Effectuer une révision d’accès des groupes et applications dans les révisions d’accès
En tant qu’administrateur, vous créez une révision d’accès de groupes ou d’applications tandis que les réviseurs effectuent la révision d’accès. Cet article explique comment visualiser les résultats de la révision d’accès et les appliquer.
Notes
Cet article explique comment supprimer les données personnelles de l’appareil ou du service et il peut être utilisé dans le cadre de vos obligations en vertu du Règlement général sur la protection des données. Pour obtenir des informations générales concernant le Règlement général sur la protection des données (RGPD), consultez la section relative au RGPD du Centre de gestion de la confidentialité de Microsoft et la section relative au RGPD du Portail d’approbation de services.
Prérequis
- Microsoft Entra ID P2 ou gouvernance de Microsoft Entra ID
- Administrateur général, administrateur d’utilisateurs ou administrateur de gouvernance des identités pour gérer l’accès aux révisions sur les groupes et les applications. Les utilisateurs qui ont un rôle d’administrateur général ou d’administrateur de rôle privilégié peuvent gérer les révisions des groupes auxquels des rôles peuvent être attribués. Consultez Utiliser des groupes Microsoft Entra pour gérer les attributions de rôles
- Les lecteurs Sécurité ont un accès en lecture.
Pour plus d’informations, consultez : Exigences des licences.
Visualiser l’état d’une révision d’accès
Conseil
Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.
Effectuez les étapes suivantes pour suivre la progression des révisions d’accès à mesure qu’elles sont terminées.
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.
Accédez à Gouvernance des identités>Révisions d’accès.
Dans la liste, sélectionnez une révision d’accès.
Dans la page Vue d’ensemble, vous pouvez voir la progression de l’instance Actuelle de la revue. Si aucune instance active n’est ouverte à ce moment-là, vous voyez les informations de l’instance précédente. Aucun droit d’accès n’est modifié dans le répertoire avant que la révision ne soit terminée.
Tous les volets sous Actuelle sont visibles seulement pendant la durée de chaque instance de révision.
Notes
La révision d’accès Actuelle affiche seulement des informations sur l’instance de révision active, mais vous pouvez obtenir des informations sur les révisions qui doivent encore avoir lieu dans Série sous la section Révision prévue .
La page Résultats fournit des informations supplémentaires sur chaque utilisateur révisé dans l’instance, notamment la possibilité d’arrêter, de réinitialiser et de télécharger les résultats.
Si vous affichez une révision d’accès qui révise un accès invité dans les groupes Microsoft 365, le panneau Vue d’ensemble répertorie chaque groupe dans la révision.
Sélectionnez un groupe pour voir la progression de la révision sur ce groupe, et pour arrêter, réinitialiser, appliquer et supprimer la révision.
Si vous souhaitez arrêter une révision d’accès avant qu’elle atteigne la date de fin planifiée, sélectionnez le bouton Arrêter.
Lorsque vous arrêtez une révision, les réviseurs ne peuvent plus donner de réponses. Vous ne pouvez pas redémarrer une révision ayant été arrêtée.
Si vous n’êtes plus intéressé par la révision d’accès, vous pouvez la supprimer en cliquant sur le bouton Supprimer.
Afficher l’état de la révision en plusieurs étapes (préversion)
Pour afficher l’état et la phase d’une révision d’accès en plusieurs étapes :
Sélectionnez la révision en plusieurs étapes dont vous souhaitez vérifier l’état ou consulter l’étape à laquelle elle se trouve.
Sélectionnez Résultats dans le menu de navigation gauche sous Actuel.
Une fois que vous êtes dans la page des résultats, sous État, vous pourrez voir l’étape à laquelle se trouve la révision en plusieurs étapes. L’étape suivante de la révision ne sera pas active tant que la durée spécifiée pendant la configuration de la révision d’accès n’est pas écoulée.
Si une décision est prise, mais que la durée de la révision de cette phase n’a pas encore expiré, vous pouvez sélectionner le bouton Arrêter la phase actuelle dans la page des résultats. Cette opération déclenche l’étape suivante de la révision.
Récupérer les résultats
Pour voir les résultats d’une révision, sélectionnez la page Résultats. Pour voir uniquement l’accès d’un utilisateur, dans la zone de recherche, tapez le nom d’affichage ou le nom d’utilisateur principal d’un utilisateur dont l’accès a été refusé.
Pour visualiser les résultats d’une instance terminée d’une révision d’accès récurrente, sélectionnez Historique des révisions, puis choisissez l’instance concernée dans la liste des instances de révision d’accès terminées, en fonction des dates de début et de fin de l’instance. Vous pouvez obtenir les résultats de cette instance à partir de la page Résultats. Les révisions d’accès récurrentes vous permettent d’avoir une image constante de l’accès aux ressources qui pourraient nécessiter d’être mises à jour plus souvent que par des révisions d’accès ponctuelles.
Pour récupérer les résultats d’une révision d’accès, en cours ou terminée, sélectionnez le bouton Télécharger. Le fichier CSV généré est consultable dans Excel ou dans d’autres programmes qui permettent d’ouvrir des fichiers CSV encodés UTF-8.
Récupérer les résultats par programmation
Vous pouvez également récupérer les résultats d’une révision d’accès à l’aide de Microsoft Graph ou de PowerShell.
Vous devez d’abord localiser l’instance de la révision d’accès. Si accessReviewScheduleDefinition est une révision d’accès périodique, les instances représentent chaque périodicité. Une révision qui ne se répète pas a exactement une instance. Les instances représentent également chaque groupe unique en cours de révision dans la définition de planification. Si une définition de planification révise plusieurs groupes, chaque groupe a une instance unique pour chaque récurrence. Chaque instance contient une liste de décisions sur laquelle les réviseurs peuvent prendre des mesures, avec une décision par identité en cours de révision.
Une fois que vous avez identifié l’instance, pour récupérer les décisions à l’aide de Graph, appelez l’API Graph pour répertorier les décisions d’une instance. Si l’instance est une révision en plusieurs étapes, appelez l’API Graph pour répertorier les décisions d’une révision d’accès en plusieurs étapes. L’appelant doit être un utilisateur dans un rôle approprié avec une application disposant de l’autorisation déléguée AccessReview.Read.All
ou AccessReview.ReadWrite.All
, ou une application disposant de l’autorisation d’application AccessReview.Read.All
ou AccessReview.ReadWrite.All
. Pour plus d’informations, consultez le tutoriel sur comment passer en revue un groupe de sécurité.
Vous pouvez exécuter cette requête dans PowerShell avec le cmdlet Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision
issu du module Cmdlets Microsoft Graph PowerShell pour la gouvernance des identités. La taille de page par défaut de cette API est de 100 éléments de décision.
Appliquer les modifications
Si l’option Appliquer automatiquement les résultats à la ressource a été activée en fonction de vos sélections dans les Paramètres une fois l’opération terminée, l’application automatique s’exécute une fois que l’instance de révision est terminée ou si vous arrêtez celle-ci manuellement.
Si l’option Appliquer automatiquement les résultats à la ressource n’a pas été activée pour la révision, accédez à Historique des révisions sous Série une fois la révision terminée ou arrêtée, puis sélectionnez l’instance de la révision que vous souhaitez appliquer.
Sélectionnez Appliquer pour appliquer les modifications. Si l’accès d’un utilisateur a été refusé dans la révision, lorsque vous sélectionnez Appliquer, Microsoft Entra supprime l’appartenance de cet utilisateur ou son attribution à l’application.
La révision passe alors de l’état Terminé à divers états intermédiaires, comme Application en cours, pour finalement atteindre l’état Résultat appliqué. Les utilisateurs dont l’accès est refusé doivent normalement perdre leur appartenance au groupe ou leur affectation d’applications au bout de quelques minutes.
L’application manuelle ou automatique des résultats est sans effet sur un groupe provenant d’un annuaire local. Si vous souhaitez modifier un groupe qui provient d’un répertoire local, téléchargez les résultats et appliquez ces modifications à la représentation du groupe dans ce répertoire.
Notes
Les résultats ne peuvent pas être appliqués à certains utilisateurs refusés. Les scénarios où cela peut se produire sont les suivants :
- Révision des membres d’un groupe local Windows Server AD synchronisé : si le groupe est synchronisé à partir d’un annuaire Windows Server AD local, le groupe ne peut pas être géré dans Microsoft Entra ID et l’appartenance ne peut donc pas être modifiée.
- Révision d’une ressource (rôle, groupe, application) avec des groupes imbriqués affectés : pour les utilisateurs qui sont membres via un groupe imbriqué, nous ne supprimons pas leur appartenance au groupe imbriqué et ils conservent donc l’accès à la ressource révisée.
- Un utilisateur introuvable ou d’autres erreurs peuvent aussi entraîner la non-prise en charge de l’application du résultat.
- Révision des membres du groupe autorisé à recevoir du courrier : le groupe ne peut pas être géré dans Microsoft Entra ID, de sorte que l’abonnement ne peut pas être modifié.
- L’examen d’une application qui utilise l’attribution de groupe ne supprime pas les membres de ces groupes, pour qu’ils conservent l’accès existant de la relation de groupe pour l’affectation d’application
Actions effectuées sur des utilisateurs invités refusés dans une révision d’accès
À la création de la révision, le créateur peut choisir entre deux options pour les utilisateurs invités refusés dans une révision d’accès.
- Les utilisateurs invités refusés peuvent avoir leur accès à la ressource supprimé. Il s’agit de la valeur par défaut.
- La connexion de l’utilisateur invité refusé peut être bloquée pendant 30 jours, puis supprimée du locataire. Pendant la période de 30 jours, l’accès de l’utilisateur invité au locataire peut être restauré par un administrateur. Une fois la période de 30 jours terminée, si l’accès de l’utilisateur invité à la ressource ne lui a pas été accordé, il sera supprimé définitivement du locataire. En outre, à l’aide du Centre d’administration Microsoft Entra, un administrateur général peut explicitement supprimer définitivement un utilisateur récemment supprimé avant que cette période n’arrive à son terme. Une fois qu’un utilisateur est définitivement supprimé, les données concernant cet utilisateur invité sont supprimées des révisions d’accès actives. Les informations d’audit relatives aux utilisateurs supprimés sont conservées dans le journal d’audit.
Actions effectuées sur les utilisateurs pour lesquels la connexion directe B2B est refusée
Les utilisateurs et les équipes pour lesquels la connexion directe B2B est refusée perdent l’accès à tous les canaux partagés de l’équipe.