Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Aperçu
Microsoft Entra Privileged Identity Management (PIM) fournit des contrôles pour gérer le cycle de vie des accès et des affectations de rôles dans Microsoft Entra ID. Les administrateurs peuvent attribuer des rôles à l’aide de propriétés de date et d’heure de début et de fin. À l’approche de la fin de l’attribution, Privileged Identity Management envoie des notifications par e-mail aux utilisateurs ou aux groupes concernés Il envoie également des notifications par courrier électronique aux administrateurs de Microsoft Entra pour s'assurer que l'accès approprié est maintenu. Les attributions peuvent être renouvelées et rester visibles à l’état expiré pendant 30 jours, même si l’accès n’est pas étendu.
Qui peut étendre et renouveler ?
Seuls les administrateurs généraux ou les administrateurs de rôles privilégiés peuvent étendre ou renouveler les attributions de rôles Microsoft Entra. L’utilisateur ou le groupe concerné peut demander l’extension de rôles arrivant à expiration et le renouvellement de rôles ayant déjà expiré.
Quand des notifications sont-elles envoyées ?
Privileged Identity Management envoie des notifications par e-mail aux administrateurs et aux utilisateurs ou groupes affectés des rôles arrivant à expiration dans les 14 jours et un jour avant l’expiration. Un autre e-mail est envoyé lorsqu’une attribution expire officiellement.
Les administrateurs reçoivent des notifications lorsqu’un utilisateur ou groupe affecté à un rôle arrivant à expiration ou ayant expiré demande une extension ou un renouvellement. Lorsqu’un administrateur résout une requête approuvée ou refusée, tous les autres administrateurs sont informés de la décision. Celle-ci est ensuite communiquée à l’utilisateur ou au groupe à l’origine de la demande.
Étendre des attributions de rôles
Les étapes suivantes décrivent la procédure de demande, de résolution et d’administration de l’extension ou du renouvellement d’une attribution de rôle.
Étendre automatiquement les attributions arrivant à expiration
Les utilisateurs affectés à un rôle peuvent prolonger des attributions de rôles arrivant à expiration directement sous l’onglet Éligible ou Actif de la page Mes rôles soit sous Rôles Microsoft Entra ou depuis le niveau supérieur de la page Mes rôles du portail Privileged Identity Management. Dans le portail, les utilisateurs peuvent demander de prolonger des rôles éligibles ou actifs (attribués) qui expirent au cours des 14 prochains jours.
Lorsque la date/heure de fin de l’attribution se situe 14 jours plus tard ou moins, le bouton Étendre devient un lien actif dans l’interface utilisateur. Dans l’exemple ci-dessous, supposons que la date actuelle est le 27 mars.
Note
Pour un groupe affecté à un rôle, le lien Étendre n’est jamais disponible afin qu’un utilisateur avec une affectation héritée ne puisse pas étendre l’affectation du groupe.
Pour demander une extension de cette attribution de rôle, sélectionnez Étendre afin d’ouvrir le formulaire de demande.
Entrez le motif de la demande d’extension, puis sélectionnez Étendre.
Note
Incluez les détails de la raison pour laquelle l’extension est nécessaire et pour combien de temps l’extension doit être accordée (si vous disposez de ces informations).
Les administrateurs reçoivent une notification par courrier électronique pour passer en revue la demande d’extension. Si une demande d’extension a déjà été envoyée, une notification Azure apparaît dans le portail.
Accédez à la page Demandes en attente pour connaître l’état de votre demande ou l’annuler.
Extensions approuvées par l’administrateur
Quand un utilisateur ou un groupe envoie une demande d’extension d’une affectation de rôle, les administrateurs reçoivent une notification par e-mail contenant les détails de l’affectation d’origine et le motif de la demande. La notification inclut un lien direct vers la requête pour que l’administrateur puisse l’approuver ou la refuser.
En plus de suivre le lien à partir de l’e-mail, les administrateurs peuvent approuver ou refuser des demandes en accédant au portail d’administration Privileged Identity Management et en sélectionnant Approuver les demandes dans le volet gauche.
Lorsqu’un administrateur sélectionne Approuver ou Refuser, les détails de la demande sont affichés, ainsi qu’un champ pour fournir une justification métier pour les journaux d’audit.
Lorsqu’ils approuvent une demande d’extension d’attribution de rôle, les administrateurs peuvent choisir de nouvelles dates de début et de fin et un nouveau type d’attribution. Une modification du type d’attribution peut être nécessaire s’ils souhaitent accorder un accès limité afin d’effectuer une tâche spécifique (un jour, par exemple). Dans cet exemple, l’administrateur peut modifier l’attribution de Éligible à Actif, ce qui signifie qu’il peut donner l’accès au demandeur sans l’obliger à s’activer.
Extension initiée par l’administrateur
Si un utilisateur affecté à un rôle ne demande pas d’extension pour une attribution de rôle, un administrateur peut étendre celle-ci au nom de l’utilisateur. Les extensions d’administration de l’attribution de rôle ne nécessitent pas d’approbation, mais les notifications sont envoyées à tous les autres administrateurs une fois le rôle étendu.
Pour étendre une attribution de rôle, accédez à la vue de l’attribution ou du rôle dans Privileged Identity Management. Trouvez l’attribution qui a besoin d’une extension. Ensuite, sélectionnez Étendre dans la colonne d’action.
Étendre les attributions de rôles à l’aide de l’API Microsoft Graph
Dans la requête suivante, un administrateur étend une attribution active à l’aide de l’API Microsoft Graph.
Demande HTTP
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
{
"action": "adminExtend",
"justification": "TEST",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT3H"
}
}
}
Réponse HTTP
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
"id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"status": "Provisioned",
"createdDateTime": "2022-05-13T16:18:36.3647674Z",
"completedDateTime": "2022-05-13T16:18:40.0835993Z",
"approvalId": null,
"customData": null,
"action": "adminExtend",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"justification": "TEST",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "aaaaaaaa-bbbb-cccc-1111-222222222222"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T16:18:40.0835993Z",
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT3H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
Renouveler des attributions de rôles
Bien que semblable d’un point de vue conceptuel au processus de demande d’extension, le processus de renouvellement d’une attribution de rôle arrivée à expiration est différent. Les étapes suivantes permettent aux attributions et aux administrateurs de renouveler si nécessaire l’accès à des rôles ayant expiré.
Auto-renouvellement
Les utilisateurs qui n’ont plus accès aux ressources peuvent accéder à 30 jours d’historique d’attributions arrivées à expiration. Pour ce faire, accédez à Mes rôles dans le volet gauche, puis sélectionnez l’onglet Rôles expirés dans la section Rôles Microsoft Entra.
La liste des rôles affiche par défaut les Rôles éligibles. Sélectionnez les rôles Éligibles ou Actifs affectés.
Pour demander le renouvellement d’une des attributions de rôles de la liste, sélectionnez l’action Renouveler. Ensuite, précisez le motif de la demande. Il est utile de fournir une durée en plus d’un autre contexte ou d’une justification métier qui peut aider l’administrateur à décider s’il faut approuver ou refuser.
Une fois que la demande de renouvellement d’une attribution de rôle a été soumise, les administrateurs sont informés de la présence d’une demande en attente.
L'administrateur approuve
Les administrateurs Microsoft Entra peuvent accéder à la demande de renouvellement à partir du lien contenu dans la notification par e-mail ou en accédant à Privileged Identity Management sur le centre d’administration Microsoft Entra et en sélectionnant Approuver les demandes dans PIM.
Lorsqu’un administrateur sélectionne Approuver ou Rejeter, les détails de la demande s’affichent, ainsi qu’un champ permettant de donner une justification professionnelle pour les journaux d’audit.
Lorsqu’ils approuvent une demande de renouvellement d’attribution de rôle, les administrateurs doivent entrer de nouvelles dates de début et de fin et un nouveau type d’attribution.
Renouvellement d’administrateur
Les administrateurs peuvent également renouveler les attributions de rôles expirées à partir de l’onglet Rôles expirés d’un rôle Microsoft Entra. Pour voir la liste de toutes les attributions de rôles ayant expiré, sélectionnez Rôles ayant expiré sur l’écran Attributions.
