Quel que soit le système d’information, l'une des premières constantes d'un projet informatique reste la question de l'identité. L'identité est, ici, l'allégorie d'une personne physique présente au sein d'une société que nous pourrons définir comme étant un utilisateur.
Microsoft Identity Manager 2016 : revue des nouvelles fonctionnalités
L’idée de cet article n’est pas de présenter les bénéfices de disposer d’un outil de gestion des identités mais l’objet va être de vous présenter les nouveautés offertes par la solution MIM 2016 (Microsoft Identity Manager 2016). Avant de commencer, voici une petite rétrospective de l’évolution de l’outil de GDI (Gestion Des Identités) porté par Microsoft.
(((IMG8303)))
Prérequis système
La liste des systèmes supportés par MIM évolue avec entre autres :
- OS Serveur et interconnexion:
- * Windows Server 2008 R2 SP1
- * Windows Server 2012 & 2012 R2
- * SQL Server 2008 R2 SP3
- * SQL Server 2012 SP2
- * SQL Server 2014 SP1
- * Exchange Server 2007 SP3
- * Exchange Server 2010 SP3
- * Exchange Server 2013 SP1
- * SharePoint Foundation 2013 SP1
- * System Center Service Manager 2012 & 2012 R2
- Poste client:
- * Windows 7
- * Windows 8 & 8.1
- * Windows 10
- * Outlook 2007 SP2
- * Outlook 2010
- * Outlook 2013
- * IE 7 et supérieur
Privileged Access Management (Module PAM)
L’idée du module PAM est de changer radicalement l’attribution des privilèges au travers des groupes tels que :
- * Schema Admins
- * Enterprise Admins
- * Domain Admins
- * Administrators
- * Account Operators
- * …
L’objectif est d’utiliser les mécanismes de Just In Time (JIT) et de Privileged Identity Management (PIM) pour renforcer la sécurité du SI visant à ne pas attribuer un droit « perpétuel » à un compte.
Dans ce scénario, les différents groupes d’administration ne seront pas peuplés par les utilisateurs/administrateurs. Une demande devra être nécessaire afin d’octroyer l’appartenance de l’utilisateur comme membre du groupe et tout cela s’inscrivant dans la durée (2h, 2 jours, 2 semaines…).
Au niveau des mécanismes d’authentification, cela affectera directement les tokens Kerberos afin d’octroyer à l’utilisateur le privilège de réaliser l’action.
La notion de workflow d’approbation rentre directement en compte avec plusieurs scénarios possibles tel que :
- * L’acceptation automatique car l’utilisateur est présent dans un rôle défini
- * Worflow d’approbation par un tiers identifié
- * Utilisation d’une authentification forte (MFA)
(((IMG8304)))
(((IMG8305)))
Pour finir l’introduction à ce module, il faut noter qu’il est entièrement possible d’exploiter les commandes PowerShell propres à la fonctionnalité MIMPAM au travers de nouvelles API afin d’intégrer cette solution à des outils déjà existants. Par ailleurs, un portail par défaut est proposé avec ce module.
Il est également possible de monitorer l’activité de ces groupes en transmettant les événements à un système de type SIEM (Security Information Management System).
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre dossier Green IT sur les actions engagés par inmac wstore pour réduire son impact environnemental
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- 5 tendances 2025 pour un virage technologique stratégique
- Comment éviter les fuites de données ? un webinaire des experts Kyocera
- Black Friday le 29 novembre : les cybercriminels en embuscade, prudence !
- DSI & directeurs financiers : une relation plus solide pour de meilleurs résultats
- Le support IT traditionnel pourrait disparaitre d’ici 2027