Microsoft Identity Manager 2016 : revue des nouvelles fonctionnalités

L’idée de cet article n’est pas de présenter les bénéfices de disposer d’un outil de gestion des identités mais l’objet va être de vous présenter les nouveautés offertes par la solution MIM 2016 (Microsoft Identity Manager 2016). Avant de commencer, voici une petite rétrospective de l’évolution de l’outil de GDI (Gestion Des Identités) porté par Microsoft.

(((IMG8303))) 

Prérequis système 

La liste des systèmes supportés par MIM évolue avec entre autres :

• OS Serveur et interconnexion:
• * Windows Server 2008 R2 SP1
• * Windows Server 2012 & 2012 R2
• * SQL Server 2008 R2 SP3
• * SQL Server 2012 SP2
• * SQL Server 2014 SP1
• * Exchange Server 2007 SP3
• * Exchange Server 2010 SP3
• * Exchange Server 2013 SP1
• * SharePoint Foundation 2013 SP1
• * System Center Service Manager 2012 & 2012 R2

• Poste client:
• * Windows 7
• * Windows 8 & 8.1
• * Windows 10
• * Outlook 2007 SP2
• * Outlook 2010
• * Outlook 2013
• * IE 7 et supérieur

Privileged Access Management (Module PAM)

L’idée du module PAM est de changer radicalement l’attribution des privilèges au travers des groupes tels que :

• * Schema Admins
• * Enterprise Admins
• * Domain Admins
• * Administrators
• * Account Operators
• * …

L’objectif est d’utiliser les mécanismes de Just In Time (JIT) et de Privileged Identity Management (PIM) pour renforcer la sécurité du SI visant à ne pas attribuer un droit « perpétuel » à un compte.

Dans ce scénario, les différents groupes d’administration ne seront pas peuplés par les utilisateurs/administrateurs. Une demande devra être nécessaire afin d’octroyer l’appartenance de l’utilisateur comme membre du groupe et tout cela s’inscrivant dans la durée (2h, 2 jours, 2 semaines…).

Au niveau des mécanismes d’authentification, cela affectera directement les tokens Kerberos afin d’octroyer à l’utilisateur le privilège de réaliser l’action. 

La notion de workflow d’approbation rentre directement en compte avec plusieurs scénarios possibles tel que :

• * L’acceptation automatique car l’utilisateur est présent dans un rôle défini
• * Worflow d’approbation par un tiers identifié
• * Utilisation d’une authentification forte (MFA) 

(((IMG8304))) 

(((IMG8305)))  

Pour finir l’introduction à ce module, il faut noter qu’il est entièrement possible d’exploiter les commandes PowerShell propres à la fonctionnalité MIMPAM au travers de nouvelles API afin d’intégrer cette solution à des outils déjà existants. Par ailleurs, un portail par défaut est proposé avec ce module.

Il est également possible de monitorer l’activité de ces groupes en transmettant les événements à un système de type SIEM (Security Information Management System).