Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
En septembre 2022, Microsoft a annoncé la dépréciation du serveur Multi-Factor Authentication. À compter du 30 septembre 2024, les déploiements du serveur Azure Multi-Factor Authentication ne service plus de demandes d’authentification multifacteur (MFA). Les clients du serveur Azure Multi-Factor Authentication doivent passer à la place à l’utilisation de fournisseurs MFA personnalisés ou d’une authentification basée sur des cartes à puce Windows Hello dans AD.
Lors de la configuration d’un rôle PAM, vous pouvez choisir comment autoriser les utilisateurs qui demandent d’activer le rôle. Les choix implémentés par l’activité d’autorisation PAM sont les suivants :
- Approbation du propriétaire du rôle
- Authentification multifacteur personnalisée
Si aucun choix n’est effectué, les utilisateurs candidats sont automatiquement activés pour leur rôle.
Remarque
L’approche PAM avec un environnement bastion fourni par MIM est destinée à être utilisée dans une architecture personnalisée pour les environnements isolés où l’accès à Internet n’est pas disponible, où cette configuration est requise par la réglementation ou dans des environnements isolés à impact élevé, tels que les laboratoires de recherche hors connexion et les environnements de contrôle opérationnel ou de contrôle de surveillance et d’acquisition des données. Si votre annuaire Active Directory fait partie d’un environnement connecté à Internet, consultez la sécurisation de l’accès privilégié à l’emplacement de démarrage.
Prérequis
Pour utiliser l’authentification multifacteur personnalisée avec MIM PAM, vous avez besoin des éléments suivants :
- MIM configuré pour l’authentification multifacteur personnalisée
- numéros de téléphone de tous les utilisateurs candidats.
Configurer des utilisateurs PAM pour l’authentification multifacteur personnalisée
Pour qu’un utilisateur active un rôle nécessitant une authentification multifacteur personnalisée, le numéro de téléphone de l’utilisateur doit être stocké dans MIM. Cet attribut est défini de deux façons.
Tout d’abord, la New-PAMUser commande copie un attribut de numéro de téléphone de l’entrée d’annuaire de l’utilisateur dans le domaine CORP, dans la base de données du service MIM. Notez qu’il s’agit d’une opération unique.
Ensuite, la Set-PAMUser commande met à jour l’attribut de numéro de téléphone dans la base de données du service MIM. Par exemple, la syntaxe suivante permet de remplacer le numéro de téléphone d’un utilisateur PAM existant dans le service MIM. Leur entrée d’annuaire est inchangée.
Set-PAMUser (Get-PAMUser -SourceDisplayName Jen) -SourcePhoneNumber 12135551212
Configurer des rôles PAM pour l’authentification multifacteur
Une fois que tous les utilisateurs candidats d’un rôle PAM ont leurs numéros de téléphone stockés dans la base de données du service MIM, le rôle peut être configuré pour exiger une authentification multifacteur personnalisée. Cette opération est effectuée à l’aide des New-PAMRole commandes ou Set-PAMRole des commandes. Par exemple,
Set-PAMRole (Get-PAMRole -DisplayName "R") -MFAEnabled 1
L’authentification multifacteur peut être désactivée pour un rôle en spécifiant le paramètre « -MFAEnabled 0 » dans la Set-PAMRole commande.
Dépannage
Vous trouverez les événements suivants dans le journal des événements de la gestion des accès privilégiés (Privileged Access Management, PAM) :
| id | Niveau de gravité | Généré par | Description |
|---|---|---|---|
| 101 | Error | Service MIM | L’utilisateur n’a pas terminé l’authentification multifacteur personnalisée (par exemple, n’a pas répondu au téléphone) |
| 103 | Information | Service MIM | Authentification multifacteur personnalisée effectuée par l’utilisateur lors de l’activation |
| 825 | Avertissement | Service d’analyse PAM | Le numéro de téléphone a changé. |