La session de gestion CoreView permet aux opérateurs d’exécuter :
- actions de gestion
- actions personnalisées
- et workflows.
Pour activer la session de gestion, vous pouvez créer un compte de service de gestion ou utiliser des identifiants Global Admin Microsoft 365 avec MFA désactivée.
Qu’est-ce qu’une session de gestion ?
Le « Management » de CoreView est un outil qui établit un canal PowerShell vers votre tenant Microsoft 365, permettant l’exécution d’actions. La plupart des actions nécessitent que le « Management » soit activé pour être exécutées, bien que certaines actions requièrent l’API Graph à la place.
La session de gestion peut être activée par tout opérateur disposant du rôle « Management ».
Comment activer les sessions de gestion
Il existe deux configurations possibles pour les sessions de gestion CoreView :
Management Service Account – Aucune authentification requise (recommandé)
Cette option permet aux administrateurs de niveau inférieur et aux opérateurs du support de réaliser des modifications déléguées sur des comptes utilisateurs définis ; aucune authentification Microsoft n’est utilisée pour activer ce type de session de gestion.
Identifiants Global Admin Microsoft avec MFA désactivée requis
CoreView crée une session PowerShell interactive avec Microsoft 365. Étant donné qu’il n’y a pas de bonne façon d’envoyer la valeur du jeton dans cette session, le compte Global Admin utilisé pour activer la session de gestion ne doit PAS avoir la MFA activée.
Suivez les instructions de l’article configurer votre tenant pour activer la session de gestion afin de mettre en œuvre la solution de votre choix.
Management Service Account
Notre recommandation
L’utilisation de la configuration Management Service Account est recommandée car elle est plus sécurisée. Elle évite d’attribuer des identifiants Global Admin aux opérateurs délégués.
Pourquoi créer le Management Service Account ?
La configuration Management Service Account est préférable car :
- elle évite la prolifération de comptes administratifs sur Microsoft, tout en gardant tout centralisé dans CoreView ;
- elle garantit que les opérateurs délégués disposent à tout moment des autorisations nécessaires pour réaliser des actions de gestion, car les autorisations sont définies uniquement sur CoreView (et pas sur Microsoft également) ;
- elle fournit une option « Activation automatique de la session de gestion » pour activer automatiquement la session lorsque des opérateurs exécutent des actions, si celle-ci est désactivée.
Fonctionnement du Management Service Account
CoreView crée un Management Service Account avec les rôles administratifs suivants :
- Authentication Administrator
- Exchange Administrator
- Global Reader
- Reports Reader
- SharePoint Administrator
- Teams Administrator
- et User Administrator.
Les identifiants de ce compte sont stockés dans Microsoft Azure Key Vault et changés une fois par semaine.
Qu’est-ce que Key Vault et pourquoi c’est important
Key Vault est un module de sécurité matériel spécifiquement conçu pour stocker des informations très confidentielles, telles que des mots de passe et des informations de carte bancaire. Avec les identifiants stockés dans Key Vault, CoreView peut élever ses privilèges sans jamais avoir accès au mot de passe lui-même. De plus, Key Vault change automatiquement le mot de passe chaque semaine. La longueur du mot de passe est de 16 caractères, et sa complexité est composée de :
- Lettres majuscules et minuscules
- Caractères spéciaux
- Chiffres
Key Vault permet à CoreView d’accéder à un jeton d’autorisation à la demande, lui permettant ainsi d’élever les droits du compte de service et d’effectuer l’action demandée par l’opérateur. Cela vous permet de déléguer des actions très spécifiques à un opérateur qui, autrement, devrait disposer des identifiants Global Admin. Toutes les opérations sont auditées directement par Microsoft Azure.