Afin que Configuration Manager puisse lire et gérer les configurations dans votre tenant, vous devez fournir un moyen pour que Configuration Manager s’authentifie sur chaque tenant installé sur la plateforme.
Avant de commencer le processus d’intégration, nous vous recommandons de prendre un moment pour déterminer quelle méthode d’authentification vous souhaitez utiliser. Vous pouvez décider :
- d’activer l’option d’authentification du compte utilisateur, qui sera accompagnée de la création d’un Principal de service,
- ou de procéder uniquement avec un Principal de service, et, si vous le souhaitez, d’activer plus tard l’option d’authentification du compte utilisateur.
Si vous utilisez l’authentification Principal de service, vous verrez un nombre limité de configurations. Si vous utilisez l’authentification du compte utilisateur, vous aurez accès à la liste complète des configurations compatibles.
Consultez la liste des configurations compatibles pour savoir quelles configurations sont disponibles pour chaque méthode d’authentification.
Méthodes d’authentification
Par défaut, Configuration Manager va créer un Principal de service dans le tenant que vous installez. Ce Principal de service facilite l’authentification du tenant et sert aussi à gérer les configurations compatibles avec un Principal de service. Pour en savoir plus, voir notre guide sur l’authentification Principal de service.
En plus du Principal de service, Configuration Manager vous permet de configurer un compte utilisateur pour l’authentification du tenant. Dans ce cas, en plus du Principal de service, vous pouvez choisir d’activer l’authentification utilisateur via authentification déléguée.
Authentification du compte utilisateur
L’authentification du compte utilisateur est une méthode qui permet d’utiliser un compte utilisateur existant dans le tenant pour l’authentification par Configuration Manager. Il peut s’agir de n’importe quel utilisateur déjà présent dans le tenant, comme votre compte utilisateur, votre compte administrateur ou un compte créé spécifiquement pour Configuration Manager.
Vous pouvez activer l’authentification du compte utilisateur en allant dans CoreView et en créant le CoreView Management Service Account.
Le processus consiste à se connecter en tant qu’utilisateur choisi, après quoi Configuration Manager enregistre la connexion comme un jeton d’actualisation (refresh token). Par la suite, Configuration Manager utilise ce jeton d’actualisation pour s’authentifier sur le tenant.
Avantages
- Haute sécurité : Cet utilisateur peut avoir la MFA et d’autres politiques d’accès conditionnel appliquées pour renforcer la sécurité.
- Choix de n’importe quel compte utilisateur : N’importe quel utilisateur Azure AD du tenant peut être utilisé avec cette option.
- Rôles et permissions personnalisables : Les rôles et permissions de l’utilisateur choisi peuvent être adaptés, offrant une flexibilité dans le contrôle du niveau d’accès de Configuration Manager. Cela inclut l’utilisation de PIM pour une activation des rôles à privilèges élevés limitée dans le temps en cas de besoin.
Vous pouvez choisir le rôle d’administrateur général pour garantir l’accès à toutes les configurations. Toutefois, si vous ne souhaitez pas utiliser d’administrateur général, vous pouvez choisir un utilisateur avec des permissions de niveau inférieur pour l’authentification déléguée. Retrouvez ici le guide sur l’ajout de rôles au CoreView Management Service Account. Configuration Manager s’authentifiera alors en tant que cet utilisateur, ce qui signifie qu’il n’aura que les droits accordés à ce compte. Par exemple, si votre compte utilisateur n’a pas la permission de créer ou de gérer des politiques Exchange Online ou SharePoint, Configuration Manager ne pourra pas non plus effectuer ces actions. Cette approche vous permet de définir précisément le niveau d’accès de Configuration Manager au travers du compte utilisateur choisi.
Inconvénients
- Cycle de vie du refresh token : les jetons d’actualisation peuvent devenir invalides si des politiques de sécurité ou de connexion du tenant changent (par exemple, réinscription à la MFA ou exigences de vérification MFA périodique).
- Problèmes d’accès potentiels : lorsque le refresh token est invalidé, Configuration Manager perd la capacité de s’authentifier, entraînant des interruptions des sauvegardes et des opérations de synchronisation jusqu’à ce qu’une nouvelle connexion génère un jeton d’actualisation frais.
- Gestion supplémentaire : pour les clients qui gèrent plusieurs tenants, le besoin de ré-authentifier la synchronisation lors de changements de politiques peut devenir contraignant, surtout si les jetons s’invalident fréquemment sur plusieurs tenants.
Puisque l’authentification repose sur un refresh token, l’un des principaux points faibles de l’authentification déléguée est sa sensibilité aux évolutions des politiques de sécurité dans le tenant. Par exemple, s’il y a une nouvelle inscription à la MFA ou une exigence de renouvellement périodique MFA, le jeton sera invalidé. Cela signifie que Configuration Manager ne pourra plus s’authentifier, stoppant les sauvegardes et les synchronisations jusqu’à ce qu’une nouvelle connexion soit effectuée pour générer un jeton. Pour de nombreux tenants, cela peut devenir compliqué si certains nécessitent des ré-authentifications fréquentes.
Il est recommandé de revoir les politiques de connexion actuelles, y compris les politiques d’expiration des jetons, dans les tenants où vous installez afin de vous assurer que l’authentification déléguée est adaptée.
En résumé, l’authentification déléguée offre un moyen sécurisé et personnalisable pour Configuration Manager d’accéder et de gérer les configurations du tenant, avec pour contrepartie la nécessité potentielle de ré-authentification lorsque le refresh token est invalidé.