Découvertes Microsoft Azure

Deux types de découvertes Microsoft Azure sont supportées :

  1. Les découvertes de réseau virtuel Microsoft Azure, qui parcourent les ressources hébergées sur Azure telles que les machines virtuelles. Les actifs découverts étant remontés par adresse, il est possible de les enregistrer par la suite en tant que connexions mode sans-agent

  2. Les découvertes Microsoft Entra ID (anciennement Azure AD), qui listent l’ensemble des appareils enregistrés dans l’annuaire Microsoft Entra, où qu’ils soient hébergés. Cette découverte permet d’avoir une vue étendue des actifs disponibles. Il est également possible de réaliser des scans externes sur les appareils gérés par Microsoft Intune

Ces deux types de découvertes utilisent le même type d’identifiants, quoique les permissions requises sont différentes.

Prérequis

Microsoft Entra ID

  • Droits à l’API Microsoft Graph avec les permissions suivantes :

    • Device.Read.All
    • DeviceManagementManagedDevices.Read.All

  • Consentement d’administrateur

Configurer les accès API

Pour obtenir l’ID d’application, vous devez créer à partir de la console Azure, service Microsoft Entra ID, une nouvelle inscription d’application. L’ID de locataire devrait également être affiché sur la page d’information de l’application.

Une fois l’application créée, vous devrez lui donner depuis le service Abonnements, ressource Contrôle d’accès (IAM), onglet Attributions de rôles, des accès en lecture à votre parc.

De retour sur la page de l’inscription d’application, vous pouvez créer depuis Certificats & secrets un secret client.

Les 3 informations réunies, vous pourrez créer dans Cyberwatch, menu Identifiants enregistrés, des identifiants de type Microsoft Azure.

Créer une découverte Microsoft Entra ID

La découverte Microsoft Entra ID requiert des droits à l’API Microsoft Graph. Ils sont attribuables depuis le portail Azure, service Microsoft Entra ID, menu Inscriptions d’application, en sélectionnant l’application voulue, puis dans le menu API autorisées en cliquant sur Ajouter une autorisation.

Une fois les permissions ajoutées, il faut les valider en leur accordant un consentement d’administrateur, depuis la même page.

De retour à Cyberwatch, section Actifs :

  1. Aller dans le menu Découvertes, et cliquer sur Ajouter Dans la partie Infrastructure locale, cliquer sur Microsoft Entra ID
  2. Saisir le nom donné au scan de découverte
  3. Sélectionner les éventuels groupes associés au scan
  4. Sélectionner la source du scan (le scanner Cyberwatch qui lancera l’opération)
  5. Sélectionner dans Identifiants le compte Microsoft Azure précédemment enregistré
  6. Définir une période. La valeur par défaut 0 jours aura pour effet de lancer le scan une seule fois
  7. Cliquer sur Confirmer

Les actifs sont remontés par nom d’affichage, ce qui ne suffit généralement pas pour les scans par WinRM ou SSH. Cependant, la découverte détecte les actifs gérés par Microsoft Intune et obtient leur ID d’appareil, qui peut être utilisé pour créer des connexions mode sans-agent de type Microsoft Intune.

La création de connexions mode sans-agent de type Microsoft Intune nécessite l’activation de ce type de connexions dans le menu Administration > Gestion des connecteurs.

L’enregistrement des actifs peut se faire manuellement depuis la liste des actifs découverts, ou bien en sélectionnant un identifiant de connexion mode sans-agent de type Microsoft Azure dans le formulaire d’édition de la découverte Microsoft Entra ID.

Les actifs scannés à travers Microsoft Intune remontent la version de Windows et les applications installées, ce qui fournit un moyen facile et rapide de scanner un ensemble d’actifs sans posséder de compte sur les actifs. Cependant, faute de pouvoir exécuter du code sur les actifs, les capacités de scan sont limitées.

Retour en haut