeur est utilisée quand les utilisateurs sont inscrits avec des numéros de téléphone qui n’ont pas d’indicatif du pays. Si le numéro de téléphone d’un utilisateur a un indicatif international distinct de celui configuré pour l’organisation, cet indicatif du pays doit être inclus dans le numéro de téléphone à inscrire.

  6. Enregistrez et remplacez le fichier MfaSettings.xml dans le dossier Service MIM .

Notes

À la fin du processus, vérifiez que le fichier MfaSettings.xml, sa copie ou le fichier ZIP ne sont pas accessibles publiquement en lecture.

Configurer les utilisateurs PAM pour Azure MFA

Pour qu’un utilisateur active un rôle qui nécessite Azure MFA, le numéro de téléphone de l’utilisateur doit être stocké dans MIM. Cet attribut est défini de deux façons.

Tout d’abord, la commande New-PAMUser copie un attribut de numéro de téléphone de l’entrée d’annuaire de l’utilisateur du domaine CORP vers la base de données du service MIM. Notez qu’il s’agit d’une opération unique.

Ensuite, la commande Set-PAMUser met à jour l’attribut de numéro de téléphone dans la base de données du service MIM. Par exemple, la syntaxe suivante permet de remplacer le numéro de téléphone d’un utilisateur PAM existant dans le service MIM. Leur entrée d’annuaire est inchangée.

Set-PAMUser (Get-PAMUser -SourceDisplayName Jen) -SourcePhoneNumber 12135551212

Configurer des rôles PAM pour Azure MFA

Une fois que tous les utilisateurs candidats d’un rôle PAM ont leurs numéros de téléphone stockés dans la base de données du service MIM, le rôle peut être configuré pour exiger Azure MFA. Cette opération s’effectue à l’aide de la commande New-PAMRole ou Set-PAMRole. Par exemple,

Set-PAMRole (Get-PAMRole -DisplayName "R") -MFAEnabled 1

Vous pouvez désactiver Azure MFA pour un rôle en spécifiant le paramètre « -MFAEnabled 0 » dans la commande Set-PAMRole.

Dépannage

Vous trouverez les événements suivants dans le journal des événements de la gestion des accès privilégiés (Privileged Access Management, PAM) :

id severity Généré par Description
101 Erreur Service MIM L’utilisateur n’a pas effectué l’authentification Azure MFA (par exemple, il n’a pas répondu au téléphone)
103 Information Service MIM L’utilisateur a effectué l’authentification Azure MFA durant l’activation
825 Avertissement Service d’analyse PAM Le numéro de téléphone a changé.

Étapes suivantes