Avec un compte Azure actif et un ou plusieurs locataires Azure, vous pouvez configurer DRA pour qu'il utilise Azure Active Directory pour gérer les objets Utilisateur et Groupe. Ces objets incluent les utilisateurs et les groupes créés dans Azure, ainsi que ceux synchronisés avec le locataire Azure à partir des domaines gérés par DRA.
Les modules PowerShell pour Azure « Azure Active Directory » et « Profil Azure Resource Manager » sont nécessaires pour gérer les tâches Azure. Vous avez également besoin d'un compte dans Azure Active Directory. Pour plus d'informations sur les autorisations relatives au compte d'accès aux locataires Azure, reportez-vous à la section Comptes d'accès DRA à privilège minimal.
IMPORTANT :Les opérations sur les objets Azure telles que la création, la modification, la suppression, la désactivation et l'activation ne sont pas prises en charge par la console de délégation et de configuration.
Vous pouvez utiliser l'administrateur DRA ou un assistant administrateur disposant du rôle délégué « Configurer les serveurs et les domaines » pour gérer les locataires Azure, et les rôles intégrés Azure sont nécessaires pour gérer les objets Azure.
Pour déléguer des objets Azure, assignez les rôles Azure suivants :
Azure Group Administration (Administration des groupes Azure) : fournit tous les pouvoirs nécessaires pour gérer les groupes Azure et l'appartenance correspondante.
Azure User Administration (Administration des utilisateurs Azure) : fournit tous les pouvoirs nécessaires pour gérer les utilisateurs Azure.
Utilisez les pouvoirs ci-dessous pour déléguer la création et la gestion des utilisateurs et des groupes Azure.
Pouvoirs des comptes utilisateur Azure :
Créer un utilisateur Azure et modifier toutes les propriétés
Supprimer définitivement le compte utilisateur Azure
Gérer la connexion pour les utilisateurs Azure
Gérer la connexion pour les utilisateurs Azure synchronisés avec le locataire Azure
Modifier toutes les propriétés des utilisateurs Azure
Réinitialiser le mot de passe d'un compte utilisateur Azure
Afficher toutes les propriétés des utilisateurs Azure
Pouvoirs des groupes Azure :
Ajouter un objet à un groupe Azure
Créer un groupe Azure et modifier toutes les propriétés
Supprimer un compte de groupe Azure
Modifier toutes les propriétés des groupes Azure
Supprimer un objet d'un groupe Azure
Afficher toutes les propriétés des groupes Azure
Pour gérer les propriétés de niveau granulaire des utilisateurs ou des groupes Azure, vous pouvez créer des pouvoirs personnalisés en sélectionnant des attributs d'objet donnés.
Les types de groupes Azure suivants sont pris en charge :
Liste de distribution
Sécurité à extension messagerie
Office 365
Sécurité
REMARQUE :les utilisateurs invités créés dans Azure ne sont pas pris en charge.
Pour gérer un nouveau locataire Azure, ajoutez-le en créant une application Azure dans la console de délégation et de configuration. DRA prend en charge la création d'une application Azure en ligne et hors ligne, et requiert une application Azure disposant des autorisations suivantes pour pouvoir gérer les objets du locataire :
Accéder en lecture et en écriture aux profils complets de tous les utilisateurs
Accéder en lecture et en écriture à tous les groupes
Accéder en lecture aux données d'annuaire
Ces autorisations sont accordées automatiquement à l'application Azure en mode en ligne et hors ligne.
Pour créer une application Azure en ligne et ajouter un locataire, procédez comme suit :
Dans la console de délégation et de configuration, accédez à Configuration Management (Gestion de la configuration) > Azure Tenants (Locataires Azure).
Cliquez avec le bouton droit sur Azure Tenants (Locataires Azure), puis sélectionnez New Azure Tenant (Nouveau locataire Azure).
(Facultatif) Spécifiez l'attribut d'ancre source utilisé pour assigner vos objets Active Directory à Azure lors de la synchronisation.
Spécifiez le compte servant à accéder au locataire Azure, puis validez les informations d'identification.
Pour plus d'informations sur les autorisations relatives au compte d'accès aux locataires Azure, reportez-vous à la section Comptes d'accès DRA à privilège minimal.
Sélectionnez l'option Allow DRA to create the Azure application (Autoriser DRA à créer l'application Azure).
Spécifiez les informations d'identification d'un compte utilisateur disposant du rôle d'administrateur d'entreprise Azure AD, puis validez-les.
Cliquez sur Finish (Terminer).
L'ajout du locataire Azure peut prendre plusieurs minutes. Une fois le locataire ajouté, DRA effectue un rafraîchissement complet du cache de comptes pour le locataire. Le locataire ajouté s'affiche ensuite dans le volet d'affichage des locataires Azure.
Pour créer une application Azure hors ligne pour DRA et ajouter un locataire, procédez comme suit :
Dans la console de délégation et de configuration, accédez à Configuration Management (Gestion de la configuration) > Azure Tenants (Locataires Azure).
Cliquez avec le bouton droit sur Azure Tenants (Locataires Azure), puis sélectionnez New Azure Tenant (Nouveau locataire Azure).
(Facultatif) Spécifiez l'attribut d'ancre source utilisé pour assigner vos objets Active Directory à Azure lors de la synchronisation.
Spécifiez le compte servant à accéder au locataire Azure, puis validez les informations d'identification.
Sélectionnez l'option Create the Azure application offline (Créer l'application Azure hors ligne).
Lancez une session PowerShell sur le serveur d'administration DRA, puis accédez à C:\Program Files (x86)\NetIQ\DRA\SupportingFiles.
Exécutez . .\NewDraAzureApplication.ps1 pour charger PowerShell.
Exécutez l'applet de commande New-DRAAzureApplication pour entrer des paramètres.
Spécifiez les paramètres suivants pour New-DraAzureApplication :
<name> : définissez le nom de l'application issu de l'Assistant du locataire.
IMPORTANT :Micro Focus vous recommande d'utiliser le nom spécifié dans la console DRA.
(Facultatif) <environment> : spécifiez AzureCloud, AzureChinaCloud, AzureGermanyCloud ou AzureUSGovernment en fonction du locataire utilisé.
Dans la boîte de dialogue des informations d'identification, spécifiez les informations d'identification de l'administrateur d'entreprise.
L'ID et le mot de passe de l'application Azure sont générés.
Copiez l'ID et le mot de passe de l'application dans la console DRA (option DRA Azure Application Credentials [Informations d'identification de l'application Azure pour DRA] dans l'Assistant du locataire), puis validez les informations d'identification.
Cliquez sur Finish (Terminer).
L'ajout du locataire Azure peut prendre plusieurs minutes. Une fois le locataire ajouté, DRA effectue un rafraîchissement complet du cache de comptes pour le locataire. Le locataire ajouté s'affiche ensuite dans le volet d'affichage des locataires Azure.
Suivez la procédure ci-dessous pour réinitialiser un mot de passe Azure, en ligne ou hors ligne, le cas échéant.
Pour réinitialiser un mot de passe de l'application Azure pour DRA en utilisant les informations d'identification Azure, procédez comme suit :
Dans la console de délégation et de configuration, accédez à Configuration Management (Gestion de la configuration) > Azure Tenants (Locataires Azure).
Cliquez avec le bouton droit sur le locataire Azure géré, puis sélectionnez Properties (Propriétés).
Sur la page Properties (Propriétés), cliquez sur Azure Application (Application Azure).
Choisissez l'option Allow DRA to reset the password using your Azure Credentials (Autoriser DRA à réinitialiser le mot de passe en utilisant les informations d'identification Azure), puis spécifiez les informations d'identification Azure.
Appliquez les modifications apportées.
Pour réinitialiser un mot de passe de l'application Azure pour DRA hors ligne, procédez comme suit :
Lancez une session PowerShell sur le serveur d'administration DRA, puis accédez à C:\Program Files (x86)\NetIQ\DRA\SupportingFiles.
Exécutez . .\ResetDraAzureApplicationPassword.ps1 pour charger PowerShell.
Exécutez l'applet de commande . .\ResetDraAzureApplicationPassword pour entrer des paramètres.
Spécifiez les paramètres suivants pour Reset-DRAAzureApplicationPassword :
<name> : définissez le nom de l'application issu de l'Assistant du locataire.
IMPORTANT :Micro Focus vous recommande d'utiliser le nom spécifié dans la console DRA.
(Facultatif) <environment> : spécifiez AzureCloud, AzureChinaCloud, AzureGermanyCloud ou AzureUSGovernment en fonction du locataire utilisé.
Dans la boîte de dialogue des informations d'identification, spécifiez les informations d'identification de l'administrateur d'entreprise.
L'ID et le mot de passe de l'application Azure sont générés.
Copiez l'ID et le mot de passe de l'application dans la console DRA (option DRA Azure Application Credentials [Informations d'identification de l'application Azure pour DRA] dans l'Assistant du locataire), puis validez les informations d'identification.
Ouvrez la console de délégation et de configuration, puis accédez à Configuration Management (Gestion de la configuration) > Azure Tenants (Locataires Azure).
Cliquez avec le bouton droit sur un locataire Azure, puis accédez à Properties (Propriétés) > Azure Application (Application Azure).
Choisissez l'option Reset the password offline using the supplied script (Réinitialiser le mot de passe hors ligne en utilisant le script fourni), puis collez le mot de passe de l'application Azure généré à partir du script.
Appliquez les modifications apportées.