Partage via


Configurer des vérifications de séparation des tâches pour un package d’accès dans la gestion des droits d’utilisation

Dans la gestion des droits d’utilisation, vous pouvez configurer plusieurs stratégies, avec des paramètres différents pour chaque communauté d’utilisateurs qui aura besoin d’un accès par le biais d’un package d’accès. Par exemple, les employés peuvent avoir besoin seulement de l’approbation du responsable pour accéder à certaines applications, mais des invités provenant d’autres organisations peuvent nécessiter l’approbation d’un sponsor et d'un responsable du département de l’équipe des ressources. Dans une stratégie pour les utilisateurs qui se trouvent déjà dans l’annuaire, vous pouvez spécifier un groupe d’utilisateurs particulier qui peut demander l’accès. Cependant, vous pouvez avoir comme exigence d'éviter qu'un utilisateur n'obtienne un accès excessif. Pour répondre à cette exigence, vous voulez limiter davantage les personnes autorisées à demander un accès en fonction de l’accès qu'a déjà le demandeur.

Avec les paramètres de séparation des tâches d’un package d’accès, vous pouvez faire en sorte qu’un utilisateur membre d’un groupe ou déjà affecté à un package d’accès ne puisse pas demander un autre package d’accès.

Expérience myaccess pour la tentative de demande d’accès incompatible

Scénarios de séparation des vérifications des tâches

Par exemple, vous disposez d’un package d’accès, campagne marketing, que les personnes de votre organisation et d’autres organisations peuvent demander à accéder à pour travailler avec le service marketing de votre organisation pendant que cette campagne se poursuivra. Étant donné que les employés du service marketing doivent avoir déjà accès à ce matériel de campagne marketing, vous ne souhaitez pas que les employés du service marketing demandent l’accès à ce package d’accès. Vous pourriez aussi avoir déjà un groupe d’appartenance dynamique, Employés du service marketing, qui contient tous les employés du marketing. Vous pouvez indiquer que le package d’accès est incompatible avec le groupe d’appartenance dynamique. Ensuite, si un employé du service marketing recherche un package d’accès à demander, il ne peut pas demander l’accès au package d’accès à la campagne marketing.

De même, vous pourriez avoir une application avec deux rôles d’application, Ventes Ouest et Ventes Est, représentant les secteurs commerciaux, et vous voulez vous assurer qu’un utilisateur ne peut avoir qu’un seul secteur commercial à la fois. Si vous avez deux packages d’accès, un package d’accès Secteur Ouest donnant le rôle Ventes Ouest et un autre package d’accès, Secteur Est donnant le rôle Ventes Est, vous pouvez configurer :

  • que le package d’accès Secteur ouest a le package d’accès Secteur est comme étant incompatible et
  • que le package d’accès Secteur est a le package d’accès Secteur ouest comme étant incompatible.

Si vous avez utilisé Microsoft Identity Manager ou d’autres systèmes de gestion des identités locaux pour automatiser l’accès aux applications locales, vous pouvez également intégrer ces systèmes à la gestion des droits d’utilisation. Si vous contrôlez l’accès aux applications intégrées à Microsoft Entra via la gestion des droits d’utilisation et que vous voulez empêcher les utilisateurs d’avoir un accès incompatible, vous pouvez faire en sorte qu’un package d’accès soit incompatible avec un groupe. Il peut s’agir d’un groupe que votre système de gestion des identités local envoie à Microsoft Entra ID via Microsoft Entra Connect. Cette vérification garantit qu’un utilisateur ne peut pas demander un package d’accès si ce package d’accès donne à cet utilisateur un accès incompatible avec l’accès de l’utilisateur aux applications locales.

Prérequis

Pour utiliser la gestion des droits d’utilisation et affecter des utilisateurs aux packages d’accès, vous devez disposer d’une des licences suivantes :

  • Microsoft Entra ID P2 ou gouvernance de Microsoft Entra ID
  • Licence Enterprise Mobility + Security (EMS) E5

Configurer un autre package d’accès ou une appartenance à un groupe comme incompatible pour demander l’accès à un package d’accès

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Procédez comme suit pour modifier la liste des groupes incompatibles ou d’autres packages d’accès pour un package d’accès existant :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

    Conseil

    D’autres rôles de privilège minimum pouvant effectuer cette tâche incluent le propriétaire du catalogue et le gestionnaire de package d’accès.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès.

  3. Dans la page Packages d’accès, ouvrez le package d'accès que les utilisateurs demandent.

  4. Dans le menu de gauche, sélectionnez Séparation des tâches.

  5. La liste sous l’onglet Packages d’accès incompatibles est d’autres packages d’accès. Si un utilisateur est déjà affecté à un package d’accès sur cette liste, il n’est pas autorisé à demander ce package d’accès.

  6. Si vous souhaitez empêcher les utilisateurs qui ont déjà une autre affectation de package d’accès à demander ce package d’accès, sélectionnez Ajouter un package d’accès et sélectionnez le package d’accès que l’utilisateur est déjà affecté. Ce package d’accès sera ensuite ajouté à la liste des packages d’accès sous l’onglet Packages d’accès incompatibles .

    Configuration des packages d’accès incompatibles

  7. Si vous souhaitez empêcher les utilisateurs qui ont une appartenance à un groupe existante de demander ce package d’accès, sélectionnez Ajouter un groupe, puis sélectionnez le groupe auquel l’utilisateur se trouvait déjà. Ce groupe sera ensuite ajouté à la liste des groupes sous l’onglet Groupes incompatibles .

  8. Si vous souhaitez que les utilisateurs affectés à ce package d’accès ne puissent pas demander ce package d’accès, car chaque relation de package d’accès incompatible est unidirectionnelle, passez à ce package d’accès et ajoutez ce package d’accès comme incompatible. Par exemple, vous souhaitez que les utilisateurs disposant du package d’accès du Territoire occidental ne puissent pas demander le package d’accès du Territoire oriental, et que les utilisateurs disposant du package d’accès du Territoire oriental ne puissent pas demander le package d’accès du Territoire occidental. Si vous avez d'abord ajouté le paquet d'accès au territoire occidental au paquet d'accès au territoire oriental en tant qu'incompatible, vous passez ensuite au paquet d'accès au territoire oriental et ajoutez le paquet d'accès au territoire occidental en tant qu'incompatible.

Configurer des packages d’accès incompatibles par programmation par Graph

Vous pouvez configurer les groupes et autres packages d’accès qui sont incompatibles avec le package d’accès à l’aide de Microsoft Graph. Un utilisateur doté d’un rôle approprié avec une application disposant de l’autorisation déléguée EntitlementManagement.ReadWrite.All, ou une application disposant de cette autorisation d’application EntitlementManagement.ReadWrite.All, peut appeler l’API pour ajouter, supprimer et répertorier les groupes et les packages d’accès incompatibles d’un package d’accès.

Configurer des packages d’accès incompatibles via Microsoft PowerShell

Vous pouvez également configurer les groupes et autres packages d’accès incompatibles avec un package d’accès dans PowerShell avec les applets de commande du module Microsoft Graph PowerShell cmdlets for Identity Governance version 1.16.0 ou ultérieure.

Le script suivant illustre l’utilisation du profil de Graph v1.0 afin de créer une relation indiquant qu’un autre package d’accès est incompatible.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$otherapid = "11112222-bbbb-3333-cccc-4444dddd5555"

$params = @{
   "@odata.id" = "https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/" + $otherapid
}
New-MgEntitlementManagementAccessPackageIncompatibleAccessPackageByRef -AccessPackageId $apid -BodyParameter $params

Afficher les autres packages d’accès configurés comme incompatibles avec celui-ci

Procédez comme suit pour afficher la liste des autres packages d’accès qui ont indiqué qu’ils ne sont pas compatibles avec un package d’accès existant :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

    Conseil

    D’autres rôles de privilège minimum pouvant effectuer cette tâche incluent le propriétaire du catalogue et le gestionnaire de package d’accès.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès.

  3. Dans la page des packages d’accès, ouvrez le package d’accès.

  4. Dans le menu de gauche, sélectionnez Séparation des tâches.

  5. Sélectionnez Incompatible avec.

Identification des utilisateurs qui ont déjà un accès incompatible à un autre package d’accès (préversion)

Si vous avez configuré des paramètres d’accès incompatibles sur un package d’accès auquel des utilisateurs sont déjà affectés, vous pouvez télécharger une liste des utilisateurs disposant de cet accès supplémentaire. Les utilisateurs qui ont également une affectation au package d’accès incompatible ne pourront pas demander à nouveau l’accès.

Suivez ces étapes pour afficher la liste des utilisateurs qui ont des affectations à deux packages d’accès.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

    Conseil

    D’autres rôles de privilège minimum pouvant effectuer cette tâche incluent le propriétaire du catalogue et le gestionnaire de package d’accès.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès.

  3. Sur la page des packages d’accès, ouvrez le package d’accès dans lequel vous avez configuré un autre package d'accès incompatible.

  4. Dans le menu de gauche, sélectionnez Séparation des tâches.

  5. Dans la table, si une valeur différente de zéro est présente dans la colonne Accès supplémentaire du deuxième package d’accès, cela indique qu’un ou plusieurs utilisateurs y sont affectés.

    Capture d’écran d’un package d’accès marqué comme incompatible avec les attributions d’accès existantes.

  6. Sélectionnez ce nombre pour afficher la liste des affectations incompatibles.

  7. Si vous le souhaitez, vous pouvez sélectionner le bouton Télécharger pour enregistrer cette liste d’affectations sous forme de fichier CSV.

Identification des utilisateurs qui auront un accès incompatible à un autre package d’accès

Si vous configurez des paramètres d’accès incompatibles sur un package d’accès auquel des utilisateurs sont déjà affectés, tous les utilisateurs qui ont également une affectation aux groupes ou au package d’accès incompatibles ne pourront pas redemander l’accès.

Suivez ces étapes pour afficher la liste des utilisateurs qui ont des affectations à deux packages d’accès.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

    Conseil

    D’autres rôles de privilège minimum pouvant effectuer cette tâche incluent le propriétaire du catalogue et le gestionnaire de package d’accès.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès.

  3. Ouvrez le package d’accès dans lequel vous configurez des affectations incompatibles.

  4. Dans le menu de gauche, sélectionnez Affectations.

  5. Dans le champ État, vérifiez que l’état Remis est sélectionné.

  6. Sélectionnez le bouton Télécharger et enregistrez le fichier CSV résultant en tant que premier fichier avec une liste d’affectations.

  7. Dans la barre de navigation, sélectionnez Gouvernance des identités.

  8. Dans le menu de gauche, sélectionnez Packages d’accès, puis ouvrez le package d’accès que vous prévoyez d’indiquer comme incompatible.

  9. Dans le menu de gauche, sélectionnez Affectations.

  10. Dans le champ État, vérifiez que l’état Remis est sélectionné.

  11. Sélectionnez le bouton Télécharger et enregistrez le fichier CSV résultant en tant que deuxième fichier avec une liste d’affectations.

  12. Utilisez un tableur comme Excel pour ouvrir les deux fichiers.

  13. Les utilisateurs listés dans les deux fichiers ont déjà des affectations incompatibles.

Identification des utilisateurs qui ont déjà un accès incompatible programmatiquement

Vous pouvez récupérer des affectations à un package d’accès à l’aide de Microsoft Graph, qui sont limitées uniquement aux utilisateurs qui ont également une affectation à un autre package d’accès. Un utilisateur doté d’un rôle administratif avec une application disposant de l’autorisation déléguée EntitlementManagement.Read.All ou EntitlementManagement.ReadWrite.All peut appeler l’API pour lister des accès supplémentaires.

Identification des utilisateurs qui ont déjà un accès incompatible à l’aide de PowerShell

Vous pouvez également interroger les utilisateurs qui ont des affectations à un package d'accès avec l'applet de commande Get-MgEntitlementManagementAssignment à partir des applets de commande Microsoft Graph PowerShell pour le module Identity Governance version 2.1.0 ou ultérieure.

Par exemple, si vous avez deux packages d’accès, l’un avec l’ID 00aa00aa-bb11-cc22-dd33-44ee44ee44ee et l’autre avec l’ID 11bb11bb-cc22-dd33-ee44-55ff55ff55ff, vous pouvez récupérer les utilisateurs qui ont des affectations au premier package d’accès, puis les comparer aux utilisateurs qui ont des affectations au deuxième package d’accès. Vous pouvez également signaler les utilisateurs qui ont des affectations remises aux deux, à l’aide d’un script PowerShell similaire à ce qui suit :

$c = Connect-MgGraph -Scopes "EntitlementManagement.Read.All"

$ap_w_id = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$ap_e_id = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$apa_w_filter = "accessPackage/id eq '" + $ap_w_id + "' and state eq 'Delivered'"
$apa_e_filter = "accessPackage/id eq '" + $ap_e_id + "' and state eq 'Delivered'"
$apa_w = @(Get-MgEntitlementManagementAssignment -Filter $apa_w_filter -ExpandProperty target -All)
$apa_e = @(Get-MgEntitlementManagementAssignment -Filter $apa_e_filter -ExpandProperty target -All)
$htt = @{}; foreach ($e in $apa_e) { if ($null -ne $e.Target -and $null -ne $e.Target.Id) {$htt[$e.Target.Id] = $e} }
foreach ($w in $apa_w) { if ($null -ne $w.Target -and $null -ne $w.Target.Id -and $htt.ContainsKey($w.Target.Id)) { write-output $w.Target.Email } }

Configuration de plusieurs packages d’accès pour les scénarios de remplacement

Si un package d’accès a été configuré comme incompatible, un utilisateur qui a une affectation à ce package d’accès incompatible ne peut pas demander le package d’accès et l’administrateur ne peut pas non plus créer de nouvelle affectation qui serait incompatible.

Par exemple, si le package d’accès Environnement de production a marqué le package Environnement de développement comme incompatible et qu’un utilisateur a une affectation au package d’accès Environnement de développement, le gestionnaire de package d’accès pour Environnement de production ne peut pas créer d’affectation pour cet utilisateur au package d’accès Environnement de production. Pour continuer avec cette affectation, l’affectation existante de l’utilisateur au package d’accès Environnement de développement doit d’abord être supprimée.

Dans une situation exceptionnelle où les règles de séparation des tâches doivent être remplacées, la configuration d’un package d’accès supplémentaire pour capturer les utilisateurs disposant de droits d’accès qui se chevauchent explique clairement aux approbateurs, réviseurs et auditeurs la nature exceptionnelle de ces affectations.

Par exemple, dans un scénario où certains utilisateurs auraient besoin d’accéder simultanément aux environnements de production et de développement, vous pourriez créer un nouveau package d’accès Environnements de production et de développement. Ce package d’accès pourrait avoir comme rôles de ressource certains des rôles de ressource du package d’accès Environnement de production et certains des rôles de ressource du package d’accès Environnement de développement.

Si l’accès incompatible est motivé par les rôles problématiques d’une ressource, cette ressource peut être omise du package d’accès combiné et nécessite l’affectation explicite par l’administrateur d’un utilisateur au rôle de ressource. S’il s’agit d’une application tierce ou de votre propre application, vous pouvez assurer la supervision en surveillant ces attributions de rôles à l’aide du workbook Activité d’attribution de rôle d’application décrit dans la section suivante.

Selon vos procédures de gouvernance, ce package d’accès combiné pourrait avoir comme stratégie :

  • Une stratégie d’affectations directes afin que seul un gestionnaire de package d’accès interagisse avec le package d’accès, ou
  • Une stratégie où les utilisateurs peuvent demander l’accès afin que l’utilisateur puisse demander l’accès, avec éventuellement une étape d’approbation supplémentaire

Cette stratégie pourrait avoir comme paramètres de cycle de vie un nombre de jours d’expiration inférieur à celui d’une stratégie sur d’autres packages d’accès, ou nécessiter des révisions d’accès plus fréquentes avec une supervision régulière afin que les utilisateurs ne conservent pas l’accès plus longtemps que nécessaire.

Surveiller et signaler les affectations d’accès

Vous pouvez utiliser les classeurs Azure Monitor pour obtenir des informations sur la façon dont les utilisateurs reçoivent leur accès.

  1. Configurez Microsoft Entra ID pour envoyer des événements d’audit à Azure Monitor.

  2. Le classeur nommé Activité du package d’accès affiche chaque événement lié à un package d’accès particulier.

    Visualiser les événements du package d’accès

  3. Pour voir si des modifications ont été apportées aux attributions de rôle d’application pour une application qui n’ont pas été créées en raison des affectations de package d’accès, vous pouvez sélectionner le classeur nommé Activité d’attribution de rôle d’application. Si vous choisissez d’omettre l’activité de droit, seules les modifications apportées aux rôles d’application qui n’ont pas été effectuées par la gestion des droits d’utilisation s’affichent. Par exemple, vous voyez une ligne si un administrateur général a directement affecté un utilisateur à un rôle d’application.

    Afficher les attributions de rôle d’application

Étapes suivantes