Créer une révision d’accès des rôles de ressources Azure et des rôles Azure AD dans PIM

Les besoins d’accès aux rôles de ressources Azure privilégiés et aux rôles Azure AD par les employés évoluent au fil du temps. Pour réduire les risques associés aux attributions de rôles obsolètes, vous devez vérifier les accès régulièrement. Vous pouvez utiliser Azure Active Directory (Azure AD) Privileged Identity Management (PIM) pour créer des révisions d’accès pour l’accès privilégié aux rôles de ressources Azure et aux rôles Azure AD. Vous pouvez également configurer des révisions d’accès périodiques qui interviennent automatiquement. Cet article explique comment créer une ou plusieurs révisions d’accès.

Prérequis

L’utilisation de cette fonctionnalité nécessite des licences Azure AD Premium P2. Pour trouver la licence appropriée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale d’Azure AD. Pour plus d’informations sur les licences pour PIM, consultez Exigences relatives aux licences pour l’utilisation de Privileged Identity Management.

Pour créer des révisions d’accès pour les ressources Azure, vous devez être affecté au rôle Propriétaire ou Administrateur de l’accès utilisateur pour les ressources Azure. Pour créer des révisions d’accès pour les rôles Azure AD, vous devez être affecté au rôle Administrateur général ou Administrateur de rôle privilégié.

Notes

En préversion publique, vous pouvez étendre une révision d’accès aux principaux de service ayant accès aux rôles Azure AD et aux rôles de ressource Azure avec une édition Azure Active Directory Premium P2 active dans votre locataire. Après la disponibilité générale, des licences supplémentaires peuvent être nécessaires.

Créer des révisions d’accès

  1. Connectez-vous au portail Azure en tant qu’utilisateur auquel est attribué l’un des rôles prérequis.

  2. Sélectionnez Identity Governance.

  3. Pour Rôles Azure AD, sélectionnez Rôles Azure AD sous Privileged Identity Management. Pour Ressources Azure, sélectionnez Ressources Azure sous Privileged Identity Management.

    Capture d’écran de la sélection de la gouvernance des identités dans Portail Azure.

  4. Pour Rôles Azure AD, sélectionnez de nouveau Rôles Azure AD sous Gérer. Pour Ressources Azure, sélectionnez l’abonnement que vous souhaitez gérer.

  5. Sous Gérer, sélectionnez Révisions d’accès, puis sélectionnez Nouveau pour créer une révision d’accès.

    Capture d’écran de la liste des révisions d’accès pour les rôles Azure AD indiquant l’état de toutes les révisions.

  6. Nommez la révision d’accès. Si vous le souhaitez, vous pouvez fournir une description de cette révision. Les réviseurs ont accès au nom et à la description de la révision.

    Capture d’écran de la création d’une révision d’accès : nom et description de la révision.

  7. Définissez la Date de début. Par défaut, une révision d’accès se produit une seule fois, démarre le jour même de sa création et s’arrête un mois plus tard. Vous pouvez modifier les dates de début et de fin pour que la révision d’accès démarre ultérieurement et dure le nombre de jours souhaité.

    Capture d’écran des éléments date de début, fréquence, durée, fin, nombre de tentatives et date de fin.

  8. Pour que la révision d’accès soit périodique, modifiez le paramètre Fréquence en remplaçant la valeur Une fois par Hebdomadaire, Mensuel, Trimestriel, Annuel ou Semestriel. Utilisez la zone de texte ou le curseur Durée pour définir le nombre de jours pendant lequel chaque révision de la série périodique pourra être modifiée par les réviseurs. Par exemple, la durée maximale d’une révision mensuelle est de 27 jours, ce qui permet d’éviter le chevauchement des révisions.

  9. Utilisez le paramètre Fin pour spécifier comment mettre fin à la série de révisions d’accès récurrentes. Les séries accès récurrentes peuvent se terminer de trois façons : elles peuvent s’exécuter de façon continue pour démarrer des révisions indéfiniment, s’exécuter jusqu’à une date spécifique ou s’exécuter jusqu’à ce qu’un nombre défini d’occurrences se soient produites. Vous, ou un autre administrateur qui peut gérer les révisions, pouvez arrêter la série après sa création en modifiant la date dans Paramètres, de sorte qu’elle se termine à cette date.

  10. Dans la section Étendue des utilisateurs, sélectionnez l’étendue de la révision. Pour Rôles Azure AD, la première option d’étendue est Utilisateurs et groupes. Les utilisateurs attribués directement et les groupes assignables à un rôle seront inclus dans cette sélection. Pour Rôles de ressources Azure, la première étendue est Utilisateurs. Les groupes affectés aux rôles de ressources Azure sont développés pour afficher les attributions transitives d’utilisateurs dans la révision avec cette sélection. Vous pouvez également sélectionner Principaux de service pour examiner les comptes d’ordinateur ayant un accès direct au rôle de ressources Azure ou au rôle Azure AD.

    Capture d’écran de l’étendue Utilisateurs pour la révision d’une appartenance à un rôle.

  11. Vous pouvez également créer des révisions d’accès uniquement pour les utilisateurs inactifs (préversion). Dans la section Étendue des utilisateurs, définissez Utilisateurs inactifs (au niveau du locataire) uniquement sur true. Si le bouton bascule est défini sur true, l’étendue de la révision se concentre uniquement sur les utilisateurs inactifs. Ensuite, spécifiez Jours inactifs avec un nombre de jours inactif de jusqu’à 730 jours (deux ans). Les utilisateurs inactifs pour le nombre de jours spécifié seront les seuls utilisateurs dans la révision.

  12. Sous Réviser l’appartenance au rôle, sélectionnez les rôles de ressources Azure ou Azure AD privilégiés à réviser.

    Notes

    La sélection de plusieurs rôles crée plusieurs révisions d’accès. Par exemple, en sélectionnant cinq rôles, vous créez cinq révisions d’accès distinctes.

    Capture d’écran de la révision d’une appartenance à un rôle.

  13. Dans type d’affectation, étendez la révision en fonction de la façon dont le rôle a été affecté au principal. Choisissez Affectations éligibles uniquement pour passer en revue les affectations éligibles (quel que soit l’état d’activation quand l’évaluation est créée) ou Affectations actives uniquement pour passer en revue les affectations actives. Choisissez toutes les affectations actives et éligibles pour passer en revue toutes les attributions, quel que soit le type.

    Capture d’écran de la liste des réviseurs des types d’affectations.

  14. Dans la section Réviseurs, sélectionnez une ou plusieurs personnes pour vérifier tous les utilisateurs. Sinon, vous pouvez choisir de faire en sorte que les membres vérifient leur propre accès.

    Liste pour les réviseurs des utilisateurs ou membres sélectionnés (auto)

    • Utilisateurs sélectionnés : utilisez cette option pour désigner un utilisateur spécifique pour terminer la révision. Cette option est disponible quelle que soit l’étendue de la révision, et les réviseurs sélectionnés peuvent réviser des utilisateurs, des groupes et des principaux du service.
    • Membres (auto) : utilisez cette option pour demander aux utilisateurs de réviser leurs propres attributions de rôles. Cette option n’est disponible que si la révision est définie sur l’étendue Utilisateurs et groupes ou Utilisateurs. Pour Rôles Azure AD, les groupes assignables à un rôle ne feront pas partie de la révision lorsque cette option est sélectionnée.
    • Manager : utilisez cette option pour que le manager de l’utilisateur révise son attribution de rôle. Cette option n’est disponible que si la révision est définie sur l’étendue Utilisateurs et groupes ou Utilisateurs. En sélectionnant Manager, vous aurez également la possibilité d’indiquer un réviseur de secours. Les réviseurs de secours sont invités à réviser un utilisateur lorsque celui-ci n’a aucun manager spécifié dans le répertoire. Pour Rôles Azure AD, les groupes assignables à un rôle seront examinés par le réviseur de secours, le cas échéant.

Paramètres de saisie semi-automatique

  1. Pour spécifier ce qui se passe après la fin d’une révision, développez la section Paramètres de saisie semi-automatique.

    Capture d’écran de la section Paramètres de saisie semi-automatique, configuration des options Appliquer automatiquement et Si les réviseurs ne répondent pas.

  2. Si vous voulez supprimer automatiquement l’accès pour les utilisateurs qui ont été refusés, définissez Appliquer automatiquement les résultats à ressource sur Activer. Si vous voulez appliquer manuellement les résultats quand la révision est terminée, cliquez sur Désactiver.

  3. Utilisez la liste Si les réviseurs ne répondent pas pour spécifier ce qui se passe pour les utilisateurs qui ne sont pas vérifiés par le réviseur au cours de la révision. Ce paramètre n’a pas d’impact sur les utilisateurs qui ont été vérifiés par les réviseurs.

    • Aucune modification : laisser l’accès de l’utilisateur inchangé
    • Supprimer l’accès : supprimer l’accès de l’utilisateur
    • Approuver l’accès : approuver l’accès de l’utilisateur
    • Accepter les recommandations : accepter la recommandation du système sur le refus ou l’approbation de la prolongation de l’accès de l’utilisateur
  4. Utilisez la liste Action à appliquer aux utilisateurs invités refusés pour spécifier ce qui arrive aux utilisateurs invités s’ils sont refusés. Ce paramètre n’est pas modifiable pour l’instant pour les révisions des rôles de ressources Azure et des rôles Azure AD ; les utilisateurs invités, comme tous les utilisateurs, perdent toujours l’accès à la ressource si elle est refusée.

    Capture d’écran de la section Paramètres de saisie semi-automatique, Action à appliquer aux utilisateurs invités refusés.

  5. Vous pouvez envoyer des notifications à des utilisateurs ou groupes supplémentaires pour recevoir des mises à jour d’achèvement de révision. Cette fonctionnalité permet d’informer les parties prenantes autres que le créateur de la révision de la progression de la révision. Pour utiliser cette fonctionnalité, sélectionnez Sélectionner un ou plusieurs utilisateurs ou groupes et ajoutez un utilisateur ou groupe supplémentaire pour lequel vous souhaitez recevoir l’état d’achèvement.

    Capture d’écran de la section Paramètres de saisie semi-automatique, Ajout d’utilisateurs pour la réception des notifications.

Paramètres avancés

  1. Pour spécifier d’autres paramètres, développez la section Paramètres avancés.

    Capture d’écran de la section Paramètres avancés pour afficher des recommandations, exiger la raison lors de l’approbation, envoyer des notifications par e-mail et des rappels.

  2. Définissez Afficher les recommandations sur Activer pour montrer aux réviseurs les recommandations du système basées sur les informations des accès de l’utilisateur. Les recommandations sont basées sur une période de 30 jours où les utilisateurs qui se sont connectés au cours des 30 derniers jours se voit recommander l’accès, tandis que les utilisateurs qui ne se sont pas connectés se voit recommander le refus d’accès. Peu importe si ces connexions étaient interactives. La dernière connexion de l’utilisateur s’affiche également avec la recommandation.

  3. Définissez Exiger la raison lors de l’approbation sur Activer afin d’exiger que le réviseur indique un motif pour l’approbation.

  4. Définissez Notifications par e-mail sur Activer pour qu’Azure AD envoie des notifications par e-mail aux réviseurs quand une révision d’accès commence et aux administrateurs quand une révision se termine.

  5. Définissez Rappels sur Activer pour qu’Azure AD envoie des rappels concernant les révisions d’accès en cours aux réviseurs qui n’ont pas terminé leur révision.

  6. Le contenu de l’e-mail envoyé aux réviseurs est généré automatiquement en fonction des détails de la révision (nom de la révision, nom de la ressource, date d’échéance, etc.). Si vous souhaitez communiquer des informations supplémentaires telles que des instructions ou des coordonnées, vous pouvez les ajouter dans l’e-mail Contenu supplémentaire pour le réviseur qui sera inclus dans les e-mails d’invitation et de rappel envoyés aux réviseurs désignés. Ces informations seront affichées dans la section en surbrillance ci-dessous.

    Contenu de l’e-mail envoyé aux réviseurs avec mise en évidence des points importants

Gestion de la révision d’accès

Vous pouvez suivre la progression des révisions des réviseurs sur la page Vue d’ensemble de la révision d’accès. Aucun droit d’accès n’est modifié dans le répertoire avant que la révision ne soit terminée. Vous trouverez ci-dessous une capture d’écran montrant la page de présentation des révisions d’accès des rôles de ressources Azure et des rôles Azure AD.

Capture d’écran de la page de présentation des révisions d’accès montrant les détails de la révision d’accès pour des rôles Azure AD.

S’il s’agit d’une révision unique, une fois la période de révision d’accès terminée, ou si l’administrateur interrompt la révision d’accès, suivez les étapes de la réalisation d’une révision d’accès des rôles de ressources Azure et des rôles Azure AD pour voir et appliquer les résultats.

Pour gérer une série de révisions d’accès, accédez à la révision d’accès et vous y voyez les occurrences à venir dans les révisions planifiées, pour lesquelles vous pouvez modifier la date de fin, ou ajouter/supprimer des réviseurs en conséquence.

En fonction de vos sélections dans Paramètres de saisie semi-automatique, l’application automatique est exécutée après la date de fin de la révision ou lorsque vous arrêtez manuellement la révision. La révision passe alors de l’état Terminé à divers états intermédiaires, comme Application en cours, pour arriver enfin à l’état Appliqué. Les utilisateurs dont l’accès est refusé doivent perdre leurs rôles au bout de quelques minutes.

Impact des groupes affectés à des rôles Azure AD et à des rôles de ressources Azure dans les révisions d’accès

• Pour les rôles Azure AD, les groupes affectables aux rôles peuvent être affectés au rôle à l’aide de groupes affectables aux rôles. Lorsqu’une révision est créée sur un rôle Azure AD auquel des groupes affectables aux rôles sont affectés, le nom du groupe s’affiche dans la révision sans développer l’appartenance au groupe. Le réviseur peut approuver ou refuser l’accès de l’ensemble du groupe au rôle. Les groupes refusés perdent leur affectation au rôle lorsque les résultats de révision sont appliqués.

• Pour les rôles de ressources Azure, tout groupe de sécurité peut être affecté au rôle. Lorsqu’une révision est créée sur un rôle de ressource Azure avec un groupe de sécurité affecté, les utilisateurs affectés à ce groupe de sécurité sont entièrement développés et présentés au réviseur du rôle. Lorsqu’un réviseur refuse un utilisateur qui a été affecté au rôle via le groupe de sécurité, l’utilisateur n’est pas supprimé du groupe, et par conséquent l’application du résultat de refus échoue.

Notes

Il est possible que d’autres groupes soient affectés à un groupe de sécurité. Dans ce cas, seuls les utilisateurs affectés directement au groupe de sécurité affecté au rôle apparaissent dans la révision du rôle.

Mettre à jour la révision d’accès

Après le lancement d’une ou de plusieurs révisions d’accès, vous souhaiterez peut-être modifier ou mettre à jour les paramètres de vos révisions d’accès existantes. Voici quelques scénarios courants que vous pouvez envisager :

  • Ajout et suppression de réviseurs : Lors de la mise à jour des révisions d’accès, vous pouvez choisir d’ajouter un réviseur de secours en plus du réviseur principal. Les réviseurs principaux peuvent être supprimés lors de la mise à jour d’une révision d’accès. Toutefois, les réviseurs de secours ne peuvent pas être supprimés du fait de la conception.

    Notes

    Les réviseurs de secours ne peuvent être ajoutés que lorsque le type de réviseur est Manager. Les réviseurs principaux peuvent être ajoutés lorsque le type de réviseur est un utilisateur sélectionné.

  • Rappel aux réviseurs : Lors de la mise à jour des révisions d’accès, vous pouvez choisir d’activer l’option de rappel sous Paramètres avancés. Une fois cette option activée, les utilisateurs recevront une notification par e-mail à mi-parcours de la période de révision, qu’ils aient terminé ou non la révision.

    Capture d’écran de l’option de rappel sous les paramètres de révision d’accès.

  • Mise à jour des paramètres : Si une révision d’accès est récurrente, il existe des paramètres distincts sous « Actuel » et sous « Série ». La mise à jour des paramètres sous « Actuel » appliquera uniquement les modifications apportées à la révision d’accès actuelle, tandis que la mise à jour des paramètres sous « Série » mettra à jour le paramètre pour toutes les futures révisions.

    Capture d’écran de la page Paramètres sous Révisions d’accès.

Étapes suivantes