Hello chers lecteurs
Dans cet article nous allons parler de la configuration du service annuaire dans Azure ATP.
En fait pour le configurer vous avez le choix entre :
- Un utilisateur et un mot de passe.
- Ou alors un compte de service administré du groupe (gMSA).
Cependant pour des raisons de sécurité il est préférable de configurer ATP avec un gMSA ( group Managed Service Account ).
Et c’est ce qu’on va voir dans cette article .
Un gMSA est un compte de services associé à un groupe de sécurité .Dans ce dernier seront ajoutés le ou les ordinateurs autorisés à utiliser ce compte.
Son utilisation nécessite au moins un schéma active directory égal à Windows Server 2012 et son usage peut être divers .
Exemple :
- Services Sql Web (IIS).
- Des services windows ou des taches planifiés.
Le mot de passe du compte gMSA est généré et maintenu par le service KDC (Key Distribution Service/ racine du service de distribution de clés)sur les DC.
Nous allons donc commencer par créer la clé KDS.
La bonne pratique en production est d’utiliser la commande citée ci-dessous.Le cas échéant vous devez attendre 10 heures pour que tous les contrôleurs de domaines aient le temps de répliquer .Ainsi après les 10 heurs ils devraient être capables de répondre aux requetes gMSA et par conséquent permettre la génération des mots de passes associés .
Add-KdsRootKey-EffectiveImmediately
Dans notre cas c’est un environnement de démo donc on va utiliser :
Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10)) 
Ensuite, nous allons créer le compte de service nommé ATP pour la machine hôte.
Dans l’OU Managed Services Acounts on retrouve le compte de service.
Une fois le compte créé on peut se connecter au portail ATP et cocher la case Compte de service administré du groupe .Renseignez le domaine et cliquez sur enregistré . L’authentification se fait désormais par le compte de service.
English
0 Comments