Cet article explique comment adapter l’accès en lecture seule à votre tenant.
Configuration Manager utilise un principal de service pour lire et écrire des modifications dans les configurations prises en charge. Les utilisateurs peuvent utiliser un principal de service personnalisé pour adapter l’accès et les permissions du principal de service, y compris restreindre l’accès à certaines zones du tenant ou accorder une autorisation en lecture seule lorsque l’écriture de modifications n’est pas souhaitée.
Lisez cet article si vous souhaitez que votre principal de service personnalisé fonctionne avec des autorisations strictement en lecture seule.
Veuillez noter que l’utilisation d’un principal de service personnalisé avec des autorisations en lecture seule représente la forme la plus restrictive d’accès en lecture seule.
Approches pour mettre en place la synchronisation en lecture seule
Il existe deux options pour mettre en œuvre une synchronisation en lecture seule.
Option 1 : installer le tenant uniquement en tant que sauvegarde.
Cela signifie que la synchronisation n’effectuera qu’une opération de sauvegarde et n’essaiera pas d’écrire des modifications dans le tenant. Cette option est recommandée car elle empêche toute modification du tenant sans nécessiter de modifications des permissions du compte utilisateur ou des portées du principal de service.
Option 2 : installer le tenant avec un accès en lecture seule.
Cette option est idéale pour les clients ayant des protocoles de sécurité stricts qui empêchent l’accès en écriture à votre tenant. L’installation d’un tenant avec un accès en lecture seule comprend deux éléments :
- Si vous utilisez un compte utilisateur, assurez-vous d’installer avec authentification déléguée et de choisir un utilisateur qui possède à la fois les rôles de lecteur global et de lecteur de rapports, ou tous les rôles correspondant aux zones du tenant auxquelles vous souhaitez que Configuration Manager accède.
Il est important de noter que certaines configurations requièrent une gestion via un compte utilisateur. Microsoft exige que certaines configurations utilisent l’authentification déléguée via un compte utilisateur. Par conséquent, peu importe la restriction des autorisations du principal de service, si le compte utilisateur a un accès en écriture, il pourra toujours apporter des modifications à ces configurations. Ainsi, pour l’authentification déléguée, un rôle de lecteur global pour le compte utilisateur et un principal de service personnalisé avec des portées en lecture seule sont nécessaires pour maintenir un environnement sécurisé en lecture seule.
- Un principal de service est toujours nécessaire. Pour permettre l’accès en lecture seule, vous devez sélectionner l’option principal de service en lecture seule. Pour utiliser le principal de service en lecture seule, accédez à la page d’installation du tenant et sélectionnez l’option « Utiliser le principal de service de Simeon (lecture seule) »
- L’option en lecture seule installe le principal de service par défaut de Simeon, mais avec des portées en lecture seule. Retrouvez ici les portées en lecture seule utilisées par Configuration Manager : Portées en lecture seule
Si vous avez déjà installé le tenant avec le principal de service par défaut de Simeon, il est recommandé de supprimer d’abord le principal de service par défaut avant d’installer l’option en lecture seule. Vous pouvez également révoquer le consentement administrateur pour les portées non utilisées. (voir ci-dessous)
Veuillez noter que si vous réinstallez votre tenant sans supprimer le principal de service, certaines portées en écriture pourraient rester appliquées et votre synchronisation pourrait être en attente d’approbation pour effectuer des modifications si cela est demandé lors de la réconciliation.
Supprimer le principal de service par défaut
Avant de réinstaller le tenant pour utiliser le principal de service en lecture seule, supprimez le principal de service par défaut en suivant ces étapes :
- Connectez-vous au tenant sur https://portal.azure.com/
- Accédez à Inscription des applications > Simeon Cloud Sync
- À gauche, sélectionnez l’onglet Vue d’ensemble > Supprimer en haut
Révoquer le consentement administrateur pour les portées non utilisées
Si vous préférez ne pas supprimer le principal de service, vous pouvez révoquer le consentement administrateur pour les portées non utilisées :
- Connectez-vous au tenant sur https://portal.azure.com/
- Accédez à Inscription des applications > Simeon Cloud Sync
- À gauche, sélectionnez l’onglet Autorisations API > faites défiler vers « Autres autorisations accordées au tenant »
4. Sélectionnez les trois points > révoquer le consentement administrateur
Principal de service personnalisé
Configuration Manager offre la possibilité de personnaliser un principal de service avec uniquement les portées et permissions nécessaires pour chaque tenant. Pour configurer certaines zones du tenant en lecture seule, vous pouvez appliquer des portées en lecture seule via un principal de service personnalisé.
Comprendre les portées
Lors de la création d’un principal de service personnalisé dans le portail, vous verrez l’option d’assigner des portées spécifiques, qui déterminent les permissions accordées. Ces portées se divisent en deux catégories :
Portées déléguées
Ces permissions permettent au principal de service d’agir au nom d’un utilisateur spécifié. Par exemple, si user@coreview.com est votre utilisateur d’authentification déléguée, les actions s’effectuent par l’intermédiaire de cet utilisateur.
Portées d’application
Celles-ci définissent ce que l’application peut effectuer de façon autonome, sans référence à un compte utilisateur. Assurez-vous que les deux types de portées sont correctement configurés dans le portail.
La plupart des portées sont généralement définies sur readwrite par défaut (à l’exception du journal d’audit, qui est intrinsèquement en lecture seule). Si vous utilisiez ces portées readwrite, le principal de service serait autorisé à lire les configurations et à effectuer des modifications. Pour appliquer un accès en lecture seule, vous pouvez simplement remplacer readwrite.all par read.all, limitant ainsi les permissions à la lecture seule.