Modifier les paramètres d'approbation et d'informations relatives au demandeur d'un package d'accès dans la gestion des droits d'utilisation

  • Article

Chaque package d’accès doit avoir une ou plusieurs stratégies d’attribution de package d’accès pour qu’un utilisateur puisse se voir attribuer l’accès. Lorsqu'un paquet d'accès est créé dans le centre d'administration Microsoft Entra, le centre d'administration Microsoft Entra crée automatiquement la première politique d'attribution de paquet d'accès pour ce paquet d'accès. La stratégie détermine qui peut demander l’accès et qui, le cas échéant, doit approuver l’accès.

En tant que gestionnaire de packages d’accès, vous pouvez à tout moment modifier les paramètres d’approbation et d’informations sur le demandeur d’un package d’accès en modifiant une stratégie existante ou en ajoutant une autre stratégie pour demander un accès.

Cet article explique comment modifier les paramètres d’approbation et d’informations sur le demandeur d’un package d’accès existant via une stratégie de package d’accès.

Approbation

Dans la section Approbation, vous spécifiez si une approbation est nécessaire quand les utilisateurs demandent ce package d’accès. Les paramètres d’approbation fonctionnent de la façon suivante :

  • La demande n’a besoin d’être approuvée que par un seul des approbateurs sélectionnés ou approbateurs de secours pour une approbation en une étape.
  • Seul l’un des approbateurs sélectionnés de chaque étape doit approuver une requête d’approbation en plusieurs étapes pour que la requête passe à l’étape suivante.
  • Si l’un des approuvés sélectionnés dans une étape refuse une requête avant qu’un autre approbateur de cette phase l’approuve, ou si aucun n’approuve, la requête se termine et l’utilisateur ne reçoit pas d’accès.
  • L’approbateur peut être un utilisateur ou un membre spécifique d’un groupe, le manager du demandeur, le commanditaire interne ou le commanditaire externe en fonction de la personne qui régit l’accès à la stratégie.

Pour une démonstration de l’ajout d’approbateurs à une stratégie de demande, regardez la vidéo suivante :

Pour obtenir une démonstration de l’ajout d’une approbation en plusieurs étapes à une stratégie de demande, regardez la vidéo suivante :

Modifier les paramètres d’approbation d’une stratégie d’attribution de package d’accès existante

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Pour spécifier les paramètres d’approbation des demandes de package d’accès au moyen d’une stratégie, procédez comme suit :

Rôle prérequis : administrateur général, administrateur de la gouvernance des identités, propriétaire de catalogue ou gestionnaire de package d’accès

  1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès.

  3. Dans la page Packages d’accès, ouvrez un package d’accès.

  4. Sélectionnez une stratégie à modifier ou ajoutez une nouvelle stratégie au package d'accès.

    1. Sélectionnez Stratégies, puis sur Ajouter une stratégie si vous souhaitez créer une nouvelle stratégie.
    2. Sélectionnez la stratégie que vous souhaitez modifier, puis sélectionnez Modifier.

  5. Accédez à l'onglet Requête.

  6. Pour exiger une approbation pour des demandes des utilisateurs sélectionnés, définissez Exiger une approbation sur Oui. Ou bien, pour que les demandes soient approuvées automatiquement, définissez cette valeur sur Non. Si la stratégie permet à des utilisateurs externes à votre organisation de demander l’accès, vous devez exiger une approbation, de sorte qu’il y ait une surveillance des personnes qui sont ajoutées à l’annuaire de votre organisation.

  7. Pour exiger des utilisateurs une justification pour demander le package d’accès, affectez la valeur Oui à Exiger la justification du demandeur.

  8. À présent, déterminez si les requêtes nécessitent une approbation en une ou plusieurs étapes. Définissez l’option Combien d’étapes sur le nombre d’étapes d’approbation nécessaires.

    Access package - Requests - Approval settings

Suivez les étapes ci-dessous pour ajouter des approbateurs après avoir sélectionné le nombre d’étapes dont vous avez besoin :

Approbation en une seule étape

  1. Ajoutez le Premier approbateur :

    Si la stratégie est définie pour régir l’accès des utilisateurs dans votre annuaire, vous pouvez sélectionner Gestionnaire comme approbateur. Vous pouvez également ajouter un utilisateur spécifique en sélectionnant Ajouter des approbateurs après avoir sélectionné Choisir des approbateurs spécifiques dans le menu déroulant.

    Access package - Requests - For users in directory - First Approver

    Si cette stratégie est définie pour régir l’accès des utilisateurs qui ne sont pas dans votre annuaire, vous pouvez sélectionner Sponsor externe ou Sponsor interne. Vous pouvez également ajouter un utilisateur spécifique en cliquant Ajouter des approbateurs ou des groupes sous Choisir des approbateurs spécifiques.

    Access package - Requests - For users out of directory - First Approver

  2. Si vous avez sélectionné Gestionnaire en tant qu’approbateur principal, cliquez sur **Ajouter un utilisateur de secours pour sélectionner un ou plusieurs utilisateurs ou groupes dans votre répertoire en tant qu’approbateurs de secours. Les approbateurs de secours reçoivent la demande si la gestion des droits d’utilisation ne peut pas trouver le gestionnaire de l’utilisateur demandant l’accès.

    La gestion des droits d’utilisation trouve le gestionnaire à l’aide de l’attribut Manager. L’attribut se trouve dans le profil de l’utilisateur dans Microsoft Entra ID. Pour plus d’informations, consultez Ajouter ou mettre à jour les informations du profil de l’utilisateur avec Microsoft Entra ID.

  3. Si vous avez sélectionné Choisir des approbateurs spécifiques, cliquez sur Ajouter des approbateurs pour choisir dans votre répertoire un ou plusieurs utilisateurs ou groupes devant assumer la fonction d’approbateurs.

  4. Dans la zone sous La décision doit être prise dans combien de jours ? , spécifiez le nombre de jours dont dispose un approbateur pour examiner une demande pour ce package d’accès.

    Si une demande n’est pas approuvée dans le délai imparti, elle est refusée automatiquement. L’utilisateur devra envoyer une autre demande pour le package d’accès.

  5. Pour exiger des approbateurs une justification de leur décision, définissez Exiger la justification de l’approbateur sur Oui.

    La justification est visible par les autres approbateurs et le demandeur.

Approbation en plusieurs étapes

Si vous avez sélectionné une approbation en plusieurs étapes, vous devez ajouter un approbateur pour chaque étape supplémentaire.

  1. Ajoutez le Deuxième approbateur :

    Si les utilisateurs se trouvent dans votre annuaire, ajoutez un utilisateur spécifique en tant que deuxième approbateur en sélectionnantAjouter des approbateurs sous Choisir des approbateurs spécifiques.

    Access package - Requests - For users in directory - Second Approver

    Si les utilisateurs ne se sont pas dans votre annuaire, sélectionnez Sponsor interne ou Sponsor externe comme deuxième approbateur. Après avoir sélectionné l’approbateur, ajoutez les approbateurs de secours.

    Access package - Requests - For users out of directory - Second Approver

  2. Spécifiez le nombre de jours pendant lesquels le deuxième approbateur doit approuver la demande dans la zone sous La décision doit être prise dans combien de jours ? .

  3. Définissez le commutateur Exiger la justification de l’approbateur sur Oui ou Non.

    Vous avez également la possibilité d’ajouter une étape supplémentaire pour un processus d’approbation en trois étapes. Par exemple, vous souhaiterez peut-être qu’un gestionnaire d’employés soit le premier approbateur de l’étape d’un package d’accès. Toutefois, l’une des ressources du package d’accès contient des informations confidentielles. Dans ce cas, vous pouvez désigner le propriétaire de la ressource en tant que deuxième approbateur et un réviseur de sécurité comme troisième approbateur. Une équipe de sécurité dispose ainsi d’un aperçu du processus et peut, par exemple, rejeter une requête basée sur des critères de risque inconnus du propriétaire de la ressource.

  4. Ajoutez le Troisième approbateur :

    Si les utilisateurs se trouvent dans votre annuaire, ajoutez un utilisateur spécifique en tant que troisième approbateur en cliquant sur Ajouter des approbateurs sous Choisir des approbateurs spécifiques.

    Si les utilisateurs ne se sont pas dans votre annuaire, vous pouvez également sélectionner Sponsor interne ou Sponsor externe comme troisième approbateur. Après avoir sélectionné l’approbateur, ajoutez les approbateurs de secours.

    Notes

      À l’instar de la deuxième étape, si les utilisateurs se trouvent dans votre annuaire et que **Manager en tant qu’approbateur** est sélectionné lors de la première ou de la deuxième étape de l’approbation, vous ne verrez qu’une option permettant de sélectionner des approbateurs spécifiques pour la troisième étape de l’approbation.
      Si vous souhaitez désigner le manager comme troisième approbateur, vous pouvez ajuster vos sélections au cours des étapes d’approbation précédentes pour vous assurer que **Manager en tant qu’approbateur** n’est pas sélectionné. Vous devriez alors voir **Manager en tant qu’approbateur** en tant qu’option dans la liste déroulante.
      Si les utilisateurs ne sont pas dans votre annuaire et que vous n’avez pas sélectionné **Sponsor interne** ou **Sponsor externe** en tant qu’approbateurs dans les étapes précédentes, vous les verrez en tant qu’options pour **Troisième approbateur**. Dans le cas contraire, vous ne pourrez sélectionner que **Choisir des approbateurs spécifiques**.

  5. Spécifiez le nombre de jours pendant lesquels le troisième approbateur doit approuver la requête dans la zone sous La décision doit être prise dans combien de jours ?.

  6. Définissez le commutateur Exiger la justification de l’approbateur sur Oui ou Non.

Approbateurs de substitution

Vous pouvez spécifier d’autres approbateurs, comme vous spécifiez les approbateurs principaux autorisés à approuver des requêtes à chaque étape. Le fait de disposer d’approbateurs de substitution garantit que les demandes sont approuvées ou refusées avant leur expiration (délai d’expiration). Vous pouvez répertorier d’autres approbateurs en même temps que l’approbateur principal à chaque étape.

En spécifiant d’autres approbateurs pour une étape, si les principaux approbateurs n’ont pas été en mesure d’approuver ou de refuser la requête, la requête en attente est transférée aux autres approbateurs, conformément à la planification de transfert que vous avez spécifiée lors de la configuration de la stratégie. Ils reçoivent un e-mail pour approuver ou refuser la demande en attente.

Une fois la demande transférée aux approbateurs de substitution, les approbateurs principaux peuvent toujours l’approuver ou la refuser. Pour approuver ou refuser la demande en attente, les approbateurs de substitution utilisent le même site Mon Accès.

Nous pouvons répertorier les personnes ou groupes de personnes qui doivent être approbateurs et approbateurs de substitution. Veillez à répertorier des groupes de personnes différents pour les premier et deuxième approbateurs ainsi que les approbateurs de substitution. Par exemple, si vous avez mentionné Alice et Bob comme approbateurs de la première étape, mentionnez Carol et Dave comme approbateurs de substitution. Pour ajouter des approbateurs de substitution à un package d’accès, procédez comme suit :

  1. Sous l’approbateur d’une étape, sélectionnez Afficher les paramètres de la requête avancée.

    Access package - Policy - Show advanced request settings

  2. Définissez l’option En l’absence d’action, transférer à d’autres approbateurs ? sur Oui.

  3. Cliquez sur Ajouter des approbateurs de substitution, puis sélectionnez les approbateurs de substitution dans la liste.

    Access package - Policy - Add Alternate Approvers

    Si vous sélectionnez Manager en tant qu’approbateur pour le Premier approbateur, vous disposez d’une seconde option : Manager de second niveau en tant qu’approbateur de substitution, sélectionnable dans le champ d’approbateur de substitution. Si vous sélectionnez cette option, vous devez ajouter un approbateur de secours auquel transférer la demande au cas où le système ne peut pas trouver le gestionnaire de second niveau.

  4. Dans la zone Passer aux autres approbateurs après combien de jours ? , entrez le nombre de jours dont les approbateurs disposent pour approuver ou refuser une demande. Si aucun approbateur n’a approuvé ou refusé la demande pendant la durée de validité de celle-ci, la demande expire (délai d’expiration) et l’utilisateur doit soumettre une autre demande pour le package d’accès.

    Les demandes ne peuvent être transférées aux approbateurs de substitution qu’un jour après que l’initiation de la demande. Pour utiliser l'approbation de substitution, le délai d'attente de la demande doit être d'au moins 4 jours.

Activer les demandes

  1. Si vous souhaitez que le package d’accès soit immédiatement disponible afin d’être demandé par les utilisateurs dans la stratégie de demandes, déplacez le bouton bascule Activer sur Oui.

    Vous pouvez toujours l’activer plus tard, après avoir créé le package d’accès.

    Si vous avez sélectionné Aucun (attributions directes d’administrateur uniquement) et que vous affectez la valeur No à Activer, les administrateurs ne pourront pas attribuer directement ce package d’accès.

    Access package - Policy- Enable policy setting

  2. Cliquez sur Suivant.

Collecter des informations supplémentaires sur le demandeur pour approbation

Pour veiller à ce que les utilisateurs aient accès aux packages d’accès appropriés, vous pouvez demander aux demandeurs de compléter un champ de texte personnalisé ou de répondre à des questions à choix multiples au moment de la demande. Les questions seront ensuite présentées aux approbateurs pour les aider à prendre une décision.

  1. Accédez à l'onglet Informations sur le demandeur, puis cliquez sur le sous-onglet Questions.

  2. Tapez ce que vous souhaitez demander au demandeur, également appelé « chaîne d’affichage », pour la question dans la zone Question.

    Access package - Policy- Enable Requestor information setting

  3. Si les utilisateurs qui auront besoin d'accéder au package d'accès ne parlent pas tous la même langue, vous pouvez améliorer leur expérience sur myaccess.microsoft.com. Pour ce faire, vous pouvez fournir des chaînes d'affichage alternatives dans différentes langues. Par exemple, si le navigateur web d'un utilisateur est défini sur Espagnol et que vous avez configuré des chaînes d'affichage en espagnol, ces chaînes apparaîtront sur l'écran de l'utilisateur demandeur. Pour configurer la localisation des demandes, sélectionnez Ajouter une localisation.

    1. Une fois dans le volet Ajouter des localisations pour les questions, sélectionnez le code de la langue dans laquelle vous localisez la question.
    2. Dans la langue que vous avez configurée, tapez la question dans la zone Texte localisé.
    3. Une fois que vous avez ajouté toutes les localisations nécessaires, cliquez sur Enregistrer.

    Access package - Policy- Configure localized text

  4. Sélectionnez le Format de la réponse dans lequel vous souhaitez que les demandeurs répondent : Les formats de réponse incluent : texte court, choix multiples et texte long.

    Access package - Policy- Select Edit and localize multiple choice answer format

  5. Si vous sélectionnez Choix multiples, cliquez sur le bouton Modifier et localiser pour configurer les options de réponse.

    1. Une fois que vous avez sélectionné Modifier et localiser, le volet Afficher/modifier la question s'ouvre.
    2. Tapez les options de réponse que vous souhaitez donner au demandeur lorsqu’il répond à la question dans les zones Valeurs de réponse .
    3. Tapez le nombre de réponses dont vous avez besoin.
    4. Si vous souhaitez ajouter votre propre localisation pour les options à choix multiples, sélectionnez le Code langue facultatif de la langue dans laquelle vous souhaitez localiser une option spécifique.
    5. Dans la langue que vous avez configurée, tapez la question dans la zone de texte Localisé.
    6. Une fois que vous avez ajouté toutes les localisations nécessaires pour chaque option à choix multiples, sélectionnez Enregistrer.

    Access package - Policy- Enter multiple choice options

  6. Si vous souhaitez inclure une vérification syntaxique des réponses de texte aux questions, vous pouvez également spécifier un modèle d’expression régulière personnalisé.
    Screenshot of the add regex localization policy. Si vous souhaitez inclure une vérification syntaxique des réponses de texte aux questions, vous pouvez également spécifier un modèle d’expression régulière personnalisé.

  7. Pour exiger que les demandeurs répondent à cette question lorsqu'ils demandent l'accès à un package d'accès, cochez la case située sous Obligatoire.

  8. Complétez les autres onglets (Cycle de vie par exemple) en fonction de vos besoins.

Après avoir configuré les informations sur le demandeur dans la stratégie de votre package d’accès, vous pouvez consulter les réponses de celui-ci. Pour obtenir des conseils sur l'affichage des informations relatives au demandeur, consultez la section Afficher les réponses du demandeur aux questions.

Étapes suivantes