jeudi 6 août 2015

[MIM] Bienvenue à Microsoft Identity Manager 2016


Microsoft a récemment publié en catimini la version RTM du successeur de Forefront Identity Manager 2010 R2 à savoir Microsoft Identity Manager 2016 (je me pose toujours la question de pourquoi 2016), qui apporte les principales nouveautés suivantes :

I/ Utilisation hybride avec le cloud

Il est possible d'intégrer les rapports dans le portail de gestion d'Azure, ce qui permet avec un abonnement Azure AD Premium d'obtenir toute l'activité de MIM consolidée dans les rapports d'Azure AD en supplément de ceux fournis par défaut par ce service.

Par exemple il sera possible d'avoir les événements liés à la réinitialisation du mot de passe disponible en libre-service, il sera présent dans la section Password Reset Activity Report de l'onglet Azure AD Reports. Pour plus d'information sur le sujet je vous conseil de consulter la page dédiée sur le sujet.

De plus le portail de réinitialisation de mot de passe pourra être associé à un second facteur d'authentification fourni par Azure multi-factor authentication (MFA).

 

II/ Privileged Identity Management

Afin de protéger les comptes à haut privilèges d'Active Directory tels que :
  • Account Operators
  • Administrators
  • Backup Operators
  • Cert Publishers
  • Domain Admins
  • Enterprise Admins
  • Group Policy Creator Owners
  • Schema Admins
  • Server Operators
Une infrastructure de type bastion est souvent mise en place, il est possible d’y ajouter une brique Privileged Access Management (PAM) afin de renforcer la protection des ces comptes, au travers de mécanismes de type Just In Time (JIT) et Privileged Identity Management (PIM).

Ces différents mécanismes additionnés permettent de rendre en temps normal ces groupes vides et peuplés à la demande. De plus l’appartenance à ces groupes sont effectivement limités dans le temps (avec un minima théorique de 5 minutes) ce qui permet aussi d’impacter les tokens Kerberos affecté au compte (reprenant le temps minima le plus contraignant entre ce mécanisme et les GPOs).

Le workflow de gestion permet l’approbation automatique selon plusieurs critères tels que l’authentification, le fait de faire partie d’un rôle MIM précis, l’utilisation d’un second facteur de type MFA par exemple, ou bien une validation manuelle par différents intervenants. Il est possible lors de la création des différents rôles de configurer finement toutes ces conditions et si on le souhaite attribuer la validation manuelle de ces demandes d'élévation de privilège.

La forêt existante de production doit au minimum être de niveau fonctionnelle 2003 au minimum (attention à la fin de supportabilité de 2003 ;)), cependant la forêt du bastion qui hébergera MIM devra avoir un niveau fonctionnel 2012 R2 ou plus. Et seul un trust unidirectionnel de forêt devra être mise en place entre ces dernières.

Après la mise en place de la fonctionnalité PAM de MIM, les groupes “protégés” seront sous surveillances. Ainsi si un utilisateur tente de s’y ajouter alors qu’il n’y est pas autorisé une alerte sera levée au sein du journal d’événement au niveau de la forêt du bastion, ce dernier pouvant être transmis au niveau du SIEM.

De plus différentes commandes PowerShell ont été ajoutées afin de gérer ce module, il est possible de lister ces cmdlets en exécutant Get-Command -Module MIMPAM.


Enfin de nouvelles API de type REST font leur apparition afin d’intégrer la gestion du PAM avec des outils déjà existant dans le réseau d'entreprise, voir créer son propre portail qui dialoguera avec le module PowerShell au travers d’API de type SOAP, un exemple de portail est d’ailleurs disponible.

 

III/ Certificate manager

Certificate manager apporte désormais la possibilité de gérer les cartes à puces virtuelles apparues avec Windows 8.x. Une application de type ModernUI est désormais disponible et permet de s'affranchir des lignes de commandes, ce qui apporte une meilleur gestion de cette dernière aussi bien pour l'étape de préparation de la puce TPM, que de la gestion des certificats.

Ceci est rendu possible par les API REST fourni par le serveur, afin d'adresser les scénarios suivants :
  • Création de la Virtual Smart Card
  • Demande d'un certificat logiciel
  • Demande de certificat avec une génération de la paire de clé par MIM (PFX)
  • Demande de certificat pour une Virtual Smart Card existante
  • Récupération d'un certificat supprimé
  • Consulter les détails d'un certificat (Issuer, Thumbprint, etc...)

Enfin, le portail d'administration de Certificate manager a été mise à jour avec de nouveaux compteurs de performance, de nouveaux journaux d'événements et la possibilité de gérer la vie privée avec la possibilité d'ajouter un lien en relation avec cette dernière dans l'application cliente.

 

IV/ Portail de gestion du mot de passe en libre-service

Il arrive parfois après un changement de mot de passe que certaines applications utilisent l'ancienne information mise en cache pour s'authentifier (comme Outlook par exemple), ce qui a pour conséquence de verrouiller le compte de l'utilisateur. Un nouveau service nommé self-service account unlock (SSAU) permet d'étendre les fonctionnalités offertes par le portail de réinitialisation du mot de passe. En effet après vérification de l'utilisateur par un OTP de type MFA par exemple, on peut dissocier le fait de déverrouiller son compte du fait de changer son de mot de passe.

 

V/ Prérequis

La liste des différentes technologies supportées a aussi été remis au gout du jour.

 

V.1) Partie Serveur

Les briques serveur nécessaires au bon fonctionnement de MIM ne peuvent s'installer que sur les OS suivants :
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

 

V.2) Partie Client

Quant à l'agent il supporte les versions suivantes :
  • Microsoft Windows 7
  • Microsoft Windows8.1
  • Microsoft Outlook 2007 SP2
  • Microsoft Outlook 2010
  • Microsoft Outlook 2013
  • Internet Explorer 8 et plus
Bizarrement il semblerait que le support de Windows 10 et Microsoft Edge ne soient pas au rendez-vous. Espérons qu'une mise à jour permettra le support de ces derniers.
[UPDATE] : Microsoft à annoncé le support de Windows 10.

V.3) Divers

La base de donnée de MIM pourra être déployée sur :
  • Microsoft SQL Server 2008 R2 x64
  • Microsoft SQL Server 2012
  • Microsoft SQL Server 2014
Cependant sans aucune précision sur le support des différents mécanismes de haute disponibilité tel qu'AlwaysOn  par exemple.

Les différents workflow pourront se reposer sur les versions suivantes d'Exchange pour l'envoi d'e-mail :
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
Le portail supporte quant à lui :
  • SharePoint Foundation 2013 with SP1
Il est aussi annoncé le support de Service manager, mais il faut que je creuse le sujet pour étudier les différents scénario d'usage :
  • System Center Service Manager 2012 
  • System Center Service Manager 2012 R2

 

VI/ Ressources

Pour plus d'information vous pouvez consulter: le site dédié à MIM 2016, de plus attention aux fonctionnalités dépréciées.

Vous pouvez télécharger cette version aux l'adresses suivantes :
Afin de plonger les mains dans la partie technique :
Quelques informations sur le déploiement avant de foncer tête baissée ;) :
Quelques informations supplémentaires sur le Privileged Identity management et sur l'utilisation de MIM Certificate Manager.

Aucun commentaire:

Publier un commentaire