Que vous choisissiez d’installer votre tenant en utilisant l’authentification de compte utilisateur, ou uniquement avec un service principal, Configuration Manager créera également un service principal dans le tenant que vous installez. Si la méthode d’authentification par compte utilisateur est sélectionnée, le service principal sera créé en plus des comptes utilisateur requis, de l’authentification déléguée ou du compte de service.
Qu’est-ce qu’un service principal ?
Ce principal de service aide à s’authentifier dans le tenant et à apporter des modifications de configuration aux configurations prises en charge lorsque cela est possible.
Veuillez noter que si vous choisissez d’installer votre tenant avec l’option uniquement service principal, cela évite d’avoir à authentifier un compte utilisateur mais réduit le nombre de configurations prises en charge par la synchronisation.
Par défaut, lorsque vous installez un tenant, Configuration Manager crée un principal de service nommé
Simeon Cloud Sync dans ce tenant.
Voici les points clés à retenir concernant l’authentification par principal de service :
- Toutes les configurations ne peuvent pas être synchronisées en utilisant un principal de service, car la prise en charge de cette méthode par Microsoft est limitée.
- Configuration Manager utilisera le principal de service pour synchroniser les configurations lorsque cela sera possible.
- Pour les configurations qui ne peuvent pas être synchronisées via le principal de service, Configuration Manager reviendra à l’utilisation du compte utilisateur spécifié lors de l’installation, soit par authentification déléguée, soit par un compte de service (voir la section suivante).
- L’utilisation du principal de service pour les configurations prises en charge améliore la sécurité puisqu’aucun compte utilisateur n’est impliqué.
Principal de service en lecture seule
Configuration Manager propose une option de principal de service en lecture seule pour les organisations ayant des protocoles de sécurité stricts n’autorisant pas l’accès en écriture à votre tenant. Pour un accès strictement en lecture seule, cette option doit être utilisée en complément d’un compte utilisateur en lecture seule et peut nécessiter une configuration supplémentaire. Avant de sélectionner cette option, veuillez consulter notre documentation sur la configuration de la synchronisation en lecture seule.
Veuillez noter que certaines configurations ne seront pas prises en charge lorsque vous utilisez cette option. Microsoft ne fournit pas de portées de lecture seule pour toutes les zones du tenant couvertes par l’option principal de service par défaut. Pour voir quelles autorisations sont prises en charge, consultez la documentation sur les portées de lecture seule.
Principal de service personnalisé
Si vous préférez ne pas utiliser le principal de service par défaut de Configuration Manager, ou si vous souhaitez avoir un contrôle très granulaire sur tous les aspects de l’accès de Configuration Manager à votre tenant, vous pouvez apporter votre propre principal de service personnalisé. Cette approche vous permet d’attribuer les propriétés et les portées au principal de service selon vos besoins.
Configuration Manager utilisera alors votre principal de service personnalisé au lieu de celui par défaut.
Instructions pour créer un principal de service personnalisé
Pour créer et configurer un principal de service personnalisé dans le portail Azure, suivez ces étapes :
- Créez le principal de service avec les autorisations souhaitées dans le portail Azure :
- Allez sur portal.azure.com > Applications d’entreprise > + Nouvelle application > + Créer votre propre application
- Donnez un nom à votre application et sélectionnez Non-galerie
- Configurez le principal de service comme suit :
- Allez sur portal.azure.com > Inscriptions d’applications > Ouvrir l’inscription de l’application personnalisée
- Exposez une API > + Ajouter une portée
- URI de l’ID d’application :
api://simeoncloud/{tenantId} - Nom de la portée : user_impersonation
- Qui peut donner son consentement : Administrateurs uniquement
- Nom d’affichage du consentement administrateur : Accéder aux ressources en tant qu’utilisateur usurpé
- Description du consentement administrateur : Permet à l’application de lire et écrire les ressources en tant qu’utilisateur usurpé
- État : Activé
- URI de l’ID d’application :
- + Ajouter une application cliente
- ID client : 1950a258-227b-4e31-a9cf-717495945fc2 (cet ID est celui de Microsoft Azure PowerShell)
- Portées autorisées : Cochez la case à côté de
api://simeoncloud…
- Autorisations API > + Ajouter une autorisation
- Vous pouvez choisir les autorisations correspondant aux types de configuration que vous souhaitez synchroniser
- Pour une liste des portées utilisées par Configuration Manager, veuillez consulter ce guide.
- Pour voir la configuration par défaut du principal de service de synchronisation Configuration Manager, consultez cette page.
-
Accordez le consentement administrateur pour MSFT au principal de service que vous avez créé :
- Dans le portail Azure > Inscriptions d’applications > Autorisations API > Accorder le consentement administrateur pour MSFT
-
Créez une clé secrète :
- Dans « Certificats et secrets » > + nouveau secret client > suivez les instructions à l’écran.
-
Accédez à l’Application Configuration Manager > Installer > Paramètres avancés
- Si vous réinstallez un tenant existant, passez sur Nouveau tenant > Tenant existant pour voir les tenants existants
- Sélectionnez Utiliser un principal de service personnalisé
- Saisissez l’AppID de l’application depuis le portail Azure; à ne pas confondre avec l’ID d’objet.
- Saisissez la clé secrète de l’application générée à l’étape 4 ci-dessus.
- Poursuivez avec l’installation du tenant et la synchronisation.