[:fr]

Nous vous en parlions dans de précédents articles, la gamme “Forefront” de Microsoft tend à disparaître ; la solution “FIM” pour “Forefront Identity Manager” est devenu “MIM” pour “Microsoft Identity Manager”, disponible en téléchargement depuis fin 2014.

Les principales fonctionnalités sont pour rappel :

• Le provisionnement et la synchronisation des identités à travers des annuaires et systèmes hétérogènes
• Implémenter des workflows IAM
• La gestion du cycle de vie des certificats et smartcards
• La gestion des accès basés sur des rôles
• Les tâches en libre-service (réiniatialisation de mots de passe, gestion des groupes…)

Nouveautés et évolutions d’importance :

• La gestion des accès privilégiés
• L’IAM hybride
• La modernisation (Support de Windows Server 2012 R2, SharePoint 2013, SQL Server 2014, Exchange 2013, Visual Studio 2013, Exchange 2013) et la facilité d’utilisation.

Le principe du bastion de la Gestion des accès à privilèges (PAM, pour Privilege Access Management) consiste à :

• la création d’une “forêt bastion” (DC Win2k12R2 ou vNext),
• d’un “trust” entre la forêt bastion et celle de production,
• des groupes d’administration AD dans la forêt bastion (avec le même SID que les groupes de la forêt de production, destinés à cloisonner qui peut exécuter telles ou telles commandes à privilèges)
• enfin, vider les groupes d’administration de la forêt de production

Un administrateur peut par la suite faire une demande au travers de MIM (ou via un WS exploitant les APIs MIM), afin de devenir administrateur d’une partie du SI pendant un laps de temps défini.

La solution PAM peut gérer l’appartenance temporaire à un groupe, gère le reporting et s’intègre avec les solutions d’authentification forte MFA de Microsoft.

Le schéma suivant illustre en détail cette fonctionnalité PAM :

Microsoft a également réalisé une vidéo de présentation de cette nouvelle fonctionnalité PAM pour MIM (action à privilège présentée : la réinitialisation de mot de passe) :

[youtube]https://www.youtube.com/watch?v=Iqif5vRg2GY[/youtube]

Les Bastions de Gestion des comptes à privilèges devient une tendance et une nécessité en termes de sécurité auprès des entreprises. Microsoft s’aligne avec les éditeurs spécialisés dans ce secteur, comme notre partenaire WALLIX et ses Bastions.

Sources & ressources :

• Forefront Identity Manager vNext roadmap (now Microsoft Identity Manager)
• Microsoft prépare un outil de gestion des privilèges basé sur MIM, MFA et Kerberos – IdentityCosmos
• Microsoft Identity Manager Public Preview is now available!
• Vidéo de présentation du nouvel outil de gestion des privilèges intégré à MIM – IdentityCosmos
• MIM 2015 Privileged Access Management (PAM) demo

Yann

Consultant Sécurité

[:]