Tutoriel : Gérer l’accès aux ressources dans la gestion des droits d’utilisation

La gestion de l’accès à toutes les ressources dont les employés ont besoin, comme les groupes, les applications et les sites, est une fonction importante pour les organisations. Vous devez accorder aux employés le niveau d’accès dont ils ont besoin pour être productifs et leur retirer cet accès dès qu’il n’est plus nécessaire.

Dans ce tutoriel, vous travaillez pour Woodgrove Bank en tant qu’administrateur informatique. Vous êtes chargé de créer un package de ressources pour une campagne marketing en veillant à ce que les utilisateurs internes puissent demander l’accès à ces ressources en libre-service. Les demandes n’ont pas besoin d’être approuvées, et l’accès de l’utilisateur est valide 30 jours. Dans ce tutoriel, les ressources de la campagne marketing représentent simplement une appartenance à un groupe unique, mais vous pouvez avoir un ensemble de groupes, d’applications ou de sites SharePoint Online.

Diagram that shows the scenario overview.

Dans ce tutoriel, vous allez apprendre à :

  • Créer un package d’accès avec un groupe comme ressource
  • Autoriser un utilisateur dans votre annuaire à demander l’accès
  • Montrer comment un utilisateur interne peut demander le package d’accès

Pour obtenir une démonstration pas à pas du processus de déploiement de la gestion des droits d'utilisation de Microsoft Entra, notamment la création de votre premier package d’accès, regardez la vidéo suivante :

Le reste de cet article utilise le Centre d’administration Microsoft Entra pour configurer et démontrer la gestion des droits d’utilisation.

Prérequis

Pour utiliser la gestion des droits d’utilisation, vous devez disposer d’une des licences suivantes :

  • Microsoft Entra ID P2 ou gouvernance de Microsoft Entra ID
  • Licence Enterprise Mobility + Security (EMS) E5

Pour plus d’informations, consultez Exigences des licences.

Étape 1 : Configurer des utilisateurs et un groupe

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Un répertoire de ressources comprend une ou plusieurs ressources à partager. Dans cette étape, vous créez un groupe nommé Marketing resources dans l’annuaire Woodgrove Bank qui constitue la ressource cible pour la gestion des droits d’utilisation. Vous configurez également un demandeur interne.

Rôle prérequis : administrateur général ou administrateur de la gouvernance des identités

Diagram that shows the users and groups for this tutorial.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès.

  3. Créez deux utilisateurs. Utilisez les noms suivants ou des noms différents.

    Nom Rôle d’annuaire
    Admin1 Administrateur général ou administrateur de la gouvernance des identités. Cet utilisateur peut être celui avec lequel vous êtes actuellement connecté.
    Requestor1 Utilisateur
  4. Créez un groupe de sécurité Microsoft Entra nommé Ressources marketing avec un type d’appartenance Affecté. Ce groupe est la ressource cible pour la gestion des droits d’utilisation. Le groupe ne doit contenir aucun membre pour commencer.

Étape 2 : Créer un package d’accès

Un package d’accès est un bundle de ressources dont une équipe ou un projet a besoin et qui est régi par des stratégies. Les packages d’accès sont définis dans des conteneurs appelés catalogues. Dans cette étape, vous allez créer un package d’accès Marketing Campaign dans le catalogue Général.

Rôle prérequis : administrateur général, administrateur de la gouvernance des identités, propriétaire de catalogue ou gestionnaire de package d’accès

Diagram that describes the relationship between the access package elements.

  1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès.

  3. Dans la page Packages d’accès, ouvrez un package d’accès.

  4. Lorsque vous ouvrez un package d'accès, si vous voyez Accès refusé, vérifiez qu’une licence Microsoft Entra ID P2 ou Microsoft Entra ID Governance est présente dans votre répertoire.

  5. Sélectionnez Nouveau package d’accès.

    Screenshots that shows how to create an access package.

  6. Sous l’onglet Bases, tapez le nom de package d’accès Marketing Campaign (Campagne marketing) et la description Access to resources for the campaign (Accès aux ressources de la campagne).

  7. Dans la liste déroulante Catalogue, conservez la sélection Général.

    Screenshot showing how to set the basic of the access policy.

  8. Sélectionnez Suivant pour ouvrir l’onglet Rôles des ressources. Dans cet onglet, sélectionnez les ressources et le rôle de ressource à inclure dans le package d’accès. Vous pouvez choisir de gérer l’accès aux groupes et aux équipes, aux applications et aux sites SharePoint Online. Dans ce scénario, sélectionnez Groupes et équipes.

    Screenshot showing how to select groups and teams.

  9. Dans le volet Sélectionner les groupes, recherchez le groupe Marketing resources créé précédemment et sélectionnez-le.

    Par défaut, des groupes sont présents à l’intérieur du catalogue Général. Lorsque vous sélectionnez un groupe en dehors du catalogue général, que vous pouvez voir si vous cochez la case Voir tout, il est ajouté au catalogue général.

    Screenshot that shows how to select the groups

  10. Choisissez Sélectionner pour ajouter le groupe à la liste.

  11. Dans la liste déroulante Rôle, sélectionnez Membre. Si vous sélectionnez le rôle Propriétaire, les utilisateurs pourront ajouter ou supprimer d’autres membres ou propriétaires. Pour plus d’informations sur la sélection des rôles appropriés pour une ressource, lisez Ajouter des rôles de ressource.

    Screenshot the shows how to select the member role.

    Important

    Les groupes avec attribution de rôle ajoutés à un package d’accès sont indiqués à l’aide du sous-type Attribuables aux rôles. Pour plus d’informations, consultez l’article Créer un groupe avec attribution de rôle. Gardez à l'esprit qu'une fois qu'un groupe attribuable à un rôle est présent dans un catalogue de packages d'accès, les utilisateurs administratifs capables de gérer des droits d’utilisation, y compris les utilisateurs dans le rôle d'administrateur général, les utilisateurs dans le rôle d'administrateur de la gouvernance des identités et les propriétaires du catalogue, seront en mesure de contrôler les packages d'accès dans le catalogue, ce qui leur permet de choisir qui peut être ajouté à ces groupes. Si vous ne voyez aucun groupe avec attribution de rôle à ajouter ou si vous ne pouvez pas l’ajouter, vérifiez que vous possédez le rôle Microsoft Entra et le rôle de gestion des droits d’utilisation requis. Vous devrez peut-être demander à un utilisateur doté des rôles requis d’ajouter la ressource à votre catalogue. Pour plus d’informations, consultez Rôles requis pour ajouter des ressources à un catalogue.

    Notes

    Quand vous utilisez des groupes dynamiques, vous ne voyez pas d’autres rôles disponibles en plus du propriétaire. C'est la procédure normale. Screenshots that shows a dynamic group available roles.

  12. Sélectionnez Suivant pour ouvrir l’onglet Demandes. Sous l’onglet Demandes, vous créez une stratégie de demande. Une stratégie définit les règles ou barrières mises en place pour accéder à un package d’accès. Vous créez une stratégie qui permet à un utilisateur spécifique de l’annuaire de ressources de demander ce package d’accès.

  13. Dans la section Utilisateurs qui peuvent demander l’accès, sélectionnez Pour les utilisateurs de votre annuaire, puis sélectionnez Utilisateurs et groupes spécifiques.

    Screenshot of the access package requests tab.

  14. Sélectionnez Ajouter des utilisateurs et des groupes.

  15. Dans le volet Sélectionner des utilisateurs et des groupes, sélectionnez l’utilisateur Requestor1 que vous avez créé.

    Screenshot of select users and groups.

  16. Choisissez Sélectionner pour ajouter l’utilisateur à la liste.

  17. Faites défiler jusqu’aux sections Approbation et Activer les demandes.

  18. Laissez l’option Exiger l’approbation définie sur Non.

  19. Pour Activer les demandes, sélectionnez Oui afin que ce package d’accès puisse être demandé dès qu’il est créé.

  20. Si votre organisation est configurée pour recevoir des identifiants vérifiés, il existe une option permettant de configurer un package d'accès pour exiger que les demandeurs fournissent un identifiant vérifié. Pour en savoir plus : Configurez les paramètres d’ID vérifié d'un package d'accès dans la fonctionnalité de gestion des droits d'utilisation (préversion)

    Screenshot of the Verified ID picker selection.

  21. Sélectionnez Suivant pour ouvrir l’onglet Informations sur le demandeur.

    Screenshots of the requests tab approval and enable requests settings.

  22. Sous l’onglet Informations sur le demandeur, vous pouvez poser des questions pour collecter plus d’informations sur le demandeur. Les questions sont affichées dans le formulaire de demande et peuvent être obligatoires ou facultatives. Dans ce scénario, vous n’avez pas été invité à inclure d’informations sur le demandeur pour le package d’accès, donc vous pouvez laisser ces zones vides. Sélectionnez Suivant pour ouvrir l’onglet Cycle de vie.

  23. Dans l’onglet Cycle de vie, vous spécifiez l’expiration de l’attribution du package d’accès à un utilisateur. Vous pouvez également spécifier si les utilisateurs peuvent étendre leurs attributions. Dans la section Expiration :

    1. Définissez Les attributions de package d’accès expirent sur Nombre de jours.
    2. Définissez Les attributions expirent après sur 30 jours.
    3. Laissez Les utilisateurs peuvent demander une chronologie spécifique sur Oui (valeur par défaut).
    4. Définissez Exiger des révisions d’accès sur Non.

    Screenshot of the access package lifecycle tab

  24. Ignorez l’étape Extensions personnalisées.

  25. Sélectionnez Suivant pour ouvrir l’onglet Vérifier + créer.

  26. Sous l’onglet Vérifier + créer, sélectionnez Créer. Après quelques instants, vous devez obtenir une notification indiquant que le package d’accès a été créé.

  27. Dans le menu gauche du package d’accès Marketing Campaign, cliquez sur Vue d’ensemble.

  28. Copiez le lien sous Lien du portail Mon Accès.

    Vous en aurez besoin à l’étape suivante.

    Screenshot that demonstrates how to copy the link to the access policy.

Étape 3 : Demander l'accès

Dans cette étape, vous demandez l’accès au package d’accès en tant que demandeur interne. Les demandeurs envoient leurs demandes à l’aide d’un site appelé « portail Mon Accès ». Le portail Mon Accès permet aux demandeurs d’envoyer des demandes de packages d’accès, de voir ceux auxquels ils ont déjà accès et de consulter l’historique de leurs demandes. Lorsqu'un nouvel invité demande un package d'accès dans MyAccess, sa langue préférée est marquée en fonction de la langue du navigateur MyAccess au moment de la demande. Cela permet aux nouveaux invités de recevoir des communications par courrier électronique dans une langue qu'ils comprennent.

Rôle prérequis : Demandeur interne

  1. Déconnectez-vous du Centre d’administration Microsoft Entra.

  2. Dans une nouvelle fenêtre de navigateur, accédez au lien du portail Mon Accès que vous avez copié à l’étape précédente.

  3. Connectez-vous au portail Mon Accès en tant que Requestor1.

    Vous devez voir le package d’accès Marketing Campaign.

  4. Dans la zone Justification professionnelle, tapez la justification I am working on the new marketing campaign (Je participe à la nouvelle campagne marketing).

    Screenshot of the My Access portal listing the access packages.

  5. Sélectionnez Soumettre.

  6. Dans le menu gauche, sélectionnez Historique des demandes pour vérifier que votre demande a été remise. Pour plus d’informations, sélectionnez Voir.

    Screenshot of the My Access portal request history.

Étape 4 : Valider que l’accès a été affecté

Dans cette étape, vous allez vérifier que le package d’accès a été affecté au demandeur interne et qu’il est désormais membre du groupe Marketing resources.

Rôle prérequis : administrateur général, administrateur de la gouvernance des identités, propriétaire de catalogue ou gestionnaire de package d’accès

  1. Déconnectez-vous du portail Mon Accès.

  2. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Admin1.

  3. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès.

  4. Recherchez le package d’accès Marketing Campaign et sélectionnez-le.

  5. Dans le menu de gauche, sélectionnez Demandes.

    Vous devriez voir Requestor1 et la stratégie initiale avec l’état Remis.

  6. Sélectionnez la demande pour l’examiner en détail.

    Screenshot of the access package request details.

  7. Dans la navigation de gauche, sélectionnez Identité.

  8. Sélectionnez Groupes et ouvrez le groupe Marketing resources.

  9. Sélectionnez Membres.

    Requestor1 doit être listé comme membre.

    Screenshot shows the requestor one has been added to the marketing resources group.

Étape 5 : Nettoyer les ressources

Dans cette étape, vous supprimez les modifications apportées et le package d’accès Marketing Campaign.

Rôle prérequis : administrateur général ou administrateur de la gouvernance des identités

  1. Dans le Centre d’administration Microsoft Entra Gouvernance des identités.

  2. Ouvrez le package d’accès Marketing Campaign.

  3. Sélectionnez Affectations.

  4. Pour Requestor1, sélectionnez les points de suspension (...), puis sélectionnez Supprimer l’accès. Dans le message qui s’affiche, sélectionnez Oui.

    Après quelques instants, l’état passe de Remis à Expiré.

  5. Sélectionnez Rôles des ressources.

  6. Pour Marketing resources, sélectionnez les points de suspension (...), puis sélectionnez Supprimer le rôle de ressource. Dans le message qui s’affiche, sélectionnez Oui.

  7. Ouvrez la liste des packages d’accès.

  8. Pour Marketing Campaign, sélectionnez les points de suspension (...), puis sélectionnez Supprimer. Dans le message qui s’affiche, sélectionnez Oui.

  9. Dans Identité, supprimez tous les utilisateurs que vous avez créés comme Requestor1 et Admin1.

  10. Supprimez le groupe Marketing resources.

Étapes suivantes

Passez à l’article suivant pour en savoir plus sur les étapes de scénarios courants dans la gestion des droits d’utilisation.