Créer et gérer un catalogue de ressources dans la gestion des droits d'utilisation

Cet article explique comment créer et gérer un catalogue de ressources et de packages d'accès dans la gestion des droits d'utilisation.

Créer un catalogue

Un catalogue est un conteneur de ressources et de packages d’accès. Vous créez un catalogue lorsque vous souhaitez regrouper des ressources et packages d’accès liés. Un administrateur peut créer un catalogue. Par ailleurs, un utilisateur auquel le rôle créateur de catalogue a été délégué peut créer un catalogue pour les ressources qu’il possède. Un non-administrateur qui crée le catalogue en devient le premier propriétaire. Un propriétaire de catalogue peut ajouter d’autres utilisateurs, groupes d’utilisateurs ou principaux de service d’application comme propriétaires de catalogue.

Rôle prérequis : administrateur général, administrateur de la gouvernance des identités ou créateur de catalogue

Remarque

Les utilisateurs qui se sont vu attribuer le rôle d’administrateur d’utilisateurs ne pourront plus créer de catalogues ni gérer les packages d’accès dans un catalogue dont ils ne sont pas propriétaires. Si le rôle d’administrateur d’utilisateurs a été attribué à des utilisateurs de votre organisation pour configurer des catalogues, des packages d’accès ou des stratégies de la gestion des droits d’utilisation, vous devez attribuer à ces utilisateurs le rôle d’administrateur de gouvernance des identités.

Pour créer un catalogue :

  1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Catalogues.

    Screenshot that shows entitlement management catalogs in the Microsoft Entra admin center.

  3. Sélectionnez Nouveau catalogue.

  4. Entrez un nom unique pour le catalogue et fournissez une description.

    Les utilisateurs verront ces informations dans les détails d’un package d’accès.

  5. Si vous souhaitez que les packages d’accès dans ce catalogue soient accessibles aux utilisateurs qui les demandent dès leur création, définissez Activé sur Oui.

  6. Si vous souhaitez que les utilisateurs de répertoires externes d’organisations connectées puissent demander des packages d’accès dans ce catalogue, définissez Activé pour les utilisateurs externes sur Oui. Les packages d’accès doivent également avoir une stratégie permettant aux utilisateurs d’organisations connectées de demander. Si les packages d’accès de ce catalogue sont destinés uniquement aux utilisateurs déjà dans le répertoire, définissez Activé pour les utilisateurs externes sur Non.

    Screenshot that shows the New catalog pane.

  7. Sélectionnez Créer pour créer le catalogue.

Créer un catalogue par programmation

Il existe deux manières de créer un catalogue par programmation.

Créer un catalogue avec Microsoft Graph

Vous pouvez créer un catalogue à l'aide de Microsoft Graph. Un utilisateur doté d’un rôle approprié avec une application disposant de l’autorisation déléguée EntitlementManagement.ReadWrite.All, ou une application disposant de l’autorisation d’application EntitlementManagement.ReadWrite.All, peut appeler l’API pour créer un catalogue.

Créer un catalogue avec PowerShell

Vous pouvez également créer un catalogue dans PowerShell avec l'applet de commande New-MgEntitlementManagementCatalog des applets de commande Microsoft Graph PowerShell pour le module Identity Governance version 2.2.0 ou ultérieure.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"

Ajouter des ressources à un catalogue

Pour inclure des ressources dans un package d’accès, les ressources doivent exister dans un catalogue. Les types de ressources que vous pouvez ajouter à un catalogue sont des groupes, des applications et des sites SharePoint Online.

  • Les groupes peuvent être des groupes Microsoft 365 ou des groupes de sécurité Microsoft Entra créés sur le cloud.

    • Les groupes issus d’Active Directory local ne peuvent pas être attribués en tant que ressources, car leurs attributs de propriétaire ou de membre ne sont pas modifiables dans Microsoft Entra ID. Pour permettre à un utilisateur d’accéder à une application qui utilise les appartenances aux groupes de sécurité AD, créez un groupe de sécurité dans Microsoft Entra, configurez la réécriture de groupe dans AD et activez ce groupe pour écriture dans AD pour que le groupe créé dans le cloud puisse être utilisé par une application AD.

    • Les groupes qui proviennent d’Exchange Online comme groupes de distribution ne peuvent pas non plus être modifiés dans Microsoft Entra ID et ne peuvent donc pas être ajoutés à des catalogues.

  • Les applications peuvent être des applications d’entreprise Microsoft Entra, ce qui inclut les applications SaaS (software as a service), les applications locales et vos propres applications intégrées à Microsoft Entra ID.

  • Les sites peuvent être des sites ou des collections de sites SharePoint Online.

Notes

Recherchez SharePoint Site par nom de site ou une URL exacte, car la zone de recherche respecte la casse.

Rôles prérequis : consultez Rôles requis pour ajouter des ressources à un catalogue.

Pour ajouter des ressources à un catalogue :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Catalogues.

  3. Sur la page Catalogues, ouvrez le catalogue auquel vous souhaitez ajouter des ressources.

  4. Sélectionnez Ressources dans le menu de gauche.

  5. Sélectionnez Ajouter des ressources.

  6. Sélectionnez Groupes et équipes, Applications ou Sites SharePoint du type de ressource.

    Si vous ne voyez aucune ressource que vous souhaitez ajouter ou si vous ne pouvez pas ajouter de ressource, vérifiez que vous possédez le rôle d’annuaire Microsoft Entra et le rôle de gestion des droits d’utilisation requis. Vous devrez peut-être demander à quelqu’un avec les rôles requis d’ajouter la ressource à votre catalogue. Pour plus d’informations, consultez Rôles requis pour ajouter des ressources à un catalogue.

  7. Sélectionnez une ou plusieurs ressources du type que vous souhaitez ajouter au catalogue.

    Screenshot that shows the Add resources to a catalog pane.

  8. Lorsque vous avez terminé, sélectionnez Ajouter.

    Ces ressources peuvent désormais être incluses dans des packages d’accès du catalogue.

Ajouter des attributs de ressource dans le catalogue

Les attributs sont des champs obligatoires auxquels les demandeurs sont invités à répondre avant de soumettre leur demande d’accès. Leurs réponses à ces attributs seront présentées aux approbateurs et également horodaté sur l’objet utilisateur dans Microsoft Entra ID.

Remarque

Tous les attributs configurés sur une ressource requièrent une réponse avant qu’une requête de package d’accès contenant cette ressource puisse être envoyée. Si les demandeurs ne fournissent pas de réponse, leur requête n’est pas traitée.

Pour exiger des attributs pour les demandes d’accès :

  1. Sélectionnez Ressources dans le menu de gauche et une liste de ressources dans le catalogue s’affiche.

  2. Sélectionnez les points de suspension en regard de la ressource dans laquelle vous souhaitez ajouter des attributs, puis sélectionnez Exiger les attributs.

    Screenshot that shows selecting Require attributes

  3. Sélectionner le type d'attribut :

    1. Intégré inclut Microsoft Entra attributs de profil utilisateur.
    2. L'extension de schéma d’annuaire permet de stocker davantage de données dans des utilisateurs Microsoft Entra. Vous pouvez étendre le schéma en créant un attribut d’extension. Ces attributs d’extension sur les objets utilisateur peuvent être utilisés pour envoyer des revendications vers des applications pendant l’approvisionnement ou l’authentification unique.
  4. Si vous avez choisi Intégré, sélectionnez un attribut dans la liste déroulante. Si vous avez choisi Extension de schéma d’annuaire, entrez le nom de l’attribut dans la zone de texte.

    Notes

    L’attribut User.mobilePhone est une propriété sensible qui peut être mise à jour uniquement par certains administrateurs. Pour en savoir plus, consultez Qui peut mettre à jour les attributs utilisateur sensibles ?.

  5. Sélectionnez le format de la réponse que les demandeurs doivent utiliser pour leur réponse. Les formats de réponse incluent le texte court, le choix multiples et le texte long.

  6. Si vous sélectionnez le choix multiples, sélectionnez Modifier et localiser pour configurer les options de réponse.

    1. Dans le volet Afficher/modifier la question qui s’affiche, entrez les options de réponse que vous souhaitez attribuer au demandeur lorsqu’il répond à la question dans les boîtes Valeurs de réponse.
    2. Sélectionnez le langage de l’option de réponse. Vous pouvez localiser les options de réponse si vous choisissez plus de langages.
    3. Entrez le nombre de réponses dont vous avez besoin, puis sélectionnez Enregistrer.
  7. Si vous souhaitez que la valeur de l’attribut soit modifiable lors des affectations directes et des demandes en libre-service, sélectionnez Oui.

    Remarque

    Screenshot that shows making attributes editable.

    • Si vous sélectionnez Non dans la boîte La valeur de l’attribut est modifiable et que la valeur de l’attribut est vide, les utilisateurs peuvent entrer la valeur de cet attribut. Après l’enregistrement, la valeur ne peut pas être modifiée.
    • Si vous sélectionnez Non dans la boîte La valeur de l’attribut est modifiable et que la valeur de l’attribut n’est pas vide, les utilisateurs ne peuvent pas modifier la valeur préexistante lors des affectations directes et des demandes en libre-service.

    Screenshot that shows adding localizations.

  8. Si vous souhaitez ajouter la localisation, sélectionnez Ajouter une localisation.

    1. Dans le volet Ajouter des localisations pour la question, sélectionnez le code du langage dans lequel vous localisez la question relative à l’attribut sélectionné.

    2. Dans le langage que vous avez configuré, entrez la question dans la boîte Texte localisé.

    3. Après avoir ajouté toutes les localisations dont vous avez besoin, sélectionnez Enregistrer.

      Screenshot that shows saving the localizations.

  9. Une fois toutes les informations d’attribut renseignées sur la page Attributs requis, sélectionnez Enregistrer.

Ajouter un site SharePoint multigéographique

  1. Si les capacités multigéographiques sont activées pour SharePoint, sélectionnez l’environnement à partir duquel vous souhaitez sélectionner des sites.

    Screenshot that shows the Select SharePoint Online sites pane.

  2. Sélectionnez ensuite les sites que vous souhaitez ajouter au catalogue.

Ajouter une ressource à un catalogue par programmation

Vous pouvez également ajouter une ressource à un catalogue à l'aide de Microsoft Graph. Un utilisateur doté d’un rôle approprié, ou un propriétaire de catalogue et de ressource, avec une application disposant de l’autorisation déléguée EntitlementManagement.ReadWrite.All, peut appeler l’API pour créer un resourceRequest. Une application ayant l’autorisation d’application EntitlementManagement.ReadWrite.All et disposant d’autorisations de modification des ressources, telles que Group.ReadWrite.All, peut également ajouter des ressources au catalogue.

Ajouter une ressource à un catalogue avec PowerShell

Vous pouvez également ajouter une ressource à un catalogue dans PowerShell avec la cmdlet New-MgEntitlementManagementResourceRequest issue du module Microsoft Graph PowerShell cmdlets for Identity Governance version 2.1.x ou ultérieure. L’exemple suivant montre comment ajouter un groupe à un catalogue en tant que ressource à l’aide du module Microsoft Graph PowerShell cmdlets version 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"

$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
  requestType = "adminAdd"
  resource = @{
    originId = $g.Id
    originSystem = "AadGroup"
  }
  catalog = @{ id = $catalog.id }
}

New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources

Supprimer des ressources d’un catalogue

Vous pouvez supprimer des ressources d’un catalogue. Une ressource ne peut être supprimée d’un catalogue que si elle n’est pas utilisée dans un des packages d’accès du catalogue.

Rôles prérequis : consultez Rôles requis pour ajouter des ressources à un catalogue.

Pour supprimer des ressources d’un catalogue :

  1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Catalogues.

  3. Dans la page Catalogues, ouvrez le catalogue duquel vous souhaitez supprimer des ressources.

  4. Sélectionnez Ressources dans le menu de gauche.

  5. Sélectionnez les ressources que vous souhaitez supprimer.

  6. Sélectionnez Supprimer. Si vous le souhaitez, sélectionnez les points de suspension ( ... ), puis sélectionnez Supprimer la ressource.

Ajouter plus de propriétaires de catalogue

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

L’utilisateur qui a créé un catalogue devient le premier propriétaire de catalogue. Pour déléguer la gestion d’un catalogue, ajoutez des utilisateurs au rôle de propriétaire de catalogue. L’ajout de propriétaires de catalogue permet de partager les responsabilités de gestion du catalogue.

Rôle prérequis : administrateur général, administrateur de la gouvernance des identités ou propriétaire de catalogue

Pour attribuer un utilisateur au rôle de propriétaire de catalogue :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Catalogues.

  3. Dans la page Catalogues, ouvrez le catalogue auquel vous souhaitez ajouter des administrateurs.

  4. Dans le menu de gauche, sélectionnez Rôles et administrateurs.

    Screenshot that shows catalog roles and administrators.

  5. Sélectionnez Ajouter des propriétaires pour sélectionner les membres de ces rôles.

  6. Cliquez sur Sélectionner pour ajouter ces membres.

Modifier un catalogue

Vous pouvez modifier le nom et la description d’un catalogue. Les utilisateurs verront ces informations dans les détails d’un package d’accès.

Rôle prérequis : administrateur général, administrateur de la gouvernance des identités ou propriétaire de catalogue

Pour modifier un catalogue :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Catalogues.

  3. Dans la page Catalogues, ouvrez le catalogue que vous souhaitez modifier.

  4. Dans la page Vue d’ensemble du catalogue, sélectionnez Modifier.

  5. Modifiez le nom, la description ou les paramètres activés du catalogue.

    Screenshot that shows editing catalog settings.

  6. Cliquez sur Enregistrer.

Supprimer un catalogue

Vous pouvez supprimer un catalogue, mais seulement s’il ne contient pas de packages d’accès.

Rôle prérequis : administrateur général, administrateur de la gouvernance des identités ou propriétaire de catalogue

Pour supprimer un catalogue :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Catalogues.

  3. Dans la page Catalogues, ouvrez le catalogue que vous souhaitez supprimer.

  4. Dans la page Vue d’ensemble du catalogue, sélectionnez Supprimer.

  5. Dans la boîte de message qui s’affiche, sélectionnez Oui.

Supprimer un catalogue par programmation

Vous pouvez également supprimer un catalogue à l'aide de Microsoft Graph. Un utilisateur doté d'un rôle approprié avec une application disposant de l'autorisation déléguée EntitlementManagement.ReadWrite.All peut appeler l'API pour EntitlementManagement.ReadWrite.All.

Étapes suivantes

Déléguer la gouvernance des accès aux gestionnaires de package d’accès