Privileged Identity Management
Privileged Identiy Mangement (PIM) une une fonctionnalité de Microsoft Azure qui permet de déléguer des droits et des ressources dans Azure, Office 365 et Intune.
Mise en place
Prérequis
Pour mettre en place PIM il est indispensable d’avoir sur les comptes qui l'utiliseront :
- Une license Enterprise Mobility + Security (EMS) E5 ou à minima une license Azure AD Premium P2
- Le MFA activé
![2019-02-26_163601 2019-02-26_163601](http://blog.piservices.fr/image.axd?picture=2019-02-26_163601_thumb.png)
Par défaut, PIM n’est pas actif dans Azure. Pour l’activer, il faut se rendre sur le portail Azure (https://portal.azure.com) avec des droits d'"administrateur global" et rechercher Privileged Identity Management.
Une page nous invite à vérifier notre identité via le MFA.
![2019-02-26_113903 2019-02-26_113903](http://blog.piservices.fr/image.axd?picture=2019-02-26_113903_thumb.png)
Une fois la vérification d’identité effectuée il est possible d’activer la fonctionnalité.
![2019-02-26_114134 2019-02-26_114134](http://blog.piservices.fr/image.axd?picture=2019-02-26_114134_thumb.png)
Quelques instants après le service est disponible.
![2019-02-26_114203 2019-02-26_114203](http://blog.piservices.fr/image.axd?picture=2019-02-26_114203_thumb.png)
Il est ensuite nécessaire de se déconnecter / reconnecter du portail Azure.
![2019-02-26_114253 2019-02-26_114253](http://blog.piservices.fr/image.axd?picture=2019-02-26_114253_thumb.png)
Configuration des rôles
Depuis PIM, dans la section Manage puis Roles, il existe par défaut une quarantaine de rôle que l’on peut modifier.
![2019-02-26_114442 2019-02-26_114442](http://blog.piservices.fr/image.axd?picture=2019-02-26_114442_thumb.png)
Dans cet article, je vais modifier le rôle Exchange Administrator pour qu’il soit actif durant 3H et qu'il nécessite une validation (par défaut le rôle est en auto-validation pour une durée d’une heure). Les utilisateurs Adminstrator et Megan auront le pouvoir d’accepter ou non la demande d’accès au rôle.
Pour ça, dans PIM, dans la section Manage puis Settings, je sélectionne Roles.
![2019-02-26_165956 2019-02-26_165956](http://blog.piservices.fr/image.axd?picture=2019-02-26_165956_thumb.png)
Je sélectionne le rôle Exchange Administrator et je change les paramètres.
![2019-02-26_160256 2019-02-26_160256](http://blog.piservices.fr/image.axd?picture=2019-02-26_160256_thumb.png)
Je peux ensuite depuis PIM, dans la section Manage puis Roles ajouter un utilisateur à mon rôle.
![2019-02-26_160402 2019-02-26_160402](http://blog.piservices.fr/image.axd?picture=2019-02-26_160402_thumb.png)
![2019-02-26_160418 2019-02-26_160418](http://blog.piservices.fr/image.axd?picture=2019-02-26_160418_thumb.png)
Obtention du rôle
Une fois le rôle ajouté sur l’utilisateur, celui-ci reçoit un mail pour le prévenir.
![2019-02-26_161344 2019-02-26_161344](http://blog.piservices.fr/image.axd?picture=2019-02-26_161344_thumb.png)
Depuis le lien présent dans le mail il est alors possible de faire la demande pour activer le rôle.
![2019-02-26_160440 2019-02-26_160440](http://blog.piservices.fr/image.axd?picture=2019-02-26_160440_thumb.png)
Une vérification d’identité via MFA est nécessaire à cette étape également.
![2019-02-26_160451 2019-02-26_160451](http://blog.piservices.fr/image.axd?picture=2019-02-26_160451_thumb.png)
Une fois l’identité confirmée, il est possible de demander l’activation du rôle.
![2019-02-26_160641 2019-02-26_160641](http://blog.piservices.fr/image.axd?picture=2019-02-26_160641_thumb.png)
Je peux réduire le temps d’activation du droit (de 30 minutes à 3h) et je dois indiquer un message pour obtenir les droits.
![2019-02-26_160739 2019-02-26_160739](http://blog.piservices.fr/image.axd?picture=2019-02-26_160739_thumb.png)
Une fois la demande effectuée, il ne reste plus qu’à attendre la validation par un administrateur.
![2019-02-26_160822 2019-02-26_160822](http://blog.piservices.fr/image.axd?picture=2019-02-26_160822_thumb.png)
Les administrateurs reçoivent un mail indiquant qu’une demande d’activation de rôle est en attente.
![2019-02-26_161426 2019-02-26_161426](http://blog.piservices.fr/image.axd?picture=2019-02-26_161426_thumb.png)
Depuis le lien présent dans le mail, il est possible d’accepter ou de refuser la demande.
![2019-02-26_160841 2019-02-26_160841](http://blog.piservices.fr/image.axd?picture=2019-02-26_160841_thumb.png)
Un message est obligatoire pour approuvé la demande.
![2019-02-26_160907 2019-02-26_160907](http://blog.piservices.fr/image.axd?picture=2019-02-26_160907_thumb.png)
L’utilisateur reçoit alors un mail lui indiquant qu’il dispose des droits d’administration.
![2019-02-26_161353 2019-02-26_161353](http://blog.piservices.fr/image.axd?picture=2019-02-26_161353_thumb.png)
Depuis le portail PIM l’utilisateur peut voir ses droits en cours et passés.
![2019-02-26_161022 2019-02-26_161022](http://blog.piservices.fr/image.axd?picture=2019-02-26_161022_thumb.png)
Il a également accès à la tuile Admin et bien évidement à la page d’administration d’Exchange dans notre cas.
![2019-02-26_161144 2019-02-26_161144](http://blog.piservices.fr/image.axd?picture=2019-02-26_161144_thumb.png)
![2019-02-26_161635 2019-02-26_161635](http://blog.piservices.fr/image.axd?picture=2019-02-26_161635_thumb.png)
Log
L’ensemble des droits demandées, validées et refusées est loggé dans PIM, section Activity puis Directory roles audit history.
![2019-02-26_160953 2019-02-26_160953](http://blog.piservices.fr/image.axd?picture=2019-02-26_160953_thumb.png)
Les administrateurs ont également le mail prouvant la validation au rôle.
![2019-02-26_161436 2019-02-26_161436](http://blog.piservices.fr/image.axd?picture=2019-02-26_161436_thumb.png)
Voila qui conclut ce billet sur PIM !