Détection et insights (préversion) pour les rôles Azure AD (anciennement Assistant Sécurité)

Si vous commencez à utiliser le service Privileged Identity Management (PIM) d’Azure Active Directory (Azure AD), de la famille Microsoft Entra, pour gérer les attributions de rôles au sein de votre organisation, vous pouvez utiliser la page Détection et insights (préversion) pour vous lancer. Cette fonctionnalité vous indique qui est affecté aux rôles privilégiés dans votre organisation et comment utiliser PIM pour modifier rapidement les attributions de rôles permanentes en attributions juste-à-temps. Vous pouvez afficher ou modifier vos attributions de rôles privilégiés permanentes dans Détection et insights (préversion) . Il s’agit d’un outil d’analyse et d’un outil d’action.

Détection et insights (préversion)

Avant que votre organisation commence à utiliser Privileged Identity Management, toutes les attributions de rôles sont permanentes. Les utilisateurs se trouvent toujours dans les rôles qui leur sont attribués, même s’ils n’ont pas besoin des privilèges associés. Détection et insights (préversion), qui remplace l’ancien Assistant Sécurité, affiche une liste des rôles privilégiés et le nombre d’utilisateurs actuellement dans ces rôles. Vous pouvez répertorier les attributions d’un rôle pour en savoir plus sur les utilisateurs affectés si un ou plusieurs d’entre eux ne vous sont pas familiers.

✔️ Microsoft recommande de conserver deux comptes de secours qui sont attribués de façon permanente au rôle Administrateur général. Assurez-vous que ces comptes ne nécessitent pas le même mécanisme d’authentification multifacteur que vos comptes d’administration normaux pour se connecter, comme décrit dans la section Gérer les comptes d’accès d’urgence dans Azure AD.

En outre, conservez les attributions de rôles permanentes si un utilisateur possède un compte Microsoft (en d’autres termes, un compte pour se connecter aux services Microsoft tels que Skype ou Outlook.com). Si vous avez besoin de l’authentification multifacteur pour un utilisateur disposant d’un compte Microsoft afin d’activer une attribution de rôle, l’utilisateur est verrouillé.

Ouvrir Détection et insights (préversion)

  1. Connectez-vous au portail Azure.

  2. Ouvrez Azure AD Privileged Identity Management.

  3. Dans le menu de gauche, sélectionnez Rôles Azure AD, puis Détection et insights (préversion). L’ouverture de la page lance le processus de détection pour rechercher les attributions de rôles pertinentes.

    Rôles Azure AD - Page Détection et insights présentant les 3 options

  4. Sélectionnez Réduire les administrateurs généraux.

    Capture d’écran représentant « Détection et insights (préversion) » avec l’action « Réduire les administrateurs généraux » sélectionnée.

  5. Passez en revue la liste des attributions du rôle Administrateur général.

    Réduire les administrateurs généraux - Volet Rôle présentant tous les Administrateurs généraux

  6. Sélectionnez Suivant pour sélectionner les utilisateurs ou les groupes que vous souhaitez rendre éligibles, puis sélectionnez Rendre éligible ou Supprimer l’attribution.

    Convertir les membres dans la page éligible avec les options permettant de sélectionner les membres que vous souhaitez rendre éligibles pour les rôles

  7. Vous pouvez également demander à tous les administrateurs généraux de réviser leur propre accès.

    Page Administrateurs généraux, section Révisions d’accès

  8. Après avoir sélectionné l’une de ces modifications, vous verrez une notification Azure.

  9. Vous pouvez ensuite sélectionner Éliminer l’accès permanent ou Vérifier les principaux de service pour répéter les étapes ci-dessus sur d’autres rôles privilégiés et sur les attributions de rôles de principal de service. Pour les attributions de rôles de principal de service, vous ne pouvez supprimer que les attributions de rôles.

    Options Insights supplémentaires pour éliminer l’accès permanent et vérifier les principaux de service

Étapes suivantes