Découvrir des ressources Azure à gérer dans Privileged Identity Management

  • Article

Vous pouvez utiliser le service Privileged Identity Management (PIM) dans Microsoft Entra ID pour améliorer la protection de vos ressources Azure. Cela aide :

  • Les organisations qui utilisent déjà Privileged Identity Management pour protéger des rôles Microsoft Entra
  • Les propriétaires d’abonnements et de groupes d’administration qui tentent de sécuriser des ressources de production.

Lors de la configuration initiale de Privileged Identity Management (PIM) pour des ressources Azure, vous devez découvrir et sélectionner les ressources que vous voulez protéger avec Privileged Identity Management. Lorsque vous découvrez des ressources par le biais de Privileged Identity Management, PIM crée le principal de service PIM (MS-pim) affecté en tant qu’administrateur de l’accès utilisateur sur la ressource. Il n’existe aucune limite quant à la quantité de ressources que vous pouvez gérer avec Privileged Identity Management (PIM). Toutefois, nous vous recommandons de commencer par vos ressources de production les plus critiques.

Remarque

PIM peut désormais gérer automatiquement les ressources Azure dans un locataire sans intégration requise. L’expérience utilisateur mise à jour utilise la dernière API PIM ARM, ce qui permet d’améliorer les performances et la granularité dans le choix de l’étendue appropriée que vous souhaitez gérer.

Autorisations requises

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Vous pouvez afficher et gérer les groupes d’administration ou les abonnements pour lesquels vous disposez des autorisations Microsoft.Authorization/roleAssignments/write, comme les rôles Administrateur de l’accès utilisateur ou Propriétaire. Si vous êtes un Administrateur général, sans être propriétaire d’un abonnement, et que vous ne voyez aucun abonnement Azure ni groupe d’administration à gérer, vous pouvez élever l’accès pour gérer vos ressources.

Découvrir des ressources

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Identity Governance>Privileged Identity Management>Ressources Azure.

    Si c’est la première fois que vous utilisez Privileged Identity Management (PIM) pour des ressources Azure, vous voyez s’afficher un volet Découvrir les ressources.

    Capture d’écran du volet Découvrir les ressources, sans ressources répertoriées pour une première expérience.

    Si un autre administrateur au sein de votre organisation gère déjà des ressources Azure dans Privileged Identity Management (PIM), vous voyez s’afficher la liste des ressources actuellement gérées.

    Capture d’écran du volet Découvrir les ressources répertoriant les ressources actuellement gérées.

  3. Sélectionnez Découvrir les ressources pour lancer l’expérience de découverte.

    Capture d’écran montrant le volet de découverte qui répertorie les ressources pouvant être gérées, comme les abonnements et les groupes d’administration

  4. Dans le volet Découverte, utilisez les options Filtre d’état de ressource et Sélectionner le type de ressource pour filtrer les groupes d’administration ou abonnements pour lesquels vous disposez d’une autorisation d’écriture. Le plus simple est probablement de commencer avec Tous.

    Vous pouvez rechercher et sélectionner des ressources de groupe d’administration ou d’abonnement à gérer dans Privileged Identity Management. Quand vous gérez un groupe d’administration ou un abonnement dans Privileged Identity Management (PIM), vous pouvez également gérer ses ressources enfants.

    Notes

    Lorsque vous ajoutez une nouvelle ressource Azure enfant à un groupe d’administration géré par PIM, vous pouvez mettre la ressource enfant sous gestion en la recherchant dans PIM.

  5. Sélectionnez les ressources non gérées que vous souhaitez gérer.

  6. Sélectionnez Gérer les ressources pour commencer à gérer les ressources sélectionnées. Le principal de service PIM (MS-PIM) est affecté en tant qu’administrateur de l’accès utilisateur sur la ressource.

    Notes

    Une fois qu’un groupe d’administration ou abonnement est managé, il ne peut pas ne pas être managé. Cela empêche tout autre administrateur de ressources de supprimer des paramètres de Privileged Identity Management (PIM).

    Volet de découverte incluant une ressource sélectionnée et l’option Gérer les ressources mise en surbrillance

  7. Si vous voyez un message de confirmation de l’intégration de la ressource sélectionnée pour la gestion, sélectionnez Oui. PIM est ensuite configuré pour gérer tous les objets enfants nouveaux et existants sous les ressources.

    Capture d’écran montrant un message qui confirme l’intégration des ressources sélectionnées à des fins de gestion.

Étapes suivantes