Créer ou approuver une demande d’autorisations
Cet article explique comment créer ou approuver une demande d’autorisations dans le tableau de bord Correction de Gestion des autorisations Microsoft Entra. Vous pouvez créer et approuver des demandes pour les systèmes d’autorisation Amazon Web Services (AWS), Microsoft Azure ou Google Cloud Platform (GCP).
Le tableau de bord Remediation met à votre disposition deux workflows de privilège à la demande :
- New Request : workflow utilisé par un utilisateur afin de créer une demande d’autorisations pour une durée spécifiée.
- Approver : workflow utilisé par un approbateur pour réviser et approuver ou rejeter la demande d’autorisations d’un utilisateur.
Notes
Pour afficher le tableau de bord Remediation, vous devez disposer des autorisations Viewer, Controller ou Administrator. Pour apporter des modifications sous cet onglet, vous devez disposer des autorisations Controller ou Administrator. Si vous ne disposez pas de ces autorisations, contactez votre administrateur système.
Créer une demande d’autorisations
Dans la page d’accueil de Permissions Management, sélectionnez l’onglet Remediation, puis le sous-onglet My Requests.
Le sous-onglet Mes demandes affiche les options suivantes :
- Pending : liste des demandes que vous avez effectuées mais qui n’ont pas encore été révisées.
- Approved : liste des demandes qui ont été révisées et approuvées par l’approbateur. Ces demandes ont déjà été activées ou sont en cours d’activation.
- Processed : récapitulatif des demandes que vous avez créées et qui ont été approuvées (Done) ou rejetées (Rejected) et des demandes qui ont été annulées (Canceled).
Pour créer une demande d’autorisations, sélectionnez Nouvelle requête.
Dans la page Roles/Tasks :
Dans la liste déroulante Type de système d’autorisation, sélectionnez le type de système d’autorisation auquel vous souhaitez accéder : AWS, Azure ou GCP.
Dans la liste déroulante Système d’autorisation, sélectionnez les comptes auxquels vous souhaitez accéder.
Dans la liste déroulante Identity, sélectionnez l’identité au nom de laquelle vous demandez l’accès.
Si l’identité que vous sélectionnez est un utilisateur SAML (Security Assertions Markup Language) et qu’un utilisateur SAML accède au système par le biais d’une hypothèse de rôle, sélectionnez le rôle de l’utilisateur dans le Role.
Si l’identité que vous sélectionnez est un utilisateur local, pour sélectionner les stratégies souhaitées, procédez comme suit :
- Sélectionnez Demander une ou plusieurs stratégies.
- Dans Stratégies disponibles, sélectionnez les stratégies souhaitées.
- Pour sélectionner une stratégie spécifique, sélectionnez le signe plus, puis recherchez et sélectionnez la stratégie souhaitée.
Les stratégies que vous avez sélectionnées s’affichent dans la zone Selected policies.
Si l’identité que vous sélectionnez est un utilisateur local, pour sélectionner les tâches souhaitées, procédez comme suit :
- Sélectionnez Request Task(s).
- Dans Available Tasks, sélectionnez les tâches souhaitées.
- Pour sélectionner une tâche spécifique, sélectionnez le signe plus, puis sélectionnez la tâche souhaitée.
Les tâches que vous avez sélectionnées s’affichent dans la zone Selected Tasks.
Si l’utilisateur a déjà des stratégies existantes, celles-ci sont affichées dans Existing Policies.
Sélectionnez Suivant.
Si vous avez sélectionné AWS, la page Scope s’affiche.
- Dans Sélectionner une étendue, sélectionnez :
- All Resources
- Specific Resources, puis sélectionnez les ressources souhaitées.
- No Resources
- Dans Request Conditions :
- Sélectionnez JSON pour ajouter un bloc de code JSON.
- Sélectionnez Done pour accepter le code que vous avez entré, ou Clear pour supprimer ce que vous avez entré et recommencer.
- Dans Effect, sélectionnez Allow ou Deny.
- Sélectionnez Suivant.
- Dans Sélectionner une étendue, sélectionnez :
La page confirmation s’affiche.
Dans Request Summary, entrez un récapitulatif de votre demande.
Facultatif : dans Note, entrez une note pour l’approbateur.
Dans Schedule, sélectionnez le moment (en termes de rapidité) auquel vous souhaitez que votre demande soit traitée :
- ASAP
- Une fois
- Dans Create Schedule, sélectionnez la fréquence (Frequency), la Date, l’heure (Time) et la durée requise (For), puis sélectionnez Schedule.
- Tous les jours
- Hebdomadaire
- Tous les mois
Sélectionnez Envoyer.
Le message suivant s’affiche : Votre demande a été envoyée avec succès.
La demande que vous avez envoyée est désormais listée dans Pending Requests.
Voici les délais par type de fréquence lors de la création de la demande.
Type de fréquence | Délai (en heures) |
---|---|
ASAP | 24 |
Une fois | 2160 |
Journalier | 23 |
Hebdomadaire | 23 |
Mensuelle | 672 |
Approuver ou rejeter une demande d’autorisations
Dans la page d’accueil de Permissions Management, sélectionnez l’onglet Remediation, puis le sous-onglet My requests.
Pour afficher la liste des demandes qui n’ont pas encore été révisées, sélectionnez Pending Requests.
Dans la liste Request Summary, sélectionnez le menu de sélection (...) à droite d’une demande, puis sélectionnez :
- Details pour afficher les détails de la demande.
- Approve pour approuver la demande.
- Reject pour rejeter la demande.
(Facultatif) ajoutez une note pour le demandeur, puis sélectionnez Confirm.
Le sous-onglet Approved affiche la liste des demandes qui ont été révisées et approuvées par l’approbateur. Ces demandes ont déjà été activées ou sont en cours d’activation. Le sous-onglet Processed affiche un récapitulatif des demandes qui ont été approuvées ou rejetées et des demandes qui ont été annulées.
Étapes suivantes
- Pour plus d’informations sur la façon d’attacher et de détacher des autorisations pour les identités AWS (Amazon Web Services), consultez Attacher et détacher des stratégies pour les identités AWS.
- Pour plus d’informations sur la façon d’ajouter et de supprimer des rôles et des tâches pour les identités Microsoft Azure et Google Cloud Platform (GCP), consultez Ajouter et supprimer des rôles et des tâches pour les identités Azure et GCP.
- Pour plus d’informations sur la façon de révoquer des tâches à haut risque et inutilisées ou d’attribuer un état en lecture seule pour les identités Microsoft Azure et GCP (Google Cloud Platform), consultez Révoquer des tâches à haut risque et inutilisées ou attribuer un état en lecture seule pour les identités Azure et GCP.