Utiliser le serveur Azure Multi-Factor Authentication pour activer PAM ou SSPR
Le document suivant explique comment configurer le serveur Azure MFA comme deuxième couche de sécurité quand vos utilisateurs activent des rôles dans Privileged Access Management ou la réinitialisation de mot de passe libre-service.
Important
En raison de la désapprobation du kit de développement logiciel (SDK) Azure Multi-Factor Authentication (MFA), les clients ne seront plus en mesure de télécharger le kit de développement logiciel (SDK) Azure MFA.
L’article ci-dessous décrit la mise à jour de la configuration et les étapes à suivre pour activer le passage du kit de développement logiciel (SDK) Azure MFA au serveur Azure MFA.
Prérequis
Pour utiliser le serveur Azure Multi-Factor Authentication avec MIM, vous avez besoin des éléments suivants :
- Accès Internet à partir de chaque service MIM ou serveur MFA fournissant PAM et SSPR, pour contacter le service Azure MFA
- Un abonnement Azure
- Installation utilisant déjà le SDK Azure MFA
- licences Azure Active Directory Premium pour les utilisateurs candidats
- numéros de téléphone de tous les utilisateurs candidats.
- Correctif logiciel MIM 4.5 ou ultérieur (consultez l’historique des versions pour parcourir les annonces)
Configuration du serveur Azure Multi-Factor Authentication
Notes
Dans la configuration, vous avez besoin d’un certificat SSL valide installé pour le SDK.
Étape 1 : Télécharger Azure serveur Multi-Factor Authentication à partir du Portail Azure
Connectez-vous au portail Azure et téléchargez le serveur Azure MFA.

Étape 2 : Générer des informations d’identification d’activation
Utilisez le lien Générer les informations d’identification d’activation pour lancer l’utilisation pour générer des informations d’identification d’activation. Une fois généré, enregistrez-le pour une utilisation ultérieure.
Étape 3 : Installer le serveur Azure Multi-Factor Authentication
Après avoir téléchargé le serveur, installez-le. Vos informations d’identification d’activation sont nécessaires.
Étape 4 : Créer l’application web IIS qui hébergera le SDK
- Ouvrir le gestionnaire des services Internet

- créer un appel de site web « MIM MFASDK », le lier à un répertoire vide

- Ouvrez Multi-Factor Authentication console et cliquez sur Kit de développement logiciel (SDK) du service Web

- Dans les étapes de configuration de l’Assistant, sélectionnez MIM MFASDK et Pool des applications.
Notes
L’Assistant nécessite la création d’un groupe d’administration. Pour plus d’informations, consultez la >> documentation Azure MFA Azure serveur multi-Factor Authentication.
- Nous devons ensuite importer le compte de service MIM. Ouvrez la console Multi-Factor Authentication, sélectionnez Utilisateurs a. Cliquez sur Importer à partir d’Active Directory b. Accédez au compte de service, tel que « contoso\mimservice » c. Cliquez sur « Importer » et sur « Fermer »

- modifier le compte de Service MIM à activer dans la Console Multi-Factor Authentication

- Mettez à jour l’authentification IIS sur le site web « MIM MFASDK ». tout d’abord, nous allons désactiver l’authentification anonyme, puis activer l’authentification Windows.

- dernière étape : ajouter le compte de service MIM à « PhoneFactor admins »

Configuration du service MIM pour le serveur Azure Multi-Factor Authentication
Étape 1 : Appliquer le correctif 4.5.202.0 au serveur
Étape 2 : Sauvegarder et ouvrir le fichier MfaSettings.xml situé dans C:\Program Files\Microsoft Forefront Identity Manager\2010\Service
Étape 3 : Mettre à jour les lignes suivantes
Supprimez/effacez les lignes des entrées de configuration suivantes
<LICENSE_KEY >< /LICENSE_KEY>
<GROUP_KEY >< /GROUP_KEY>
<CERT_PASSWORD >< /CERT_PASSWORD>
Mettez à jour ou ajoutez les lignes suivantes à ce qui suit dans MfaSettings.xml
<Username>mimservice@contoso.com</Username>
<LOCMFA>true</LOCMFA>
<LOCMFASRV>https://CORPSERVICE.contoso.com:9999/MultiFactorAuthWebServiceSdk/PfWsSdk.asmx</LOCMFASRV>Redémarrez le service MIM et testez les fonctionnalités avec le serveur Azure Multi-Factor Authentication.
Notes
Pour rétablir les paramètres, remplacez MfaSettings.xml par votre fichier de sauvegarde créé à l’étape 2