EXERCICE 11 – PIM

• 🧩 Contexte :

  VersaTech Solutions veut éviter d’avoir des Global Admin ou Security Admin permanents.
  Objectif :

  Utiliser Privileged Identity Management (PIM) pour que certains comptes soient éligibles à un rôle administrateur, mais ne l’activent que temporairement pour effectuer une tâche précise.

  Dans cet exercice, vous allez :

  • Rendre un utilisateur éligible à un rôle administrateur via PIM.
  • Configurer les paramètres de l’activation (durée, justification, MFA).
  • Activer le rôle Just‑In‑Time pour effectuer une action, puis vérifier la trace dans les logs.

  ---

  📝 Partie 1 : Rendre un utilisateur éligible à un rôle via PIM

  Connectez-vous sur : https://entra.microsoft.com

  1. Dans le menu, allez dans :
     • Identité > Roles and administrators > Azure AD roles
  2. Cliquez sur Privileged Identity Management (PIM) si un lien est proposé, ou cherchez Azure AD roles dans PIM.
  3. Dans PIM, section Azure AD roles, cliquez sur Roles.
  4. Choisissez un rôle à utiliser pour le labo, par exemple :
     • Security Administrator (moins puissant que Global Admin)
  5. Ouvrez le rôle Security Administrator, puis cliquez sur :
     • Add assignments.
  6. Dans Add assignments :
     • Select members → ajouter l’utilisateur VOSINITIALES-DEV01.
     • Assignment type : choisir Eligible (Éligible), pas Active.
  7. Validez l’assignation.

  🔧Résultat :

DEV01 devient éligible au rôle Security Administrator via PIM, mais ne l’a pas en permanence.

📝 Partie 2 : Configurer les paramètres d’activation PIM

Toujours sur le rôle Security Administrator dans PIM :

1. Allez dans Settings / Paramètres du rôle.
2. Dans la section Activation :
   • Maximum activation duration (hours) : mettre par exemple 2 heures.
   • Require justification : Yes (obligatoire d’entrer une raison).
   • Require MFA : Yes pour forcer une MFA à chaque activation.
3. Enregistrer les paramètres.

🔧Résultat :

L’activation du rôle demandera à l’utilisateur une justification et une MFA, pour une durée maximum de 2h

📝 Partie 3 : Activer le rôle en tant qu’utilisateur (Just-In-Time)

1. Ouvrez un navigateur privé.
2. Connectez-vous avec le compte :
   • VOSINITIALES-DEV01@formation.paretape.com
3. Allez sur le portail PIM :
   • Soit via https://entra.microsoft.com > Privileged Identity Management
   • Soit via https://portal.azure.com > PIM / Azure AD roles.
4. Dans PIM, allez dans :
   • My roles / Mes rôles.
5. Vous devez voir le rôle Security Administrator avec le statut Eligible.
6. Cliquez sur Activate / Activer pour ce rôle.
7. L’assistant d’activation s’ouvre :
   • Saisir une justification (ex : “Configurer une nouvelle règle d’Accès conditionnel”).
   • Passer la MFA demandée.
   • Laisser la durée par défaut (par ex. 2h).
   • Cliquer sur Activate.
8. Attendre quelques secondes, puis vérifier que le rôle apparaît maintenant comme Active dans My roles.

🔧Résultat :

• DEV01 dispose temporairement des droits de Security Administrator.

• 📝 Partie 4 : Activer le rôle en tant qu’utilisateur (Just-In-Time)

  Revenez dans le portail Entra en tant qu’admin.

  1. 1. Allez dans :
        • Identity > Monitoring > Audit logs (ou via PIM : Audit history)
     2. Filtrez sur :
     • Category : PIM ou RoleManagement (selon l’interface).
     • Utilisateur : VOSINITIALES-DEV01.
     1. Vérifiez que :
     • L’assignation éligible a été enregistrée (par toi).
     • L’activation du rôle par DEV01 apparaît avec la justification, l’heure, la durée.

📌À la fin de l’exercice :

• VOSINITIALES-DEV01 apparaît comme :

• Eligible au rôle Security Administrator dans PIM.
• Capable d’activer le rôle temporairement (Just-In-Time) avec justification et MFA.

• Les logs PIM montrent clairement :

• Qui a rendu DEV01 éligible.
• Quand DEV01 a activé son rôle.
• La justification fournie et la durée d’activation.

🎬 La vidéo :

A venir