Cet article s'applique aux clients qui ont rejoint CoreView avant mai 2022. Toutes les nouvelles activations utilisent notre configuration Secure By Default, où le rôle d'administrateur global n'est plus requis.
Cet article explique comment supprimer le rôle d'administrateur global du compte administrateur CoreView .
CoreView crée un compte administratif dans les comptes Microsoft 365 de nos clients pour agir en tant qu'utilisateur effectuant des activités de gestion au sein de Microsoft. En d'autres termes, un opérateur déclenchera une action de gestion telle que la modification d'un utilisateur au sein CoreView , mais le compte administratif CoreView est celui qui effectuera l'action au sein de Microsoft. Historiquement, CoreView exigeait que ce compte soit un administrateur global pour garantir qu'il puisse effectuer toutes les actions qui pourraient être nécessaires.
Compte tenu de l'évolution des meilleures pratiques de sécurité, CoreView reconnaît que la dépendance à l'égard d'un compte administratif global peut créer un risque excessif. Dans notre nouvelle configuration Sécurisé par défaut, les rôles suivants sont automatiquement attribués au compte CoreView Admin :
- Lecteur global
- Administrateur Exchange
- Administrateur des équipes
- Administrateur des utilisateurs
- Administrateur d'authentification
- Administrateur SharePoint
Les rôles suivants doivent être ajoutés manuellement :
- Administrateur d'authentification privilégié
- Administrateur de rôle privilégié
Sans les privilèges d'administration globale, le produit CoreView aura les limitations suivantes :
- Impossible de désactiver ou de supprimer un utilisateur avec un rôle d'administrateur
- Impossible de modifier le mot de passe d'un utilisateur avec un rôle d'administrateur
Comment modifier les autorisations pour les comptes d'administrateur existants
Pour tous les clients CoreView existants, aucune modification ne s’appliquera à votre environnement existant. Si vous souhaitez supprimer le rôle d'administrateur global de votre compte administratif CoreView , vous pouvez effectuer les étapes suivantes.
Veuillez fermer votre session de gestion avancée (si elle est ouverte), puis vous pourrez attribuer les autorisations suivantes à partir de la section « Gérer les rôles d'administrateur » de la carte utilisateur de l'administrateur de votre entreprise à partir du Centre d'administration Microsoft 365 :
Assurez-vous de supprimer le rôle d'administrateur global de votre liste et d'attribuer les rôles manquants dans la section « Tout afficher par catégorie » :
Cliquez sur le bouton bleu « Enregistrer les modifications » après avoir modifié l'autorisation attribuée.
Rotation des mots de passe
La rotation des mots de passe est obtenue en ajoutant les rôles d'identité suivants à l'utilisateur « 4ward365 » et les rôles suivants doivent être ajoutés :
- Administrateur d'authentification privilégié
- Administrateur de rôle privilégié
Nous avons deux stratégies de rotation en place :
Pour la gestion avancée des utilisateurs
Le mot de passe est automatiquement modifié tous les 7 jours et enregistré dans CoreView Azure Key Vault. Il s'agit du mot de passe associé au compte nommé :
4ward365.admin@yourdomain.onmicrosoft.com
Pour le compte de service
Tel que
coreview.reportsXY@yourdomain.onmicrosoft.com
le mot de passe n'est pas modifié mais utilise un modèle long et complexe. La clé de chiffrement est renouvelée une fois par mois et enregistrée dans CoreView Azure KeyVault.
Réactivation des privilèges d'administrateur global
Si vous souhaitez que l'application CoreView puisse désactiver et gérer les mots de passe des administrateurs globaux, vous pouvez ajouter le rôle d'administrateur global à l'utilisateur « administrateur de l'entreprise ».