Mise en œuvre de Privileged Identity Management (PIM) avec le portail RealmJoin

Overview

Ce guide vous accompagne dans la mise en œuvre de Microsoft Entra ID Privileged Identity Management (PIM) pour Groups avec l’accès administratif de RealmJoin Portal. PIM fournit un accès administratif juste-à-temps, réduisant les risques de sécurité en exigeant des utilisateurs qu’ils activent leurs rôles privilégiés lorsque cela est nécessaire.

En mettant en œuvre PIM avec RealmJoin, les administrateurs doivent activer explicitement leurs privilèges d’administration pour une période définie, créant ainsi une piste d’audit et réduisant la surface d’attaque liée à un accès administratif persistant.

Prérequis

Licences Microsoft Entra ID P2 pour les utilisateurs nécessitant un accès PIM
Autorisations d’administrateur général ou d’administrateur de rôles privilégiés
Accès à la configuration de RealmJoin Portal
Compréhension de Microsoft Entra ID Groups et des attributions de rôles

Étapes de mise en œuvre

Étape 1 : Créer des groupes attribuables à des rôles

Créez deux Security Group dans Microsoft Entra ID. Bien que l’attribut « role-assignable » ne soit plus un prérequis strict, il reste recommandé pour une fonctionnalité PIM optimale.

Groupe 1 : Groupe d’éligibilité

Nom: sec - PIM-Eligibility - RealmJoin Portal - Admins
Objectif: Contient les utilisateurs éligibles à l’accès administrateur RealmJoin
Type: Security Group
Attribuable à des rôles: Recommandé (Oui)

Groupe 2 : Groupe d’administrateurs actifs

Nom: sec - PIM-Enabled - RealmJoin Portal - Admins
Objectif: Le groupe cible qui fournit les autorisations d’administration RealmJoin réelles
Type: Security Group
Attribuable à des rôles: Recommandé (Oui)

Étape 2 : Configurer PIM pour Groups

Activer PIM pour Groups

Accédez à Microsoft Entra ID > Privileged Identity Management
Sélectionnez Groupes dans le volet de navigation de gauche
Choisissez Découvrir les groupes pour identifier les groupes éligibles à la gestion PIM
Sélectionnez vos groupes nouvellement créés pour les placer sous le contrôle de PIM

Pour connaître les étapes de configuration détaillées, reportez-vous à la documentation officielle Microsoft :

Configurer les paramètres du groupe

Définir la durée d’activation (recommandé : 1 à 8 heures)
Configurer les exigences d’approbation si nécessaire
Définir les exigences d’activation (MFA, justification métier)
Définir les politiques de durée maximale d’activation

Étape 3 : Attribuer l’éligibilité

Configurez l’éligibilité des utilisateurs pour le groupe activé par PIM :

Dans PIM, accédez à Groupes > Affectations
Sélectionnez le sec - PIM-Enabled - RealmJoin Portal - Admins groupe
Choisissez Ajouter des attributions
Sélectionnez Éligible type d’attribution
Choisissez des utilisateurs ou le groupe d’éligibilité (sec - PIM-Eligibility - RealmJoin Portal - Admins)
Définissez la durée et le planning de l’attribution selon les besoins

Pour des conseils complets sur les attributions, consultez : Attribuer l’éligibilité pour un groupe dans Privileged Identity Management

Logique de configuration

Flux de gestion des utilisateurs

Ajouter des utilisateurs au groupe d’éligibilité: Ajoutez des comptes utilisateurs à sec - PIM-Eligibility - RealmJoin Portal - Admins
- Ce groupe sert de source d’utilisateurs pouvant demander un accès administrateur
- Les utilisateurs de ce groupe peuvent activer leur appartenance au groupe activé par PIM
Configurer RealmJoin Portal: Définir sec - PIM-Enabled - RealmJoin Portal - Admins comme groupe administratif dans les paramètres de RealmJoin Portal
- Seuls les membres actifs de ce groupe disposeront des autorisations d’administration
- Les utilisateurs doivent activer leur appartenance via PIM pour obtenir l’accès

Processus d’activation de l’accès

Lorsque les utilisateurs ont besoin d’un accès administrateur RealmJoin :

L’utilisateur accède à Mon accès portail ou interface PIM
Demande l’activation de l’appartenance à sec - PIM-Enabled - RealmJoin Portal - Admins
Fournit une justification métier (si nécessaire)
Termine le défi MFA (si configuré)
Obtient un accès administrateur limité dans le temps à RealmJoin Portal
L’accès expire automatiquement à l’issue de la durée définie

Avantages en matière de sécurité

Accès juste-à-temps: Les privilèges d’administration ne sont accordés qu’en cas de besoin
Piste d’audit: Toutes les demandes et approbations d’activation sont consignées
Surface d’attaque réduite: Moins de comptes d’administrateur persistants
Conformité: Prend en charge les exigences réglementaires en matière de gestion des accès privilégiés
Durée contrôlée: L’accès administrateur expire automatiquement
Flux d’approbation: Processus d’approbation facultatifs pour les rôles sensibles

Bonnes pratiques

Revues d’accès régulières: Révisez périodiquement les appartenances aux groupes et les attributions PIM
Durée appropriée: Définissez les périodes d’activation en fonction de la durée habituelle des tâches d’administration
Application du MFA: Exigez toujours l’authentification multifacteur pour l’activation
Justification métier: Exigez des utilisateurs qu’ils fournissent un motif pour leurs demandes d’accès
Surveillance: Examinez régulièrement les journaux d’audit PIM pour repérer des schémas d’activation inhabituels
la documentation: Maintenez des procédures claires pour les scénarios d’accès d’urgence

Dépannage

Problèmes courants

Les utilisateurs ne voient pas l’option d’activation: Vérifiez la licence PIM et les attributions de groupe
L’activation échoue: Vérifiez la configuration du MFA et du flux de travail d’approbation
Accès RealmJoin refusé: Confirmez que le groupe correct est configuré dans les paramètres de RealmJoin Portal

Étapes de vérification

Testez le processus d’activation avec un utilisateur pilote
Vérifiez que RealmJoin Portal reconnaît le groupe activé par PIM
Confirmez que la journalisation d’audit fonctionne correctement
Testez les procédures d’accès d’urgence

Ressources supplémentaires

Mis à jour il y a 9 mois

Ce contenu vous a-t-il été utile ?