Utiliser les groupes Microsoft Entra pour gérer les attributions de rôles
Avec Microsoft Entra ID P1 ou P2, vous pouvez créer des groupes attribuables à des rôles et attribuer des rôles Microsoft Entra à ces groupes. Cette fonctionnalité facilite la gestion des rôles, garantit un accès cohérent et simplifie les autorisations d’audit. L’attribution de rôles à un groupe plutôt qu’à des individus facilite l’ajout ou la suppression des utilisateurs d’un rôle et crée des autorisations cohérentes pour tous les membres du groupe. Vous pouvez également créer des rôles personnalisés avec des autorisations spécifiques et les affecter aux groupes.
Pourquoi attribuer des rôles à des groupes ?
Prenons l'exemple de la société Contoso qui a embauché des personnes dans toutes les zones géographiques pour gérer et réinitialiser les mots de passe des employés de son organisation Microsoft Entra. Plutôt que de demander à un administrateur de rôles privilégiés ou à un administrateur général d’attribuer le rôle Administrateur du support technique à chaque personne individuellement, elle peut créer un groupe Contoso_Helpdesk_Administrators et attribuer le rôle au groupe. Quand des personnes rejoignent le groupe, elles reçoivent le rôle indirectement. Votre flux de travail de gouvernance actuel peut alors prendre en charge le processus d’approbation et l’audit de l’appartenance du groupe pour s’assurer que seuls les utilisateurs légitimes sont membres du groupe et donc affectés au rôle Administrateur du support technique.
Fonctionnement des attributions de rôle aux groupes
Pour attribuer un rôle à un groupe, vous devez créer un nouveau groupe de sécurité ou Microsoft 365 avec la propriété isAssignableToRole définie sur true. Dans le centre d'administration Microsoft Entra, vous définissez l'option Les rôles Microsoft Entra pouvant être attribués au groupe sur Oui. Dans tous les cas, vous pouvez ensuite attribuer un ou plusieurs rôles Microsoft Entra au groupe de la même manière que vous attribuez des rôles aux utilisateurs.
Restrictions pour les groupes assignables à un rôle
Les groupes assignables à un rôle présentent les restrictions suivantes :
- Vous pouvez uniquement définir la propriété
isAssignableToRoleou les rôles Microsoft Entra peuvent être attribués à l'option de groupe pour les nouveaux groupes. - La propriété
isAssignableToRoleestisAssignableToRole. Une fois qu’un groupe a été créé avec cette propriété définie, il ne peut plus être modifié. - Vous ne pouvez pas faire d’un groupe existant un groupe assignable à un rôle.
- Un maximum de 500 groupes attribuables à des rôles peuvent être créés dans une même organisation Microsoft Entra (locataire).
Comment les groupes assignables à un rôle sont-ils protégés ?
Si un rôle est attribué à un groupe, tout administrateur informatique qui peut gérer l’appartenance au groupe peut également gérer indirectement l’appartenance à ce rôle. Par exemple, supposons qu’un groupe nommé Contoso_User_Administrators se voit attribuer le rôle Administrateur d’utilisateurs. Un Administrateur Exchange qui peut modifier l’appartenance au groupe peut s’ajouter au groupe Contoso_User_Administrators et devenir ainsi Administrateur d’utilisateurs. Comme vous pouvez le voir, un administrateur peut élever ses privilèges d’une manière que vous n’aviez pas prévue.
Seuls les groupes dont la propriété isAssignableToRole est définie sur true au moment de la création peuvent se voir attribuer un rôle. La propriété est immuable. Une fois qu’un groupe a été créé avec cette propriété définie, il ne peut plus être modifié. Vous ne pouvez pas définir la propriété sur un groupe existant.
Les groupes assignables à un rôle sont conçus pour aider à prévenir les violations potentielles en respectant les restrictions suivantes :
- Seuls les administrateurs généraux et les administrateurs de rôles privilégiés peuvent créer un groupe assignable à un rôle.
- Le type d’adhésion pour les groupes attribuables à des rôles doit être Attribué et ne peut pas être un groupe dynamique Microsoft Entra. L’alimentation automatisée de groupes dynamiques peut entraîner l’ajout d’un compte indésirable au groupe et don son affectation au rôle.
- Par défaut, seuls les Administrateurs généraux et les Administrateurs de rôle privilégié peuvent gérer l’appartenance à un groupe attribuable à un rôle, mais vous pouvez déléguer la gestion des groupes attribuables à un rôle en leur ajoutant des propriétaires de groupe.
- Pour Microsoft Graph, l’autorisation RoleManagement.ReadWrite.Directory est nécessaire pour pouvoir gérer l’appartenance aux groupes assignables de rôles. L’autorisation Group.ReadWrite.All ne fonctionnera pas.
- Pour empêcher une élévation des privilèges, seuls un Administrateur de rôle privilégié ou un Administrateur général peuvent modifier les informations d’identification, redéfinir l’authentification multifacteur ou modifier des attributs sensibles pour les membres et propriétaires d’un groupe attribuable à un rôle.
- L’imbrication des groupes n’est pas prise en charge. Un groupe ne peut pas être ajouté en tant que membre d’un groupe assignable à un rôle.
Utiliser PIM pour rendre un groupe qualifié pour à une attribution de rôle
Si vous ne souhaitez pas que les membres du groupe aient un accès permanent à un rôle, vous pouvez utiliser Microsoft Entra Privileged Identity Management (PIM) pour rendre un groupe éligible à une attribution de rôle. Chaque membre du groupe est alors qualifié pour activer l’attribution de rôle pour une durée déterminée.
Remarque
Pour les groupes utilisés pour l’élévation aux rôles Microsoft Entra, nous vous recommandons d’exiger un processus d’approbation pour les affectations de membres éligibles. Les affectations pouvant être activées sans approbation peuvent vous laisser vulnérable à un risque de sécurité venant d’administrateurs moins privilégiés. Par exemple, l’administrateur du support technique a l’autorisation de réinitialiser les mots de passe d’un utilisateur éligible.
Scénarios non pris en charge
Les scénarios suivants ne sont pas pris en charge :
- Attribuez des rôles Microsoft Entra (intégrés ou personnalisés) aux groupes sur site.
Problèmes connus
Voici les problèmes connus concernant les groupes assignables à un rôle :
- Clients sous licence Microsoft Entra ID P2 uniquement : même après la suppression du groupe, un membre éligible du rôle est toujours affiché dans l'interface utilisateur PIM. Fonctionnellement, il n’y a pas de problème; il s’agit simplement d’un problème de cache dans le centre d’administration Microsoft Entra.
- Utilisez le nouveau centre d’administration Exchange pour les attributions de rôle via l’appartenance de groupe. L’ancien centre d’administration Exchange ne prend pas en charge cette fonctionnalité. Si vous avez besoin d’accéder à l’ancien centre d’administration Exchange, attribuez le rôle éligible directement à l’utilisateur (et non par le biais de groupes pouvant être affectés par des rôles). Les applets de commande Exchange PowerShell fonctionnent normalement.
- Si un rôle d’administrateur est attribué à un groupe auquel il est possible d’attribuer un rôle plutôt qu’à des utilisateurs individuels, les membres du groupe ne pourront pas accéder à Règles, Organisation ou Dossiers publics dans le nouveau Centre d’administration Exchange. La solution de contournement consiste à attribuer le rôle directement aux utilisateurs au lieu du groupe.
- Le portail Azure Information Protection (le portail classique) ne reconnaît pas encore l’appartenance au rôle par le biais d’un groupe. Vous pouvez effectuer une migration vers la plateforme unifiée d’étiquetage de confidentialité, puis utiliser le portail de conformité Microsoft Purview pour gérer les rôles avec les affectations de groupe.
Conditions de licence :
L’utilisation de cette fonctionnalité nécessite une licence Microsoft Entra ID P1. La Azure Active Directory Privileged Identity Management pour l'activation des rôles juste à temps nécessite une licence Microsoft Entra ID P2. Pour trouver la licence appropriée à vos besoins, consultez Comparaison des fonctionnalités mises à la disposition générale des éditions Gratuite et Premium.