Créer et gérer un catalogue de ressources dans la gestion des droits d'utilisation
Cet article explique comment créer et gérer un catalogue de ressources et de packages d'accès dans la gestion des droits d'utilisation.
Créer un catalogue
Un catalogue est un conteneur de ressources et de packages d’accès. Vous créez un catalogue lorsque vous souhaitez regrouper des ressources et packages d’accès liés. Un administrateur peut créer un catalogue. Par ailleurs, un(e) utilisateur(-trice) auquel ou à laquelle le rôle créateur(-trice) de catalogue a été délégué peut créer un catalogue pour les ressources qu’il possède. Un non-administrateur qui crée le catalogue en devient le premier propriétaire. Un propriétaire de catalogue peut ajouter d’autres utilisateurs, groupes d’utilisateurs ou principaux de service d’application comme propriétaires de catalogue.
Pour créer un catalogue :
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.
Conseil
Parmi les autres rôles avec des privilèges minimum pouvant effectuer cette tâche figure le Créateur de catalogue. Les utilisateurs qui se sont vu attribuer le rôle d’administrateur d’utilisateurs ne pourront plus créer de catalogues ni gérer les packages d’accès dans un catalogue dont ils ne sont pas propriétaires. Si le rôle Administrateur d’utilisateurs a été attribué à des utilisateurs de votre organisation pour configurer des catalogues, des packages d’accès ou des stratégies de gestion des droits d’utilisation, vous devriez plutôt leur attribuer le rôle Administrateur de gouvernance des identités.
Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Catalogues.
Sélectionnez Nouveau catalogue.
Entrez un nom unique pour le catalogue et fournissez une description.
Les utilisateurs verront ces informations dans les détails d’un package d’accès.
Si vous souhaitez que les packages d’accès dans ce catalogue soient accessibles aux utilisateurs qui les demandent dès leur création, définissez Activé sur Oui.
Si vous souhaitez que les utilisateurs de répertoires externes d’organisations connectées puissent demander des packages d’accès dans ce catalogue, définissez Activé pour les utilisateurs externes sur Oui. Les packages d’accès doivent également avoir une stratégie permettant aux utilisateurs d’organisations connectées de demander. Si les packages d’accès de ce catalogue sont destinés uniquement aux utilisateurs déjà dans le répertoire, définissez Activé pour les utilisateurs externes sur Non.
Sélectionnez Créer pour créer le catalogue.
Créer un catalogue par programmation
Il existe deux manières de créer un catalogue par programmation.
Créer un catalogue avec Microsoft Graph
Vous pouvez créer un catalogue à l'aide de Microsoft Graph. Un utilisateur doté d’un rôle approprié avec une application disposant de l’autorisation déléguée EntitlementManagement.ReadWrite.All
, ou une application disposant de l’autorisation d’application EntitlementManagement.ReadWrite.All
, peut appeler l’API pour créer un catalogue.
Créer un catalogue avec PowerShell
Vous pouvez également créer un catalogue dans PowerShell avec l'applet de commande New-MgEntitlementManagementCatalog
des applets de commande Microsoft Graph PowerShell pour le module Identity Governance version 2.2.0 ou ultérieure.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"
Ajouter des ressources à un catalogue
Pour inclure des ressources dans un package d’accès, les ressources doivent exister dans un catalogue. Les types de ressources que vous pouvez ajouter à un catalogue sont des groupes, des applications et des sites SharePoint Online.
Les groupes peuvent être des groupes Microsoft 365 ou des groupes de sécurité Microsoft Entra créés sur le cloud.
Les groupes issus d’Active Directory local ne peuvent pas être attribués en tant que ressources, car leurs attributs de propriétaire ou de membre ne sont pas modifiables dans Microsoft Entra ID. Pour permettre à un utilisateur d’accéder à une application qui utilise les appartenances aux groupes de sécurité AD, créez un groupe de sécurité dans Microsoft Entra, configurez la réécriture de groupe dans AD et activez ce groupe pour écriture dans AD pour que le groupe créé dans le cloud puisse être utilisé par une application AD.
Les groupes qui proviennent d’Exchange Online comme groupes de distribution ne peuvent pas non plus être modifiés dans Microsoft Entra ID et ne peuvent donc pas être ajoutés à des catalogues.
Les applications peuvent être des applications d’entreprise Microsoft Entra, ce qui inclut les applications SaaS (software as a service), les applications locales et vos propres applications intégrées à Microsoft Entra ID.
Si votre application n'a pas encore été intégrée à Microsoft Entra ID, voir régir l'accès aux applications dans votre environnement et intégrer une application à Microsoft Entra ID et ajouter l'application à votre répertoire avant de l'ajouter au catalogue.
Pour plus d’informations sur la sélection des ressources appropriées pour les applications avec plusieurs rôles, consultez Comment déterminer les rôles des ressources à inclure dans un package d’accès.
Les sites peuvent être des sites ou des collections de sites SharePoint Online.
Notes
Recherchez SharePoint Site par nom de site ou une URL exacte, car la zone de recherche respecte la casse.
Rôles prérequis : consultez Rôles requis pour ajouter des ressources à un catalogue.
Pour ajouter des ressources à un catalogue :
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.
Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Catalogues.
Sur la page Catalogues, ouvrez le catalogue auquel vous souhaitez ajouter des ressources.
Sélectionnez Ressources dans le menu de gauche.
Sélectionnez Ajouter des ressources.
Sélectionnez Groupes et équipes, Applications ou Sites SharePoint du type de ressource.
Si vous ne voyez aucune ressource que vous souhaitez ajouter ou si vous ne pouvez pas ajouter de ressource, vérifiez que vous possédez le rôle d’annuaire Microsoft Entra et le rôle de gestion des droits d’utilisation requis. Vous devrez peut-être demander à quelqu’un avec les rôles requis d’ajouter la ressource à votre catalogue. Pour plus d’informations, consultez Rôles requis pour ajouter des ressources à un catalogue.
Sélectionnez une ou plusieurs ressources du type que vous souhaitez ajouter au catalogue.
Lorsque vous avez terminé, sélectionnez Ajouter.
Ces ressources peuvent désormais être incluses dans des packages d’accès du catalogue.
Ajouter des attributs de ressource dans le catalogue
Les attributs sont des champs obligatoires auxquels les demandeurs sont invités à répondre avant de soumettre leur demande d’accès. Leurs réponses à ces attributs sont présentées aux approbateurs et également horodaté sur l’objet utilisateur dans Microsoft Entra ID.
Remarque
Tous les attributs configurés sur une ressource requièrent une réponse avant qu’une requête de package d’accès contenant cette ressource puisse être envoyée. Si les demandeurs ne fournissent pas de réponse, leur requête n’est pas traitée.
Pour exiger des attributs pour les demandes d’accès :
Sélectionnez Ressources dans le menu de gauche et une liste de ressources dans le catalogue s’affiche.
Sélectionnez les points de suspension en regard de la ressource dans laquelle vous souhaitez ajouter des attributs, puis sélectionnez Exiger les attributs.
Sélectionner le type d'attribut :
- Intégré inclut Microsoft Entra attributs de profil utilisateur.
- L'extension de schéma d’annuaire permet de stocker davantage de données dans des utilisateurs Microsoft Entra. Vous pouvez étendre le schéma en créant un attribut d’extension. Ces attributs d’extension sur les objets utilisateur peuvent être utilisés pour envoyer des revendications vers des applications pendant l’approvisionnement ou l’authentification unique.
Si vous avez choisi Intégré, sélectionnez un attribut dans la liste déroulante. Si vous avez choisi Extension de schéma d’annuaire, entrez le nom de l’attribut dans la zone de texte.
Notes
L’attribut User.mobilePhone est une propriété sensible qui peut être mise à jour uniquement par certains administrateurs. Pour en savoir plus, consultez Qui peut mettre à jour les attributs utilisateur sensibles ?.
Sélectionnez le format de la réponse que les demandeurs doivent utiliser pour leur réponse. Les formats de réponse incluent le texte court, le choix multiples et le texte long.
Si vous sélectionnez le choix multiples, sélectionnez Modifier et localiser pour configurer les options de réponse.
- Dans le volet Afficher/modifier la question qui s’affiche, entrez les options de réponse que vous souhaitez attribuer au demandeur lorsqu’il répond à la question dans les boîtes Valeurs de réponse.
- Sélectionnez le langage de l’option de réponse. Vous pouvez localiser les options de réponse si vous choisissez plus de langages.
- Entrez le nombre de réponses dont vous avez besoin, puis sélectionnez Enregistrer.
Si vous souhaitez que la valeur de l’attribut soit modifiable lors des affectations directes et des demandes en libre-service, sélectionnez Oui.
Notes
- Si vous sélectionnez Non dans la boîte La valeur de l’attribut est modifiable et que la valeur de l’attribut est vide, les utilisateurs peuvent entrer la valeur de cet attribut. Après l’enregistrement, la valeur ne peut pas être modifiée.
- Si vous sélectionnez Non dans la boîte La valeur de l’attribut est modifiable et que la valeur de l’attribut n’est pas vide, les utilisateurs ne peuvent pas modifier la valeur préexistante lors des affectations directes et des demandes en libre-service.
Si vous souhaitez ajouter la localisation, sélectionnez Ajouter une localisation.
Dans le volet Ajouter des localisations pour la question, sélectionnez le code du langage dans lequel vous localisez la question relative à l’attribut sélectionné.
Dans le langage que vous avez configuré, entrez la question dans la boîte Texte localisé.
Après avoir ajouté toutes les localisations dont vous avez besoin, sélectionnez Enregistrer.
Une fois toutes les informations d’attribut renseignées sur la page Attributs requis, sélectionnez Enregistrer.
Ajouter un site SharePoint multigéographique
Si les capacités multigéographiques sont activées pour SharePoint, sélectionnez l’environnement à partir duquel vous souhaitez sélectionner des sites.
Sélectionnez ensuite les sites que vous souhaitez ajouter au catalogue.
Ajouter une ressource à un catalogue par programmation
Vous pouvez également ajouter une ressource à un catalogue à l'aide de Microsoft Graph. Un utilisateur doté d’un rôle approprié, ou un propriétaire de catalogue et de ressource, avec une application disposant de l’autorisation déléguée EntitlementManagement.ReadWrite.All
, peut appeler l’API pour créer un resourceRequest. Une application ayant l’autorisation d’application EntitlementManagement.ReadWrite.All
et disposant d’autorisations de modification des ressources, telles que Group.ReadWrite.All
, peut également ajouter des ressources au catalogue.
Ajouter une ressource à un catalogue avec PowerShell
Vous pouvez également ajouter une ressource à un catalogue dans PowerShell avec la cmdlet New-MgEntitlementManagementResourceRequest
issue du module Microsoft Graph PowerShell cmdlets for Identity Governance version 2.1.x ou ultérieure. L’exemple suivant montre comment ajouter un groupe à un catalogue en tant que ressource à l’aide du module Microsoft Graph PowerShell cmdlets version 2.4.0.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"
$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }
$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
requestType = "adminAdd"
resource = @{
originId = $g.Id
originSystem = "AadGroup"
}
catalog = @{ id = $catalog.id }
}
New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources
Supprimer des ressources d’un catalogue
Vous pouvez supprimer des ressources d’un catalogue. Une ressource ne peut être supprimée d’un catalogue que si elle n’est pas utilisée dans un des packages d’accès du catalogue.
Rôles prérequis : consultez Rôles requis pour ajouter des ressources à un catalogue.
Pour supprimer des ressources d’un catalogue :
Connectez-vous au centre d’administration de Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.
Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Catalogues.
Dans la page Catalogues, ouvrez le catalogue duquel vous souhaitez supprimer des ressources.
Sélectionnez Ressources dans le menu de gauche.
Sélectionnez les ressources que vous souhaitez supprimer.
Sélectionnez Supprimer. Si vous le souhaitez, sélectionnez les points de suspension ( ... ), puis sélectionnez Supprimer la ressource.
Ajouter plus de propriétaires de catalogue
Conseil
Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.
L’utilisateur qui a créé un catalogue devient le premier propriétaire de catalogue. Pour déléguer la gestion d’un catalogue, ajoutez des utilisateurs au rôle de propriétaire de catalogue. L’ajout de propriétaires de catalogue permet de partager les responsabilités de gestion du catalogue.
Pour attribuer un utilisateur au rôle de propriétaire de catalogue :
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.
Conseil
Parmi les autres rôles avec des privilèges minimum pouvant effectuer cette tâche figure le Propriétaire du catalogue.
Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Catalogues.
Dans la page Catalogues, ouvrez le catalogue auquel vous souhaitez ajouter des administrateurs.
Dans le menu de gauche, sélectionnez Rôles et administrateurs.
Sélectionnez Ajouter des propriétaires pour sélectionner les membres de ces rôles.
Cliquez sur Sélectionner pour ajouter ces membres.
Modifier un catalogue
Vous pouvez modifier le nom et la description d’un catalogue. Les utilisateurs verront ces informations dans les détails d’un package d’accès.
Pour modifier un catalogue :
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.
Conseil
Parmi les autres rôles avec des privilèges minimum pouvant effectuer cette tâche figure le Créateur de catalogue.
Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Catalogues.
Dans la page Catalogues, ouvrez le catalogue que vous souhaitez modifier.
Dans la page Vue d’ensemble du catalogue, sélectionnez Modifier.
Modifiez le nom, la description ou les paramètres activés du catalogue.
Sélectionnez Enregistrer.
Supprimer un catalogue
Vous pouvez supprimer un catalogue, mais seulement s’il ne contient pas de packages d’accès.
Pour supprimer un catalogue :
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.
Conseil
Parmi les autres rôles avec des privilèges minimum pouvant effectuer cette tâche figure le Créateur de catalogue.
Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Catalogues.
Dans la page Catalogues, ouvrez le catalogue que vous souhaitez supprimer.
Dans la page Vue d’ensemble du catalogue, sélectionnez Supprimer.
Dans la boîte de message qui s’affiche, sélectionnez Oui.
Supprimer un catalogue par programmation
Vous pouvez également supprimer un catalogue à l'aide de Microsoft Graph. Un utilisateur doté d'un rôle approprié avec une application disposant de l'autorisation déléguée EntitlementManagement.ReadWrite.All
peut appeler l'API pour EntitlementManagement.ReadWrite.All
.
Étapes suivantes
Déléguer la gouvernance des accès aux gestionnaires de package d’accès