Voici un guide pour appliquer les meilleures pratiques de sécurité afin de mettre en œuvre le principe de moindre privilège dans votre environnement.
Les instructions fournies sont optionnelles. Vous pouvez adopter tout ou partie des recommandations en fonction de vos besoins spécifiques et de la sensibilité de votre environnement.
Renforcement des droits des comptes de service Hybrid Connector CoreView (optionnel)
Vous trouverez ci-dessous une liste de commandes utilisées par les actions de gestion dans votre environnement hybride :
Get-ADDomainController
Get-ADForest
Get-ADDomain
Get-Group
Get-ADGroup
New-ADGroup
Remove-ADGroup
Set-ADGroup
Set-ADAccountPassword
Get-DistributionGroup
Add-DistributionGroupMember
New-DistributionGroup
Remove-DistributionGroup
Remove-DistributionGroupMember
Set-DistributionGroup
Get-User
Get-ADUser
New-ADUser
Set-AdUser
Set-User
Get-Recipient
Get-RemoteMailbox
Enable-RemoteMailbox
Set-RemoteMailbox
Get-ADObject
Move-ADObject
Rename-ADObject
Set-ADObject
Unlock-ADAccount
Get-ExchangeServer
Get-ADRootDSE
Nous recommandons d’accorder à votre compte de service Active Directory des droits délégués sur les Unités d’Organisation (OU) à gérer. Cela permet d’effectuer les actions de gestion standard disponibles dans le portail CoreView ainsi que toute action personnalisée que vous créez.
En utilisant la délégation Active Directory uniquement sur des OU spécifiques, vous réduisez la surface d’attaque. Vous pouvez également configurer les paramètres de sécurité des sessions PowerShell, également appelées espaces d’exécution PowerShell.
Pour plus de détails sur la délégation Active Directory, veuillez consulter la documentation Microsoft.
Délégation Active Directory
Instructions
La délégation Active Directory (AD) permet à des utilisateurs ou groupes spécifiques de gérer certains objets ou attributs AD sans disposer d’un accès complet à l’annuaire. Elle offre un contrôle plus précis sur la gestion des objets AD et s’avère utile lorsque différentes personnes ou groupes sont responsables de différentes parties d’AD.
Pour déléguer les droits nécessaires à votre compte de service Hybrid Connector, suivez ces étapes :
- Ouvrez la console Utilisateurs et ordinateurs Active Directory.
- Faites un clic droit sur les Unités d’Organisation (OU) à déléguer.
- Attribuez les autorisations appropriées à votre compte de service.

Veillez à attribuer des droits délégués à chaque Unité d’Organisation (OU) de votre Active Directory que vous souhaitez gérer via le portail CoreView.
Pensez à sélectionner les mêmes OU dans l’arborescence de filtrage des unités d’organisation située dans la section Sur site du menu “Mon organisation” dans le portail CoreView.
Connexion PowerShell Remoting
Instructions
Le Hybrid Connector CoreView utilise votre compte de service pour exécuter des commandes et scripts sur le contrôleur de domaine Active Directory et le répertoire virtuel Hybrid Exchange PowerShell. Il accède aussi à l’environnement PowerShell de ces systèmes, vous permettant de les gérer à distance sans vous connecter individuellement via PowerShell remoting.
Les sessions PowerShell remoting sont établies à l’aide des cmdlets “Invoke-Command
”.
Le PowerShell remoting vous permet d’exécuter des commandes sur des ordinateurs distants via l’interface en ligne de commande (CLI) PowerShell. Cette fonctionnalité repose sur Windows Remote Management (WinRM), l’implémentation Microsoft du protocole Web Services-Management (WSMan), basé sur le Common Information Model (CIM).
Pour améliorer la sécurité, vous pouvez ajuster la configuration de vos espaces d’exécution à l’aide de la cmdlet “Set-PSSessionConfiguration
”. Ceci est particulièrement utile pour modifier les paramètres de sécurité d’une session PowerShell, par exemple déterminer quels utilisateurs ou groupes sont autorisés à se connecter.
Nous recommandons de créer un groupe de sécurité personnalisé dans votre Active Directory et d’y ajouter le compte de service Hybrid Connector CoreView.
Après avoir créé ce groupe, exécutez le script PowerShell suivant pour configurer la session Microsoft.PowerShell :
Set-PSSessionConfiguration microsoft.powerShell -ShowSecurityDescriptorUI
Après la configuration, attribuez la permission “Exécuter (Invoke)” à votre groupe de sécurité personnalisé. Cela permettra à votre compte de service de se connecter à distance à votre contrôleur de domaine sur site :

Assurez-vous d’exécuter cette commande sur le contrôleur de domaine auquel votre serveur agent hybride va se connecter.
Compte de service hybride Exchange
Instructions
Si votre Hybrid Connector doit gérer l’environnement Exchange Server sur site, assurez-vous que votre compte de service est membre du groupe Recipient Management. Pour plus d’informations, veuillez consulter la documentation Microsoft.
Limitations fonctionnelles sans Exchange sur site
Exchange sur site N’EST PAS obligatoire pour faire fonctionner le Hybrid Connector. En l’absence de serveur Exchange, il est possible de connecter uniquement Active Directory à l’agent hybride.
Si aucune intégration Exchange sur site n’est configurée, les actions suivantes ne seront pas disponibles :
- Définir des attributs personnalisés
- Ajouter des membres à des groupes de distribution (quand le membre est un contact de messagerie)
- Supprimer des membres de groupes de distribution (quand le membre est un contact de messagerie)
- Activer une boîte aux lettres distante
- Créer un groupe de distribution sur site
- Modifier une boîte aux lettres
- Modifier un groupe de distribution sur site
- Supprimer un groupe de distribution sur site
Si vous utilisez Exchange Online dans un environnement correctement configuré, les actions sur les boîtes aux lettres peuvent être réalisées via la catégorie “Boîte aux lettres”.
Si vos groupes de distribution sont gérés dans le cloud, utilisez les actions disponibles dans la catégorie “Groupe de distribution”.
gMSA (Group Managed Service Account)
Instructions
Attention : un Group Managed Service Account (gMSA) n’est pas applicable dans un environnement Multi-Forest.
Un Group Managed Service Account (gMSA) est un compte de service géré dans Windows Active Directory permettant à plusieurs ordinateurs de partager un même compte pour les opérations de service. Cela permet à ces ordinateurs d’utiliser une identité commune sans connaître le mot de passe du compte, simplifiant la gestion des comptes de service sur plusieurs machines.
Le Hybrid Connector CoreView fonctionne dans une instance Docker non jointe au domaine. Pour renforcer la sécurité grâce au protocole Kerberos, créez un gMSA dans Active Directory spécifiquement pour le conteneur Docker CoreView. Pour plus de détails sur les gMSA et les conteneurs, consultez la documentation Microsoft.
Le Hybrid Connector CoreView utilise deux conteneurs Docker distincts : un pour les actions de gestion et un autre pour l’import d’objets depuis votre environnement sur site. Le conteneur chargé de l’import s’active toutes les 6 heures, suit les étapes décrites dans “CoreView Hybrid Connector - fonctionnement du processus d’import sur site”, importe les objets puis se ferme indépendamment du conteneur d’actions de gestion.
Pour éviter les conflits d’authentification Kerberos lorsque les deux conteneurs sont actifs, créez deux comptes gMSA distincts dans Active Directory si vous souhaitez affecter un gMSA au conteneur d’importation de données, en plus de celui des actions de gestion.
Après avoir créé vos comptes gMSA, configurez-les dans le fichier de configuration du CoreView Hybrid Connector en ajoutant les entrées suivantes dans :
“Forward365.Service.PowershellService.Agent.exe.config”
Localisé à :
C:\Program Files (x86)\CoreView Agent
N’oubliez pas d’arrêter le service Windows CoreView Agent avant de modifier le fichier de configuration.
Pour le conteneur Docker dédié aux actions de gestion, ajoutez et configurez ces clés dans la section “AppSettings” :
<add key="gMSAEnabled" value="true" />
<add key="gMSAName" value="your_gMSA_accountname" />
Pour le conteneur dédié à l’import d’objets, ajoutez et configurez ces clés :
<add key="gMSAImporterEnabled" value="true" />
<add key="gMSAImporterName" value="your_second_gMSA_accountname" />
Si la configuration gMSA n’est pas requise dans votre scénario, définissez les valeurs des clés sur "false" ou conservez les clés par défaut dans le fichier de configuration :
<add key="gMSAEnabled" value="false" />
<add key="gMSAImporterEnabled" value="false" />
Assurez-vous d’utiliser au moins la version 1.0.6 du Hybrid Connector CoreView pour prendre en charge la configuration gMSA.
Vous pouvez maintenant redémarrer le service Windows CoreView Agent pour appliquer la nouvelle configuration.