Salut ! Voici le code HTML traduit en français selon tes instructions : ```html
Afin que Configuration Manager puisse lire et gérer les configurations dans votre tenant, vous devez fournir un moyen pour Configuration Manager de s’authentifier sur chaque tenant installé sur la plateforme.
Choisir la bonne méthode d’authentification est essentiel, car :
- elle va façonner votre flux de travail avec Configuration Manager ;
- elle est cruciale pour respecter les directives de sécurité et de conformité de votre entreprise.
Par exemple, si vous êtes un fournisseur de services gérés (MSP), cela influencera également la manière dont vous interagissez avec vos clients afin d’aligner leurs tenants. Pour les entreprises, ce choix comporte des implications majeures en matière de sécurité.
Avant de commencer le processus d’installation, nous recommandons de prendre un moment pour déterminer la méthode d’authentification que vous souhaitez utiliser. Vous pouvez décider :
- d’activer l’option d’authentification par compte utilisateur, qui sera accompagnée de la création d’un principal de service,
- ou de poursuivre uniquement avec un principal de service.
Il est important de concevoir cela à l’avance pour chaque tenant que vous souhaitez installer sur Configuration Manager.
Méthodes d’authentification
Par défaut, Configuration Manager va créer un principal de service dans le tenant que vous installez. Ce principal de service aide à l’authentification du tenant et il est également utilisé pour gérer les configurations compatibles avec un principal de service. Pour plus d’informations à ce sujet, consultez notre guide sur l’authentification Principal de service.
En plus d’un principal de service, Configuration Manager vous permet de configurer un compte utilisateur pour l’authentification du tenant. Dans ce cas, en plus du principal de service, vous pouvez choisir d’activer l’authentification utilisateur via l’authentification déléguée.
Authentification déléguée
L’authentification déléguée est une méthode qui permet d’utiliser un compte utilisateur existant dans le tenant pour le processus d’authentification de Configuration Manager. Il peut s’agir de n’importe quel utilisateur déjà présent dans le tenant, comme votre compte utilisateur, votre compte administrateur, ou un compte créé spécifiquement pour Configuration Manager.
Le processus implique de se connecter en tant qu’utilisateur choisi, après quoi Configuration Manager met en cache la connexion sous forme de jeton d’actualisation. Par la suite, Configuration Manager utilise ce jeton d’actualisation pour s’authentifier sur le tenant.
Configuration Manager recommande l’authentification déléguée pour tous les tenants de production car vous avez un contrôle sur la façon dont le compte utilisateur est configuré.
Avantages
- Haute sécurité : Cet utilisateur peut avoir la MFA et d’autres politiques d’Accès Conditionnel appliquées, ce qui améliore la sécurité.
- Choix de tout compte utilisateur : N’importe quel utilisateur Azure AD du tenant peut être utilisé avec cette option.
- Rôles et permissions personnalisables : Les rôles et permissions de l’utilisateur choisi peuvent être adaptés, offrant une flexibilité pour contrôler le niveau d’accès de Configuration Manager. Cela inclut l’utilisation de PIM pour activer les rôles à privilèges élevés pour une durée limitée si nécessaire.
Vous pouvez opter pour un compte Administrateur Global pour l’authentification déléguée afin de garantir l’accès à toutes les configurations. Toutefois, si vous préférez ne pas utiliser un Administrateur Global, vous pouvez choisir un utilisateur disposant de permissions de niveau inférieur pour l’authentification déléguée. Configuration Manager s’authentifiera alors en tant que cet utilisateur, ce qui signifie qu’il ne disposera que des permissions accordées à ce compte utilisateur. Par exemple, si votre compte utilisateur n’a pas la permission de créer ou de gérer des politiques Exchange Online ou SharePoint, Configuration Manager ne pourra pas effectuer ces actions non plus. Cette approche vous permet d’adapter précisément le niveau d’accès de Configuration Manager grâce au compte utilisateur choisi.
Inconvénients
- Cycle de vie du jeton d’actualisation : les jetons d’actualisation peuvent être invalidés si les politiques de sécurité ou les politiques de connexion dans le tenant changent (par exemple, réinscription à la MFA ou exigences périodiques de vérification MFA).
- Problèmes d’accès potentiels : lorsque le jeton d’actualisation est invalidé, Configuration Manager perd la capacité de s’authentifier, ce qui entraîne des interruptions dans les opérations de sauvegarde et de synchronisation jusqu’à ce qu’une nouvelle connexion génère un nouveau jeton d’actualisation.
- Charge de gestion : pour les clients qui gèrent plusieurs tenants, la nécessité de ré-authentifier le Sync lorsque les politiques du tenant changent peut être lourde, surtout si les jetons d’actualisation deviennent fréquemment invalides sur plusieurs tenants.
Puisque l’authentification dépend d’un jeton d’actualisation, un problème clé de l’authentification déléguée est sa sensibilité aux changements de politiques de sécurité dans votre tenant. Par exemple, en cas de réinscription à la MFA ou de renouvellement périodique de la MFA, le jeton d’actualisation est invalidé. Cela signifie que Configuration Manager ne peut pas s’authentifier, ce qui arrête les sauvegardes et les synchronisations jusqu’à ce que vous vous connectiez à nouveau pour obtenir un nouveau jeton. Gérer cela pour un grand nombre de tenants peut devenir fastidieux si même quelques-uns nécessitent des ré-authentifications fréquentes.
Il est recommandé de vérifier les politiques de connexion en vigueur, y compris les politiques d’expiration des jetons, dans les tenants que vous installez afin de vous assurer que l’authentification déléguée est adaptée.
En résumé, l’authentification déléguée offre une méthode sécurisée et personnalisable pour que Configuration Manager accède et gère les configurations du tenant, avec comme contrepartie le besoin potentiel de ré-authentification dû à l’invalidation du jeton d’actualisation.
```