La session de gestion CoreView permet aux opérateurs d'exécuter :
- actions de gestion
- actions personnalisées
- et les flux de travail.
Pour activer la session de gestion, vous pouvez créer un compte de service de gestion ou utiliser les informations d'identification d'administrateur global Microsoft 365 avec MFA désactivé.
Qu'est-ce qu'une séance de gestion ?
Le « Management » de CoreView est un outil qui établit un canal PowerShell vers votre locataire Microsoft 365, permettant l'exécution d'actions. La plupart des actions nécessitent que la « Gestion » soit activée pour l'exécution, bien que certaines actions nécessitent à la place l'API Graph.
La session de gestion peut être activée par chaque opérateur ayant le rôle « Gestion ».
Configurations
Il existe deux configurations possibles pour les sessions de gestion CoreView :
Compte de service de gestion – Aucune information d'identification requise (recommandé)
Cette fonctionnalité permet aux administrateurs de niveau inférieur et aux opérateurs du service d'assistance d'apporter des modifications déléguées aux comptes d'utilisateurs définis, car aucune information d'identification Microsoft n'est utilisée pour activer ce type de session de gestion.
Informations d'identification Microsoft Global Admin avec MFA désactivé requises
CoreView crée une session PowerShell interactive avec Microsoft 365. Comme il n'existe pas de bon moyen d'introduire la valeur du jeton dans cette session, le compte administrateur global utilisé pour activer la session de gestion ne doit PAS avoir MFA activé.
Quelle est la différence entre les deux configurations ?
L'utilisation de la configuration "Compte de service de gestion" est recommandée car elle est plus sécurisée. Cela évite d’avoir à donner des informations d’identification d’administrateur global aux opérateurs délégués.
Pourquoi créer le compte de service de gestion ?
La configuration « Compte de service de gestion » est la configuration préférable car :
- Cela évite la prolifération des comptes administratifs sur Microsoft, tout en gardant tout dans CoreView ;
- Garantit que les opérateurs délégués disposent à tout moment des autorisations requises pour effectuer des actions de gestion, car les autorisations elles-mêmes sont définies uniquement sur CoreView (autre que sur Microsoft également).
- Vous offre une option « Activer automatiquement la session de gestion » pour activer automatiquement la session lorsque les opérateurs exécutent des actions si la session est désactivée.
Comment fonctionne le « Compte de service de gestion »
CoreView crée un compte de service avec les rôles administratifs suivants :
- Administrateur d'authentification
- Administrateur d'échange
- Lecteur global
- Lecteur de rapports
- Administrateur SharePoint
- Administrateur Teams
- et administrateur des utilisateurs.
Les informations d'identification de ce compte sont stockées dans Microsoft Azure Key Vault et modifiées une fois par semaine.
Qu’est-ce que Key Vault et pourquoi c’est important
Key Vault est un module de sécurité matériel spécialement conçu pour stocker des informations hautement confidentielles telles que des mots de passe et des informations de carte de crédit. Grâce aux informations d'identification stockées dans Key Vault, CoreView peut élever ses privilèges sans jamais avoir accès au mot de passe lui-même. De plus, Key Vault modifie automatiquement le mot de passe chaque semaine. La longueur du mot de passe est de 16 caractères et sa complexité est composée de :
- Lettres majuscules et minuscules
- Caractères spéciaux
- Nombres
Key Vault permet à CoreView d'accéder à un jeton d'autorisation à la demande, lui permettant d'élever les droits du compte de service et d'effectuer l'action demandée par l'opérateur. Cela vous permet de déléguer des actions très spécifiques à un opérateur qui devrait autrement se voir confier des informations d'identification d'administrateur global. Toutes les opérations sont auditées directement par Microsoft Azure.