Découvertes Microsoft Azure

Deux types de découvertes Microsoft Azure sont supportées :

  1. Les découvertes de réseau virtuel Microsoft Azure, qui parcourent les ressources hébergées sur Azure telles que les machines virtuelles. Les actifs découverts étant remontés par adresse, il est possible de les enregistrer par la suite en tant que connexions mode sans-agent.

  2. Les découvertes Microsoft Entra ID (anciennement Azure AD), qui listent l’ensemble des appareils enregistrés dans l’annuaire Microsoft Entra, où qu’ils soient hébergés. Cette découverte permet d’avoir une vue étendue des actifs disponibles. Il est également possible de réaliser des scans externes sur les appareils gérés par Microsoft Intune.

Ces deux types de découvertes utilisent le même type d’identifiants, quoique les permissions requises sont différentes.

Configurer les accès API

Les identifiants d’API Azure sont composés de 3 informations :

  1. l’ID de locataire Microsoft,
  2. l’ID d’application (de client),
  3. le secret du client.

Pour obtenir l’ID d’application, vous devez créer à partir de la console Azure, service Microsoft Entra ID, une nouvelle inscription d’application. L’ID de locataire devrait également être affiché sur la page d’information de l’application.

Une fois l’application créée, vous devrez lui donner depuis le service Abonnements, ressource Contrôle d’accès (IAM), onglet Attributions de rôles, des accès en lecture à votre parc.

De retour sur la page de l’inscription d’application, vous pouvez créer depuis Certificats & secrets un secret client.

Les 3 informations réunies, vous pourrez créer dans Cyberwatch, menu Identifiants enregistrés, des identifiants de type Microsoft Azure.

Précisions :

Pour utiliser le connecteur Microsoft Azure API, l’application doit avoir les rôles suivant :

  • Contributeur de compte de stockage
  • Contributeur de machine virtuelle
  • Rôle Contributeur d’application managée

Créer une découverte de réseau virtuel Microsoft Azure

  1. Aller dans le menu Découvertes, et cliquer sur Ajouter. Dans la partie Infrastructure cloud, cliquer sur Microsoft Azure.
  2. Saisir le nom donné au scan de découverte.
  3. Sélectionner les éventuels groupes associés au scan.
  4. Sélectionner la source du scan (le scanner Cyberwatch qui lancera l’opération).
  5. Sélectionner dans Identifiants le compte Microsoft Azure précédemment enregistré.
  6. Sélectionner le mode de découverte afin de choisir la façon dont seront remontés les actifs découverts.
  7. Définir une période. La valeur par défaut 0 jours aura pour effet de lancer le scan une seule fois.
  8. Optionnel - Sélectionner un identifiant de connexion mode sans-agent.
  9. Cliquer sur Confirmer.

À sa création, la découverte sera immédiatement lancée en tâche de fond. L’état de la découverte est consultable depuis Découvertes.

Enregistrer les actifs découverts

Les actifs découverts peuvent être enregistrés en mode sans-agent de la manière suivante :

  1. Depuis le menu Découvertes, accéder à la liste des actifs découverts en cliquant sur le bouton Liste correspondant à droite du tableau.
  2. Sélectionner les actifs à ajouter.
  3. Cliquer sur Actions groupées > Scanner avec des connexions mode sans-agent.
  4. Sélectionner un type de connexion Microsoft Azure API et un jeu d’identifiant de type Microsoft Azure. Ce type de connexion doit être autorisée dans le menu Administration > Gestion des connecteurs en cochant la case Microsoft Azure API.

Précisions :

  • Pour utiliser le connecteur Microsoft Azure API, l’application liée au jeu d’identifiant doit avoir les rôles suivants :
    • Contributeur de compte de stockage
    • Contributeur de machine virtuelle
    • Rôle Contributeur d’application managée
  • Les champs adresse, région et resource_group_name de la connexion mode sans-agent seront pré-remplis avec le nom de domaine, la région et le resource_group_name de l’actif.
  • Il est également possible d’ajouter l’actif directement sans passer par une découverte en utilisant Connexion mode sans-agent > Ajouter et en sélectionnant le type Microsoft Azure API.

Créer une découverte Microsoft Entra ID

La découverte Microsoft Entra ID requiert des droits à l’API Microsoft Graph. Ils sont attribuables depuis le portail Azure, service Microsoft Entra ID, menu Inscriptions d’application, en sélectionnant l’application voulue, puis dans le menu API autorisées en cliquant sur Ajouter une autorisation. Les permissions requises sont :

  • Microsoft Graph > Autorisations de l'application > Device.Read.All pour lister les actifs dans l’annuaire Microsoft Entra,
  • Microsoft Graph > Autorisations de l'application > DeviceManagementManagedDevices.Read.All pour obtenir l’ID Microsoft Intune des actifs.

Une fois les permissions ajoutées, il faut les valider en leur accordant un consentement d’administrateur, depuis la même page.

De retour à Cyberwatch, section Actifs :

  1. Aller dans le menu Découvertes, et cliquer sur Ajouter. Dans la partie Infrastructure locale, cliquer sur Microsoft Entra ID.
  2. Saisir le nom donné au scan de découverte.
  3. Sélectionner les éventuels groupes associés au scan.
  4. Sélectionner la source du scan (le scanner Cyberwatch qui lancera l’opération).
  5. Sélectionner dans Identifiants le compte Microsoft Azure précédemment enregistré.
  6. Définir une période. La valeur par défaut 0 jours aura pour effet de lancer le scan une seule fois.
  7. Cliquer sur Confirmer.

Les actifs sont remontés par nom d’affichage, ce qui ne suffit généralement pas pour les scans par WinRM ou SSH. Cependant, la découverte détecte les actifs gérés par Microsoft Intune et obtient leur ID d’appareil, qui peut être utilisé pour créer des connexions mode sans-agent de type Microsoft Intune.

La création de connexions mode sans-agent de type Microsoft Intune nécessite l’activation de ce type de connexions dans le menu Administration > Gestion des connecteurs.

L’enregistrement des actifs peut se faire manuellement depuis la liste des actifs découverts, ou bien en sélectionnant un identifiant de connexion mode sans-agent de type Microsoft Azure dans le formulaire d’édition de la découverte Microsoft Entra ID.

Les actifs scannés à travers Microsoft Intune remontent la version de Windows et les applications installées, ce qui fournit un moyen facile et rapide de scanner un ensemble d’actifs sans posséder de compte sur les actifs. Cependant, faute de pouvoir exécuter du code sur les actifs, les capacités de scan sont limitées.


Retour en haut