Effectuer une révision d’accès aux ressources Azure et aux rôles Microsoft Entra dans PIM

  • Article

Les administrateurs de rôle privilégié peuvent examiner l’accès privilégié dès le démarrage d’une révision d’accès. Privileged Identity Management (PIM) dans Microsoft Entra ID envoie automatiquement un e-mail qui invite les utilisateurs à réviser leur accès. Si un utilisateur ne reçoit pas d’e-mail, vous pouvez lui envoyer les instructions relatives à l’exécution d’une révision d’accès.

Une fois la révision créée, suivez les étapes de cet article pour terminer la révision et voir les résultats.

Terminer des révisions d’accès

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’utilisateur affecté à l’un des rôles prérequis.

  2. Accédez à Gouvernance des identités>Privileged Identity Management.

  3. Pour les rôles Microsoft Entra, sélectionnez Rôles Microsoft Entra. Pour les ressources Azure, sélectionnez Ressources Azure

  4. Sélectionnez la révision d’accès que vous souhaitez gérer. Vous trouverez ci-dessous un exemple de capture d’écran de la vue d’ensemble Révisions d’accès pour les ressources Azure et les rôles Microsoft Entra.

    Capture d’écran de la liste des révisions d’accès indiquant le rôle, le propriétaire, la date de début, la date de fin et l’état.

Sur la page de détails, les options suivantes sont disponibles pour la gestion de la révision des ressources Azure et des rôles Microsoft Entra :

Capture d’écran des options de gestion d’une révision dans les ressources Azure : Arrêter, Rétablir, Appliquer, Supprimer.

Arrêter une révision d’accès

Toutes les révisions d’accès ont une date de fin, mais vous pouvez utiliser le bouton Arrêter pour les terminer plus tôt. Le bouton Arrêter est sélectionnable uniquement lorsque l’instance de révision est active. Vous ne pouvez pas redémarrer une révision une fois qu’elle a été arrêtée.

Rétablir une révision d’accès

Lorsque l’instance de révision est active et qu’au moins une décision a été prise par les réviseurs, vous pouvez rétablir la révision d’accès en sélectionnant le bouton Rétablir pour supprimer toutes les décisions qui ont été prises à son sujet. Une fois la révision d’accès réinitialisée, tous les utilisateurs sont à nouveau marqués comme non révisés.

Appliquer une révision d’accès

Lorsqu’une révision d’accès est terminée, soit parce que vous avez atteint la date de fin, soit parce que vous l’avez arrêtée manuellement, le bouton Appliquer supprime l’accès des utilisateurs auxquels l’accès au rôle a été refusé. Si l’accès d’un utilisateur a été refusé lors de la révision, cette étape supprime son attribution de rôle. Si le paramètre Application automatique est configuré lors de la création de la révision, ce bouton sera toujours désactivé, car la révision sera appliquée automatiquement et non manuellement.

Supprimer une révision d’accès

Si vous n’êtes plus intéressé par la révision, supprimez-la. Pour supprimer la révision d’accès du service Privileged Identity Management, sélectionnez le bouton Supprimer.

Important

Vous ne serez pas obligé de confirmer cette modification destructrice, donc vérifiez que vous souhaitez supprimer cette révision.

Résultats

Sur la page Résultats, vous pouvez afficher et télécharger la liste des résultats de votre révision.

Capture d’écran de la page Résultats répertoriant les utilisateurs, la décision, la raison, les réviseurs, les personnes ayant appliqué le résultat pour les rôles de ressources Microsoft Entra.

Remarque

Les rôles Microsoft Entra ont un concept de groupes assignables à un rôle, où un groupe peut être affecté au rôle. Dans ce cas, le groupe apparaîtra dans la révision au lieu de développer les membres du groupe, et un réviseur approuvera ou refusera le groupe entier.

Capture d’écran de la page Résultats répertoriant les utilisateurs, la décision, la raison, les réviseurs, les personnes ayant appliqué le résultat pour les rôles de ressources Azure.

Notes

Si un groupe est affecté à des rôles de ressources Azure, le réviseur du rôle de ressources Azure verra la liste développée des utilisateurs d’un groupe imbriqué. Si un réviseur refuse un membre d’un groupe imbriqué, le résultat de ce refus ne sera pas appliqué correctement, car l’utilisateur n’est pas supprimé du groupe imbriqué.

Réviseurs

Sur la page Réviseurs, vous pouvez visualiser et ajouter des réviseurs à votre révision d’accès existante. Vous pouvez également rappeler aux réviseurs de terminer leurs révisions ici.

Notes

Si le type de réviseur sélectionné est un utilisateur ou un groupe, vous pouvez à tout moment ajouter d’autres utilisateurs ou d’autres groupes comme réviseurs principaux. Vous pouvez également supprimer des réviseurs principaux à tout moment. Si le type de réviseur est Manager, vous pouvez ajouter des utilisateurs ou des groupes en tant que réviseurs de secours pour terminer les révisions des utilisateurs qui n’ont pas de manager. Les réviseurs de secours ne peuvent pas être supprimés.

Capture d’écran de la page Réviseurs listant le nom et le nom d’utilisateur principal pour les rôles de ressources Azure.

Étapes suivantes