Mise en œuvre de la gestion des identités privilégiées (PIM) avec le portail RealmJoin
onglet Vue d'ensemble
Ce guide vous explique comment implémenter Microsoft Entra ID Privileged Identity Management (PIM) pour les groupes avec l'accès administratif au portail RealmJoin. PIM fournit un accès administratif juste-à-temps, réduisant les risques de sécurité en exigeant que les utilisateurs activent leurs rôles privilégiés lorsque nécessaire.
En implémentant PIM avec RealmJoin, les administrateurs doivent explicitement activer leurs privilèges d'administration pour une période de temps définie, créant une piste d'audit et réduisant la surface d'attaque liée aux accès administratifs persistants.
Prérequis
Licence Microsoft Entra ID P2 pour les utilisateurs nécessitant l'accès PIM
Permissions d'administrateur global ou d'administrateur de rôles privilégiés
Accès à la configuration du portail RealmJoin
Compréhension des groupes Microsoft Entra ID et des affectations de rôles
Étapes de mise en œuvre
Étape 1 : Créer des groupes affectables à des rôles
Créez deux groupes de sécurité dans Microsoft Entra ID. Bien que l'attribut « affectable à un rôle » ne soit plus une condition stricte, il reste recommandé pour une fonctionnalité PIM optimale.
Groupe 1 : Groupe d'éligibilité
Nom:
sec - PIM-Eligibility - RealmJoin Portal - AdminsObjectif: Contient les utilisateurs éligibles à l'accès administrateur RealmJoin
Type: Groupe de sécurité
Affectable à un rôle: Recommandé (Oui)
Groupe 2 : Groupe d'administrateurs actifs
Nom:
sec - PIM-Enabled - RealmJoin Portal - AdminsObjectif: Le groupe cible qui fournit les autorisations administratives réelles pour RealmJoin
Type: Groupe de sécurité
Affectable à un rôle: Recommandé (Oui)
Étape 2 : Configurer PIM pour les groupes
Activer PIM pour les groupes
Accédez à Microsoft Entra ID > Privileged Identity Management
Sélectionnez Groupes depuis le volet de navigation de gauche
Choisir Découvrir des groupes pour identifier les groupes éligibles à la gestion PIM
Sélectionnez vos groupes nouvellement créés pour les placer sous le contrôle de PIM
Pour des étapes de configuration détaillées, consultez la documentation officielle de Microsoft :
Configurer les paramètres du groupe
Définir la durée d'activation (recommandé : 1 à 8 heures)
Configurer les exigences d'approbation si nécessaire
Définir les exigences d'activation (MFA, justification métier)
Définir les politiques de durée maximale d'activation
Étape 3 : Attribuer l'éligibilité
Configurer l'éligibilité des utilisateurs pour le groupe activé PIM :
Dans PIM, naviguez vers Groupes > Affectations
Sélectionnez le
sec - PIM-Enabled - RealmJoin Portal - AdminsgroupeChoisir Ajouter des affectations
Sélectionnez Éligible type d'affectation
Choisissez des utilisateurs ou le groupe d'éligibilité (
sec - PIM-Eligibility - RealmJoin Portal - Admins)Définissez la durée et le calendrier d'affectation selon les besoins
Pour des conseils complets sur les affectations, voir : Attribuer l'éligibilité pour un groupe dans Privileged Identity Management
Logique de configuration
Flux de gestion des utilisateurs
Ajouter des utilisateurs au groupe d'éligibilité: Ajouter des comptes d'utilisateurs à
sec - PIM-Eligibility - RealmJoin Portal - AdminsCe groupe sert de source d'utilisateurs qui peuvent demander l'accès administrateur
Les utilisateurs de ce groupe peuvent activer leur appartenance au groupe activé PIM
Configurer le portail RealmJoin: Définir
sec - PIM-Enabled - RealmJoin Portal - Adminscomme le groupe administratif dans les paramètres du portail RealmJoinSeuls les membres actifs de ce groupe auront des permissions d'administration
Les utilisateurs doivent activer leur appartenance via PIM pour obtenir l'accès
Processus d'activation d'accès
Lorsque les utilisateurs ont besoin d'un accès administrateur RealmJoin :
L'utilisateur navigue vers Mon accès portail ou interface PIM
Demande l'activation de l'appartenance à
sec - PIM-Enabled - RealmJoin Portal - AdminsFournit une justification métier (si requis)
Complète le défi MFA (si configuré)
Reçoit un accès administrateur limité dans le temps au portail RealmJoin
L'accès expire automatiquement après la durée définie
Avantages en matière de sécurité
Accès juste-à-temps: Les privilèges d'administration sont accordés uniquement lorsque nécessaire
Piste d'audit: Toutes les demandes et approbations d'activation sont consignées
Surface d'attaque réduite: Moins de comptes administratifs persistants
Conformité: Prend en charge les exigences réglementaires pour la gestion des accès privilégiés
Durée contrôlée: L'accès administrateur expire automatiquement
Flux d'approbation: Processus d'approbation optionnels pour les rôles sensibles
Bonnes pratiques
Examens réguliers des accès: Examiner périodiquement les appartenances aux groupes et les affectations PIM
Durée appropriée: Définir des périodes d'activation en fonction de la durée typique des tâches administratives
Application du MFA: Toujours exiger l'authentification multi-facteurs pour l'activation
Justification métier: Exiger que les utilisateurs fournissent des raisons pour les demandes d'accès
Surveillance: Examiner régulièrement les journaux d'audit PIM pour détecter des schémas d'activation inhabituels
Documentation: Maintenir des procédures claires pour les scénarios d'accès d'urgence
Dépannage
Problèmes courants
Les utilisateurs ne voient pas l'option d'activation: Vérifiez la licence PIM et les affectations de groupe
L'activation échoue: Vérifiez la configuration du MFA et du flux d'approbation
Accès RealmJoin refusé: Confirmez que le bon groupe est configuré dans les paramètres du portail RealmJoin
Étapes de vérification
Testez le processus d'activation avec un utilisateur pilote
Vérifiez que le portail RealmJoin reconnaît le groupe activé PIM
Confirmez que la journalisation d'audit fonctionne correctement
Testez les procédures d'accès d'urgence
Ressources supplémentaires
Mis à jour
Ce contenu vous a-t-il été utile ?