Partage via


Créer une révision d’accès d’un package d’accès dans la gestion des droits d’utilisation

Pour réduire le risque d’un accès obsolète, vous devez activer les révisions périodiques des utilisateurs qui ont des attributions actives à un package d’accès dans la gestion des droits d'utilisation. Vous pouvez activer les révisions quand vous créez un package d’accès ou que vous modifiez une stratégie d’attribution de package d’accès existante. Cet article explique comment activer des révisions d’accès des packages d'accès.

Prérequis

Pour activer des révisions des packages d’accès, vous devez remplir les conditions préalables à la création d’un package d’accès :

  • Microsoft Entra ID P2 ou gouvernance de Microsoft Entra ID
  • Administrateur général, Administrateur de gouvernance des identités, Propriétaire du catalogue ou Gestionnaire de package d’accès

Remarque

Après l’accès selon le principe des privilèges minimum, nous vous recommandons d’utiliser le rôle Administrateur de gouvernance des identités, Propriétaire du catalogue ou Gestionnaire de package d’accès.

Pour plus d’informations, consultez Exigences des licences.

Créer une révision d’accès pour un package d'accès

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Vous pouvez activer les révisions d’accès au moment de la création d’un package d’accès ou de la modification d’une stratégie d’attribution de package d’accès existante. Si vous avez défini plusieurs stratégies pour permettre à différentes communautés d’utilisateurs de demander l’accès, vous pouvez planifier des révisions d’accès distinctes pour chaque stratégie. Si vous voulez activer les révisions d’accès pour des stratégies d’attribution de package d’accès, procédez comme suit :

  1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Révisions d’accès>Package d’accès.

  3. Pour créer une nouvelle stratégie d’accès, sélectionnez Nouveau package d’accès.

  4. Pour modifier une stratégie d’accès existante, dans le menu de gauche, sélectionnez Packages d’accès et ouvrez le package d’accès que vous souhaitez modifier. Ensuite, dans le menu de gauche, sélectionnez Politiques et sélectionnez la politique avec les paramètres de cycle de vie que vous souhaitez modifier.

  5. Ouvrez l’onglet Cycle de vie pour une stratégie d’attribution de package d’accès afin de spécifier à quel moment expirera l’attribution du package d’accès à tel ou tel utilisateur. Vous pouvez également spécifier si les utilisateurs peuvent étendre leurs attributions.

  6. Dans la section Expiration, définissez L’affectation de package d’accès expire sur Date, Nombre de jours, Nombre d’heures ou Jamais.

    Pour Date, sélectionnez une date d’expiration.

    Pour Nombre de jours, spécifiez un nombre de jours compris entre 0 et 3 660.

    Dans Nombre d’heures, indiquez un nombre d’heures.

    Selon votre sélection, l’affectation du package d’accès à un utilisateur expire à une date définie, après un nombre de jours définis après approbation, ou n’expire jamais.

    Package d’accès - Paramètres d’expiration du cycle de vie

  7. Sélectionnez Afficher les paramètres avancés d’expiration pour montrer d’autres paramètres.

  8. Pour autoriser un utilisateur à étendre son attribution, définissez Autoriser un utilisateur à étendre son accès sur Oui.

    Si les extensions sont autorisées dans la stratégie, l’utilisateur reçoit un e-mail 14 jours ainsi qu’un jour avant l’expiration de son attribution l’invitant à étendre l’attribution. L’utilisateur doit toujours se trouver dans l’étendue de la stratégie au moment où il demande une prolongation. En outre, si la stratégie a une date de fin explicite pour les attributions et qu’un utilisateur envoie une demande de prolongation de l’accès, la date de prolongation de la demande doit être au plus tard la date d’expiration des attributions, comme défini dans la stratégie utilisée pour accorder à l’utilisateur l’accès au package d’accès. Par exemple, si la stratégie indique que les affectations sont configurées pour expirer le 30 juin, l’extension maximale qu’un utilisateur peut demander est le 30 juin.

    Si l’accès d’un utilisateur est étendu, il ne pourra pas demander le package d’accès après la date d’extension spécifiée (date définie dans le fuseau horaire de l’utilisateur qui a créé la stratégie).

  9. Pour demander une approbation pour accorder une extension, définissez Exiger une approbation pour accorder l'extension sur Oui.

    Les mêmes paramètres d’approbation que ceux spécifiés sous l’onglet Requêtes seront utilisés.

  10. Ensuite, déplacez la bascule Demander des révisions d’accès vers Oui.

    Ajouter la révision d’accès

  11. Spécifiez la date à laquelle les révisions commenceront à côté de Date de début.

  12. Ensuite, définissez Fréquence de vérification sur Annuelle, Bi-annuelle, Trimestrielle ou Mensuelle. Ce paramètre détermine la fréquence à laquelle les révisions d’accès surviennent.

  13. Configurez la Durée pour définir le nombre de jours pendant lequel chaque révision de la série périodique est ouverte pour être modifiée par les réviseurs. Par exemple, vous pouvez planifier une révision annuelle qui commence le 1er janvier et qui est ouverte pour une période de 30 jours, de sorte que les réviseurs ont jusqu’à la fin du mois pour répondre.

  14. En regard de Relecteurs, sélectionnez Révision automatique si vous souhaitez que les utilisateurs effectuent leur propre révision d’accès ou sélectionnez Réviseur(s) spécifique(s) si vous souhaitez désigner un réviseur. Vous pouvez également sélectionner Manager si vous souhaitez désigner comme réviseur le manager du réviseur. Si vous sélectionnez cette option, vous devez ajouter un réviseur de secours à qui confier la révision au cas où le manager serait introuvable dans le système.

  15. Si vous avez sélectionné Réviseur(s) spécifique(s), spécifiez les utilisateurs qui feront la révision d’accès :

    Sélectionnez Ajouter des réviseurs

    1. Sélectionnez Ajouter des réviseurs.
    2. Dans le volet Sélectionner des réviseurs, recherchez et sélectionnez le ou les utilisateurs que vous souhaitez utiliser comme réviseurs.
    3. Une fois que vous avez sélectionné le ou les réviseurs, sélectionnez le bouton Sélectionner.

    Spécifier les réviseurs

  16. Si vous avez sélectionné Manager, spécifiez le réviseur de secours :

    1. Sélectionnez Ajouter des réviseurs de secours.
    2. Dans le volet Sélectionner les réviseurs de secours, recherchez puis sélectionnez le ou les utilisateurs que vous souhaitez désigner comme réviseurs de secours pour le manager.
    3. Une fois que vous avez sélectionné le ou les réviseurs de secours, sélectionnez le bouton Sélectionner.

    Ajouter les réviseurs de secours

  17. Vous pouvez configurer d’autres paramètres avancés. Pour configurer d’autres paramètres avancés de révision d’accès, sélectionnez Afficher les paramètres avancés de révision d’accès :

    1. Si vous souhaitez spécifier ce qui arrive à l’accès des utilisateurs lorsqu’un réviseur ne répond pas, sélectionnez Si les réviseurs ne répondent pas, puis sélectionnez l’une des options suivantes :

      • Aucune modification si vous ne souhaitez pas une décision sur l’accès des utilisateurs.
      • Supprimer l’accès si vous souhaitez supprimer l’accès des utilisateurs.
      • Prendre des recommandations si vous souhaitez prendre une décision en fonction des recommandations de MyAccess.

      Ajouter les paramètres avancés de la révision d’accès

    2. Si vous souhaitez voir les recommandations du système, sélectionnez Afficher les aides à la décision du réviseur. Les recommandations du système sont basées sur l’activité des utilisateurs. Les réviseurs verront l’une des recommandations suivantes :

      • Approuver la révision si l’utilisateur s’est connecté au moins une fois au cours des 30 derniers jours.
      • Refuser la révision si l’utilisateur ne s’est pas connecté au cours des 30 derniers jours.
    3. Si vous souhaitez que le réviseur partage les raisons de sa décision d’approbation, sélectionnez Exiger une justification du réviseur. Leur justification est visible par les autres réviseurs et le demandeur.

  18. Sélectionnez Vérifier + créer ou Suivant si vous créez un package d’accès. Sélectionnez Mettre à jour si vous modifiez un package d’accès, au bas de la page.

Afficher l’état de la révision d’accès

Après la date de début, une révision d’accès est indiquée dans la section Révisions de l’accès. Pour afficher l’état d’une révision d’accès, procédez comme suit :

  1. Dans Gouvernance des identités, sélectionnez Packages d’accès, puis le package d’accès avec l’état de révision d’accès que vous souhaitez vérifier.

  2. Une fois que vous êtes dans la vue d’ensemble du package d’accès, sélectionnez Révisions d’accès dans le menu de gauche.

    Sélectionner des révisions d’accès

  3. Une liste contenant toutes les politiques auxquelles des révisions d’accès sont associées s’affiche. Sélectionnez la révision pour voir son rapport.

    Liste des révisions d’accès

  4. Lorsque vous affichez le rapport, il affiche le nombre d’utilisateurs revus et les actions effectuées par le réviseur.

    Afficher l’état de révision

Notifications par e-mail de révisions d’accès

Vous pouvez désigner des réviseurs ou les utilisateurs peuvent examiner leur accès eux-mêmes. Par défaut, Microsoft Entra ID envoie un e-mail aux réviseurs ou aux réviseurs indépendants peu de temps après le démarrage de la révision.

L’e-mail inclut des instructions sur la façon d’examiner l’accès aux packages d’accès. Si la révision est destinée aux utilisateurs pour évaluer leur accès, indiquez-leur les instructions sur la façon d’effectuer une auto-analyse de leurs packages d’accès.

Si vous avez attribué des utilisateurs invités en tant que réviseurs et qu’ils n’ont pas accepté leur invitation invité de Microsoft Entra, ils ne recevront pas d’e-mails sur les révisions d’accès. Ils doivent d’abord accepter l’invitation et créer un compte avec Microsoft Entra ID avant de pouvoir recevoir les e-mails.

Remarque

Pendant que le cycle de révision est ouvert, les réviseurs peuvent toujours modifier leurs décisions de révision d’accès. Au milieu de votre révision d’accès, même si le réviseur a pris une décision, un e-mail de rappel est toujours envoyé aux réviseurs pour les informer que le cycle de révision d’accès est toujours ouvert.

Étapes suivantes