Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Chaque appel d’API REST effectué sur une ressource Gestion de surface d'attaque externe Microsoft Defender (Defender EASM) doit inclure un en-tête d’autorisation contenant un jeton du porteur Azure AD valide. Ce jeton est utilisé pour déterminer qui est l’appelant et à quoi il a accès dans la ressource. Le jeton peut être généré via un flux d’authentification utilisateur interactif ou un principal de service client.
Flux d’authentification utilisateur
Le scénario d’authentification utilisateur est utile à des fins de test et de développement, mais peut ne pas être réalisable dans certains scénarios de script. La génération d’un jeton via l’authentification utilisateur nécessite un flux interactif impliquant la connexion via un navigateur. Toutes les actions supposent l’utilisation d’Azure Command-Line Interface (CLI).
Connectez-vous à votre locataire. Cette étape lance un navigateur web pour effectuer les étapes de connexion appropriées.
az login --tenant <tenant id>Générez un jeton associé pour l’étendue de ressource appropriée. Ce jeton est utilisé dans l’en-tête Authentification.
Plan de contrôleaz account get-access-tokenPlan de données
az account get-access-token --scope 'https://easm.defender.microsoft.com/.default'
Principal du service client
Le scénario Principal du service client est utile pour les processus en arrière-plan (tels que les scripts) qui nécessitent la génération de jetons « à la demande ». La génération d’un jeton via un principal de service client nécessite qu’une application soit inscrite avec une clé secrète client associée et les contrôles d’accès d’abonnement appropriés :
- Créez une application via la section inscriptions d'applications du portail.
- Dans la section Certificats et secrets , cliquez sur Nouvelle clé secrète client, entrez les informations requises et générez le secret. Veillez à copier la valeur générée, car elle deviendra indisponible une fois que vous quittez la section.
- Ouvrez l’abonnement dans lequel le principal sera utilisé.
- Dans la section Access Control (IAM), cliquez sur Ajouter - Ajouter une> attribution de rôle.
- Sélectionnez le rôle Contributeur , puis cliquez sur Suivant.
- Cliquez sur Sélectionner des membres, recherchez l’application inscrite à l’étape 1, sélectionnez l’application, puis cliquez sur Sélectionner.
- Cliquez sur Suivant, passez en revue les informations pour vous assurer qu’elles sont correctes, puis cliquez sur Vérifier + affecter.
Une fois l’application configurée, un jeton associé peut être généré à l’aide de l’ID et du secret du client (application). Toutes les actions supposent l’utilisation d’Azure Command-Line Interface (CLI).
Connectez-vous à votre principal de service.
az login --service-principal -u <client id> -p <client secret> --tenant <tenant id>Générez un jeton associé pour l’étendue de ressource appropriée. Ce jeton est utilisé dans l’en-tête Authentification.
Plan de contrôleaz account get-access-tokenPlan de données
az account get-access-token --scope 'https://easm.defender.microsoft.com/.default'