Link Search Menu Expand Document

Découvertes Microsoft Azure

Deux types de découvertes Microsoft Azure sont supportées :

  1. Les découvertes de réseau virtuel Microsoft Azure, qui parcourent les ressources hébergées sur Azure telles que les machines virtuelles. Les actifs découverts étant remontés par adresse, il est possible de les enregistrer par la suite en tant que connexions mode sans-agent.

  2. Les découvertes Azure Active Directory, qui listent l’ensemble des appareils enregistrés dans l’annuaire Azure AD, où qu’ils soient hébergés. Cette découverte permet d’avoir une vue étendue des actifs disponibles. Il est également possible de réaliser des scans externes sur les appareils gérés par Microsoft Intune.

Ces deux types de découvertes utilisent le même type d’identifiants, quoique les permissions requises sont différentes.

Configurer les accès API

Les identifiants d’API Azure sont composés de 4 informations :

  1. l’ID de locataire Microsoft,
  2. l’ID d’application (de client),
  3. l’ID d’abonnement,
  4. le secret du client.

Pour obtenir l’ID d’application, vous devez créer à partir de la console Azure, service Azure Active Directory, une nouvelle inscription d’application. L’ID de locataire devrait également être affiché sur la page d’information de l’application.

Une fois l’application créée, vous devrez lui donner depuis le service Abonnements, ressource Contrôle d’accès (IAM), onglet Attributions de rôles, des accès en lecture à votre parc. L’ID de l’abonnement utilisé sera nécessaire pour se connecter à l’API.

De retour sur la page de l’inscription d’application, vous pouvez créer depuis Certificats & secrets un secret client.

Les 4 informations réunies, vous pourrez créer dans Cyberwatch, menu Identifiants enregistrés, des identifiants de type Microsoft Azure.

Créer une découverte de réseau virtuel Microsoft Azure

  1. Aller dans le menu Découvertes, et cliquer sur Ajouter. Dans la partie Infrastructure cloud, cliquer sur Microsoft Azure.
  2. Saisir le nom donné au scan de découverte.
  3. Sélectionner les éventuels groupes associés au scan.
  4. Sélectionner la source du scan (le scanner Cyberwatch qui lancera l’opération).
  5. Sélectionner dans Identifiants le compte Microsoft Azure précédemment enregistré.
  6. Sélectionner le mode de découverte afin de choisir la façon dont seront remontés les actifs découverts.
  7. Définir une période. La valeur par défaut 0 jours aura pour effet de lancer le scan une seule fois.
  8. Optionnel - Sélectionner un identifiant de connexion mode sans-agent.
  9. Cliquer sur Confirmer.

À sa création, la découverte sera immédiatement lancée en tâche de fond. L’état de la découverte est consultable depuis Découvertes.

Créer une découverte Azure Active Directory

La découverte Azure Active Directory requiert des droits à l’API Microsoft Graph. Ils sont attribuables depuis le portail Azure, service Azure Active Directory, menu Inscriptions d’application, en sélectionnant l’application voulue, puis dans le menu API autorisées en cliquant sur Ajouter une autorisation. Les permissions requises sont :

  • Microsoft Graph > Autorisations de l'application > Device.Read.All pour lister les actifs Azure AD,
  • Microsoft Graph > Autorisations de l'application > DeviceManagementManagedDevices.Read.All pour obtenir l’ID Microsoft Intune des actifs.

Une fois les permissions ajoutées, il faut les valider en leur accordant un consentement d’administrateur, depuis la même page.

De retour à Cyberwatch, section Actifs :

  1. Aller dans le menu Découvertes, et cliquer sur Ajouter. Dans la partie Infrastructure locale, cliquer sur Azure Active Directory.
  2. Saisir le nom donné au scan de découverte.
  3. Sélectionner les éventuels groupes associés au scan.
  4. Sélectionner la source du scan (le scanner Cyberwatch qui lancera l’opération).
  5. Sélectionner dans Identifiants le compte Microsoft Azure précédemment enregistré.
  6. Définir une période. La valeur par défaut 0 jours aura pour effet de lancer le scan une seule fois.
  7. Cliquer sur Confirmer.

Les actifs sont remontés par nom d’affichage, ce qui ne suffit généralement pas pour les scans par WinRM ou SSH. Cependant, la découverte détecte les actifs gérés par Microsoft Intune et obtient leur ID d’appareil, qui peut être utilisé pour créer des connexions mode sans-agent de type Microsoft Intune.

La création de connexions mode sans-agent de type Microsoft Intune nécessite l’activation de ce type de connexions dans le menu Administration > Configurations > Connecteurs.

L’enregistrement des actifs peut se faire manuellement depuis la liste des actifs découverts, ou bien en sélectionnant un identifiant de connexion mode sans-agent de type Microsoft Azure dans le formulaire d’édition de la découverte Azure AD.

Les actifs scannés à travers Microsoft Intune remontent la version de Windows et les applications installées, ce qui fournit un moyen facile et rapide de scanner un ensemble d’actifs sans posséder de compte sur les actifs. Cependant, faute de pouvoir exécuter du code sur les actifs, les capacités de scan sont limitées.