Présentation des révisions d’accès Azure AD

Les révisions d’accès Azure Active Directory (Azure AD) permettent aux organisations de gérer efficacement les appartenances à des groupes, les accès aux applications d’entreprise et les attributions de rôles. L’accès des utilisateurs peut être passé en revue régulièrement pour vérifier que seules les personnes appropriées continuent de bénéficier d’un accès.

Voici une vidéo qui donne une vue d’ensemble rapide des révisions d’accès :

Pourquoi les révisions d’accès sont-elles importantes ?

Azure AD vous permet de collaborer avec des utilisateurs à l’intérieur de votre organisation ainsi qu’avec des utilisateurs externes. Les utilisateurs peuvent se joindre à des groupes, inviter des personnes, se connecter à des applications cloud et travailler à distance à partir de leurs appareils personnels ou professionnels. L’intérêt d’utiliser le libre-service a conduit à la nécessité d’avoir de meilleures fonctionnalités de gestion des accès.

  • Quand de nouveaux employés arrivent, comment vérifier qu’ils disposent des accès dont ils ont besoin pour être productifs ?
  • Quand des personnes changent d’équipe ou quittent l’entreprise, comment vérifier que leur ancien accès est bien supprimé ?
  • Des droits d’accès excessifs peuvent entraîner des compromissions.
  • Des droits d’accès excessifs peuvent également amener à auditer les résultats, car ils indiquent un manque de contrôle des accès.
  • Vous devez inviter de façon proactive les propriétaires des ressources à vérifier régulièrement les utilisateurs qui ont accès à leurs ressources.

Quand utiliser les révisions d’accès ?

  • Trop d’utilisateurs dans des rôles privilégiés : Il est judicieux de vérifier combien d’utilisateurs ont un accès d’administration, combien d’entre eux ont le rôle d’administrateur général, et s’il existe des invités ou des partenaires qui n’ont pas été supprimés après qu’une tâche d’administration leur a été attribuée. Vous pouvez recertifier les utilisateurs ayant fait l’objet d’une attribution de rôle dans les rôles Azure AD, comme les administrateurs généraux, ou les rôles de ressources Azure, comme les administrateur de l’accès utilisateur dans l’expérience Azure AD Privileged Identity Management (PIM).
  • Quand l’automatisation n’est pas possible : Vous pouvez créer des règles pour l’appartenance dynamique sur les groupes de sécurité ou les groupes Microsoft 365, mais que se passe-t-il si les données des ressources humaines ne se trouvent pas dans Azure AD, ou si des utilisateurs ont toujours besoin d’un accès après avoir quitté le groupe pour entraîner les personnes qui les remplacent ? Vous pouvez alors créer une révision sur ce groupe pour que ceux qui ont encore besoin d’un accès puissent encore en bénéficier.
  • Quand un groupe est utilisé pour un nouvel objectif : Si vous avez un groupe qui va être synchronisé avec Azure AD, ou si vous prévoyez d’activer l’application Salesforce pour tout le monde dans le groupe de l’équipe commerciale, il est utile de demander au propriétaire du groupe de passer en revue l’appartenance au groupe avant d’utiliser le groupe dans un autre contenu à risques.
  • Accès aux données vitales pour l’entreprise : pour certaines ressources, telles que les applications vitales pour l’entreprise, il peut être nécessaire dans le cadre des processus de conformité de demander aux personnes de reconfirmer régulièrement et de justifier la raison pour laquelle elles ont besoin d’un accès continu.
  • Pour gérer la liste d’exceptions d’une stratégie : Dans l’idéal, tous les utilisateurs doivent respecter les stratégies d’accès pour sécuriser l’accès aux ressources de votre organisation. Toutefois, certains scénarios métiers nécessitent que vous fassiez des exceptions. En tant qu’administrateur informatique, vous pouvez gérer cette tâche, éviter d’oublier les exceptions à la stratégie et fournir aux auditeurs la preuve que ces exceptions sont révisées régulièrement.
  • Demander aux propriétaires de groupe de confirmer qu’ils ont encore besoin d’invités dans leurs groupes : L’accès des employés peut être automatisé avec certains systèmes de gestion des identités et des accès (IAM) locaux, mais pas l’accès des invités. Si un groupe donne à des invités l’accès à du contenu sensible de l’entreprise, il est de la responsabilité du propriétaire du groupe de confirmer que les invités ont encore un besoin métier légitime de cet accès.
  • Procédez régulièrement à des révisions d’accès : Vous pouvez configurer des révisions d’accès des utilisateurs récurrentes à des fréquences définies, hebdomadaires, mensuelles, trimestrielles ou annuelles, les réviseurs étant alors informés au début de chaque révision. Les réviseurs peuvent approuver ou refuser l’accès avec une interface conviviale et avec l’aide de recommandations intelligentes.

Notes

Si vous êtes prêts à essayer la révision d’accès, consultez Créer une révision d’accès des groupes ou applications

Où créer des révisions ?

Selon ce que vous voulez réviser, vous allez créer votre révision d’accès dans Révisions d’accès Azure AD, Applications d’entreprise Azure AD (en préversion), Azure AD PIM ou Gestion des droits d’utilisation Azure AD.

Droits d’accès des utilisateurs Les réviseurs peuvent être Révision créée dans Expérience des réviseurs
Membres des groupes de sécurité
Membres du groupe Office
Réviseurs spécifiés
Propriétaires de groupe
Auto-révision
Révisions d’accès Azure AD
Groupes Azure AD
Panneau d’accès
Affecté à une application connectée Réviseurs spécifiés
Auto-révision
Révisions d’accès Azure AD
Applications d’entreprise Azure AD (en préversion)
Panneau d’accès
Rôle Azure AD Réviseurs spécifiés
Auto-révision
Azure AD PIM Portail Azure
Rôle de ressource Azure Réviseurs spécifiés
Auto-révision
Azure AD PIM Portail Azure
Attributions de package d’accès Réviseurs spécifiés
Membres du groupe
Auto-révision
Gestion des droits d’utilisation Azure AD Panneau d’accès

Conditions de licence :

L’utilisation de cette fonctionnalité nécessite des licences Azure AD Premium P2. Pour trouver la licence appropriée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale d’Azure AD.

De combien de licences avez-vous besoin ?

Votre répertoire a besoin d’au moins autant de licences Azure AD Premium P2 que d’employés effectuant les tâches suivantes :

  • Utilisateurs membres auxquels le rôle de réviseur a été attribué
  • Utilisateurs membres qui effectuent une révision indépendante
  • Utilisateurs membres en tant que propriétaires de groupes qui effectuent une révision d’accès
  • Utilisateurs membres en tant que propriétaires d’applications qui effectuent une révision d’accès

Pour les utilisateurs invités, les besoins en licences dépendent du modèle de licence que vous utilisez. Toutefois, les activités des utilisateurs invités ci-dessous sont considérées comme une utilisation d’Azure AD Premium P2 :

  • Utilisateurs invités auxquels le rôle de réviseur a été attribué
  • Utilisateurs invités qui effectuent une révision indépendante
  • Utilisateurs invités en tant que propriétaires de groupes qui effectuent une révision d’accès
  • Utilisateurs invités en tant que propriétaires d’applications qui effectuent une révision d’accès

Les licences Azure AD P2 ne sont pas nécessaires pour les utilisateurs disposant des rôles Administrateur général ou Administrateur d’utilisateurs qui configurent des révisions d’accès et des paramètres, ou qui appliquent les décisions prises à partir des révisions.

L’accès des utilisateurs invités Azure AD est basé sur un modèle de facturation par utilisateurs actifs mensuels (MAU), qui remplace le modèle de facturation selon le rapport 1:5. Pour plus d’informations, consultez Tarifs d’Azure AD External Identities.

Pour plus d’informations sur les licences, consultez Attribuer ou supprimer des licences à l’aide du portail Azure Active Directory.

Exemples de scénarios de licence

Voici quelques exemples de scénarios de licence pour vous permettre de déterminer le nombre de licences dont vous devez disposer.

Scénario Calcul Nombre de licences
Un administrateur crée une révision d’accès du groupe A comportant 75 utilisateurs et 1 propriétaire du groupe, et affecte le propriétaire du groupe en tant que réviseur. 1 licence pour le propriétaire du groupe en tant que réviseur 1
Un administrateur crée une révision d’accès du groupe B comportant 500 utilisateurs et 3 propriétaires de groupe, et affecte les 3 propriétaires du groupe en tant que réviseurs. 3 licences pour chaque propriétaire du groupe en tant que réviseurs 3
Un administrateur crée une révision d’accès du groupe B comportant 500 utilisateurs. Effectue une révision indépendante. 500 licences pour chaque utilisateur en tant qu’auto-réviseurs 500
Un administrateur crée une révision d’accès du groupe C comportant 50 utilisateurs membres et 25 utilisateurs invités. Effectue une révision indépendante. 50 licences pour chaque utilisateur en tant qu’auto-réviseurs.* 50
Un administrateur crée une révision d’accès du groupe D comportant 6 utilisateurs membres et 108 utilisateurs invités. Effectue une révision indépendante. 6 licences pour chaque utilisateur en tant qu’auto-réviseurs. Les utilisateurs invités sont facturés par utilisateur actif mensuel (MAU). Aucune licence supplémentaire n’est requise. * 6

* Les tarifs des identités externes Azure AD (utilisateur invité) sont basés sur les utilisateurs actifs mensuels (MAU), c’est-à-dire le nombre d’utilisateurs uniques ayant une activité d’authentification au cours d’un mois civil. Ce modèle remplace le modèle de facturation selon le rapport 1:5, qui autorise jusqu’à cinq utilisateurs invités pour chaque licence de Azure AD Premium disponible dans votre locataire. Lorsque votre locataire est lié à un abonnement et que vous utilisez des fonctionnalités d’identités externes pour collaborer avec des utilisateurs invités, vous êtes automatiquement facturé à l’aide du modèle basé MAU. Pour plus d’informations, consultez Modèle de facturation pour Azure AD for External Identities.

Étapes suivantes