Avant de commencer le processus d’installation, nous vous recommandons de prendre un moment pour déterminer la méthode d’authentification que vous souhaitez utiliser.
Chaque méthode présente des avantages et des inconvénients, qu’il convient d’évaluer afin de choisir celle qui correspond aux exigences de sécurité et à la posture de sécurité de votre organisation.
Il est important de concevoir cela à l’avance pour chaque tenant sur lequel vous prévoyez d’installer Configuration Manager.
Aperçu
Afin que Configuration Manager puisse lire et gérer les configurations dans votre tenant, vous devez fournir un mode d’authentification pour chaque tenant installé sur la plateforme.
Choisir la bonne méthode d’authentification est essentiel, car :
- elle va structurer votre flux de travail avec Configuration Manager ;
- est cruciale pour garantir le respect des consignes de sécurité et de conformité de votre entreprise.
Par exemple, si vous êtes un prestataire de services managés (MSP), ce choix influencera également la façon dont vous interagissez avec vos clients pour aligner leurs tenants. Pour les entreprises, ce choix comporte d’importantes implications en matière de sécurité.
Méthodes d’authentification
Par défaut, Configuration Manager va créer un principal de service dans le tenant où vous effectuez l’installation. Ce principal de service aide à l’authentification du tenant et permet également de gérer les configurations compatibles avec un principal de service. Pour plus d’informations, veuillez consulter notre guide sur l’authentification Service Principal.
En plus d’un principal de service, Configuration Manager nécessite un compte utilisateur pour l’authentification du tenant. Vous pouvez choisir entre deux méthodes d’authentification utilisateur : l’authentification déléguée et un compte de service. Les deux solutions ont leurs avantages et inconvénients, détaillés ici.
Authentification déléguée
L’authentification déléguée est une méthode qui vous permet d’utiliser un compte utilisateur existant dans le tenant pour le processus d’authentification de Configuration Manager. Il peut s’agir de n’importe quel utilisateur déjà présent dans le tenant, comme votre propre compte, le compte administrateur ou un compte spécialement créé pour Configuration Manager.
Le processus consiste à se connecter en tant qu’utilisateur choisi, après quoi Configuration Manager met en cache la connexion sous forme de jeton d’actualisation. Par la suite, Configuration Manager utilise ce jeton d’actualisation pour s’authentifier auprès du tenant.
Configuration Manager recommande l’authentification déléguée pour tous les tenants de production, car elle permet de contrôler la configuration du compte utilisateur.
Avantages
- Haute sécurité : cet utilisateur peut avoir l’AMF et d’autres policies d’accès conditionnel appliquées, renforçant la sécurité.
- Choix du compte utilisateur : tout utilisateur Azure AD du tenant peut être utilisé avec cette option.
- Rôles et autorisations personnalisables : les rôles et autorisations de l’utilisateur choisi peuvent être adaptés, offrant ainsi une flexibilité sur le niveau d’accès de Configuration Manager. Il est notamment possible d’utiliser la gestion des accès privilégiés temporaires (PIM) pour activer des rôles élevés selon les besoins.
Vous pouvez choisir un compte d’administrateur général pour l’authentification déléguée afin de garantir l’accès à toutes les configurations. Toutefois, si vous ne souhaitez pas utiliser un administrateur général, vous pouvez sélectionner un utilisateur disposant de autorisations de niveau inférieur pour l’authentification déléguée. Configuration Manager s’authentifiera alors avec cet utilisateur, ce qui signifie qu’il n’aura que les droits accordés à ce compte. Par exemple, si votre compte ne possède pas les autorisations pour créer ou gérer les policies Exchange Online ou SharePoint, Configuration Manager ne pourra pas effectuer ces actions non plus. Cet aspect permet d’ajuster précisément le niveau d’accès de Configuration Manager en fonction de l’utilisateur choisi.
Inconvénients
- Cycle de vie du jeton d’actualisation : les jetons d’actualisation peuvent être invalidés si les policies de sécurité ou les stratégies de connexion dans le tenant évoluent (par exemple, réinscription à l’AMF ou exigence périodique de vérification AMF).
- Risques d’accès limité : si le jeton d’actualisation est invalidé, Configuration Manager perd la capacité de s’authentifier, ce qui perturbe les opérations de sauvegarde et de synchronisation jusqu’à nouvel identifiant et nouveau jeton d’actualisation.
- Charge de gestion : pour les clients gérant plusieurs tenants, la nécessité de ré-authentifier la synchronisation à chaque modification des policies du tenant peut être fastidieuse, surtout en cas d’invalidation fréquente des jetons sur plusieurs tenants.
Comme l’authentification dépend d’un jeton d’actualisation, une faiblesse centrale de l’authentification déléguée réside dans sa sensibilité à la modification des policy de sécurité du tenant. Par exemple, en cas de réinscription à l’AMF ou de renouvellement périodique requis, le jeton d’actualisation sera invalidé. Cela signifie que Configuration Manager ne pourra plus s’authentifier et que les sauvegardes et la synchronisation seront interrompues jusqu’à une nouvelle connexion. La gestion de ce problème pour un grand nombre de tenants peut devenir fastidieuse si certains exigent une authentification fréquente.
Il est conseillé de vérifier les policies de connexion actuelles, y compris les politiques d’expiration des jetons, dans les tenants où vous effectuez l’installation pour vous assurer que l’authentification déléguée est appropriée.
En résumé, l’authentification déléguée offre une méthode sécurisée et personnalisable pour Configuration Manager afin d’accéder et de gérer les configurations du tenant, au prix d’un besoin potentiel de ré-authentification lié à l’invalidation du jeton d’actualisation.
Utiliser un compte de service
Le compte de service est un utilisateur Entra ID compte que Configuration Manager crée dans le tenant pendant l’installation. L’utilisateur service account portera le nom Configuration Manager@tenantdomain.com. Configuration Manager génère un mot de passe aléatoire de 128 caractères pour cet utilisateur, qui est chiffré et stocké dans votre organisation Azure DevOps.
Avantages
- Authentification directe : Configuration Manager se connecte directement comme utilisateur service account pour s’authentifier auprès du tenant, évitant l’utilisation d’un jeton d’actualisation. Cette méthode simplifie le processus et diminue les problèmes liés à l’invalidation des jetons.
- Accès stable : une fois configuré, les modifications des policies de sécurité du tenant, comme la réinscription à l’AMF, n’affectent pas le compte de service, assurant un accès ininterrompu à Configuration Manager.
-
Non interactif : le compte de service est non interactif, ce qui signifie que seul Configuration Manager y a accès, renforçant la sécurité en limitant les accès.
Inconvénients
- Autorisations fixes : le compte de service est créé avec des droits d’Administrateur général, sans possibilité de moduler le niveau d’autorisation.
- Accessibilité limitée : ce type de compte est non interactif ; il n’est pas possible de se connecter au tenant en tant qu’utilisateur service account ou de modifier ses propriétés.
- Exclusion de l’AMF : puisque le compte est non interactif et que vous ne disposez pas d’identifiants, il est impossible d’appliquer l’Authentification Multifacteur à ce compte. Il faut alors prévoir des exceptions dans les policies AMF pour ce compte.
En résumé, l’utilisation d’un compte de service avec Configuration Manager simplifie le processus d’authentification en supprimant les jetons d’actualisation et garantit un accès stable et cohérent au tenant. Cependant, cela implique d’accepter un niveau d’autorisations prédéfini et de prévoir des exclusions de policy de sécurité, ce qui peut ne pas convenir à toutes les postures de sécurité organisationnelles. Nous recommandons d’utiliser un compte de service pour votre tenant de référence ou pour les tenants non productifs.