Utiliser le serveur Azure Multi-Factor Authentication pour activer PAM ou SSPR

  • Article

Le document suivant explique comment configurer le serveur Azure Multi-Factor Authentication en tant que deuxième couche de sécurité lorsque vos utilisateurs activent des rôles dans Privileged Access Management ou Self-Service la réinitialisation de mot de passe.

Important

En septembre 2022, Microsoft a annoncé la dépréciation du serveur Azure Multi-Factor Authentication. À compter du 30 septembre 2024, les déploiements de serveurs Azure Multi-Factor Authentication ne prendront plus en charge les demandes d’authentification multifacteur (MFA). Les clients du serveur Azure Multi-Factor Authentication doivent planifier de passer à plutôt utiliser des fournisseurs MFA personnalisés ou une authentification Windows Hello ou basée sur une carte à puce dans AD. Pour utiliser un autre fournisseur MFA, consultez l’article sur l’utilisation de l’API d’authentification multifacteur personnalisée.

L’article ci-dessous décrit la mise à jour de la configuration et les étapes à suivre pour activer les déploiements existants de MIM en passant de MIM à l’aide du Kit de développement logiciel (SDK) précédent vers MIM à l’aide du serveur Azure Multi-Factor Authentication.

Prérequis

Pour effectuer une migration afin d’utiliser le serveur Azure Multi-Factor Authentication avec MIM, vous avez besoin des éléments suivants :

  • Accès Internet à partir de chaque service MIM ou serveur Azure Multi-Factor Authentication fournissant PAM et SSPR, pour contacter le service d’authentification multifacteur Microsoft Entra
  • Un abonnement Azure
  • L’installation utilise déjà le Kit de développement logiciel (SDK) de juillet 2019 ou une version antérieure
  • Microsoft Entra licences D’ID P1 ou P2 pour les utilisateurs candidats
  • numéros de téléphone de tous les utilisateurs candidats.
  • Correctif logiciel MIM 4.5 ou ultérieur (consultez l’historique des versions pour parcourir les annonces)

Configuration du serveur Azure Multi-Factor Authentication

Notes

Dans la configuration, vous avez besoin d’un certificat SSL valide installé pour le SDK.

Étape 1 : Télécharger le serveur Azure Multi-Factor Authentication à partir du Portail Azure

Important

Depuis le 1er juillet 2019, Microsoft n’offre plus Azure Multi-Factor Authentication Server pour les nouveaux déploiements.

Connectez-vous au Portail Azure et suivez les instructions fournies dans Prise en main du serveur Azure Multi-Factor Authentication pour télécharger le serveur Azure Multi-Factor Authentication.

Portail Azure Paramètres du serveur

Étape 2 : Générer des informations d’identification d’activation

Utilisez le lien Générer les informations d’identification d’activation pour lancer l’utilisation pour générer des informations d’identification d’activation. Une fois généré, enregistrez pour une utilisation ultérieure.

Étape 3 : Installer le serveur Azure Multi-Factor Authentication

Une fois que vous avez téléchargé le serveur, installez-le . Vos informations d’identification d’activation sont nécessaires.

Étape 4 : Créer l’application web IIS qui hébergera le SDK

  1. Ouvrir le Gestionnaire des services Internet du Gestionnaire des services Internet

  2. Créez un site web appelé « MIM MFASDK » et liez-le à un répertoire vide. Ajout d’un site web dans le Gestionnaire des services Internet

  3. Ouvrez la console serveur Multi-Factor Authentication, puis cliquez sur Kit de développement logiciel (SDK) du service web. Application serveur Azure Multi-Factor Authentication, bouton pour installer le Kit de développement logiciel (SDK) du service web

  4. Une fois l’Assistant ouvert, cliquez sur la configuration, puis sélectionnez « MIM MFASDK » et pool d’applications.

    Notes

    L’Assistant nécessite la création d’un groupe d’administrateurs. Pour plus d’informations, consultez la documentation du serveur Azure Multi-Factor Authentication.

  5. Ensuite, importez le compte de service MIM. Dans la console, sélectionnez « Utilisateurs ».

    a. Cliquez sur « Importer à partir d’Active Directory ». b. Accédez au compte de service, par exemple « contoso\mimservice ». c. Cliquez sur « Importer » et « Fermer ».

    importation d’utilisateurs à partir de Microsoft Entra ID dans la console MFA

  6. Modifiez le compte de service MIM pour l’activer. Modification d’un utilisateur dans la console MFA

  7. Mettez à jour l’authentification IIS sur le site web « MIM MFASDK ». Tout d’abord, désactivez « Authentification anonyme », puis activez « Authentification Windows ».

    Modification de l’authentification dans le Gestionnaire des services Internet

  8. Étape finale : Ajouter le compte de service MIM aux administrateurs « PhoneFactor » Ajouter un utilisateur à un groupe AD

Configuration du service MIM pour le serveur Azure Multi-Factor Authentication

Étape 1 : Appliquer le correctif 4.5.202.0 au serveur

Étape 2 : Sauvegarder et ouvrir le fichier MfaSettings.xml situé dans C:\Program Files\Microsoft Forefront Identity Manager\2010\Service

Étape 3 : Mettre à jour les lignes suivantes

  1. Supprimez/effacez les lignes des entrées de configuration suivantes
    <><LICENSE_KEY/LICENSE_KEY>
    <><GROUP_KEY/GROUP_KEY>
    <><CERT_PASSWORD/CERT_PASSWORD>
    <CertFilePath></CertFilePath>

  2. Mettez à jour ou ajoutez les lignes suivantes à ce qui suit dans MfaSettings.xml
    <Username>mimservice@contoso.com</Username>
    <LOCMFA>true</LOCMFA>
    <LOCMFASRV>https://CORPSERVICE.contoso.com:9999/MultiFactorAuthWebServiceSdk/PfWsSdk.asmx</LOCMFASRV>

  3. Redémarrez le service MIM et testez les fonctionnalités avec le serveur Azure Multi-Factor Authentication.

Notes

Pour rétablir les paramètres, remplacez MfaSettings.xml par votre fichier de sauvegarde créé à l’étape 2

Voir aussi