Régir l’accès aux applications dans votre environnement
Microsoft Entra ID Governance vous permet de bénéficier de la visibilité et des processus appropriés pour répondre aux besoins de votre organisation en termes de sécurité et de productivité des employés. Il offre des fonctionnalités qui permettent de garantir que les bonnes personnes ont l’accès adéquat aux ressources appropriées dans votre organisation, tout cela au bon moment.
Les organisations ayant des exigences de conformité ou des plans de gestion des risques ont toutes des applications sensibles ou vitales pour l’entreprise. La confidentialité des applications peut être basée sur leur objectif ou sur les données qu’elles contiennent, par exemple des informations financières les informations personnelles des clients de l’organisation. Pour ces applications, seul un sous-ensemble de tous les utilisateurs de l’organisation sera généralement autorisé à y avoir accès, et cet accès ne doit être autorisé qu’en fonction d’exigences bien documentées. Dans le cadre des contrôles de votre organisation pour la gestion de l’accès, vous pouvez utiliser des fonctionnalités Microsoft Entra pour :
- configurer l’accès adéquat ;
- approvisionner des utilisateurs à des applications
- appliquer des vérifications d’accès ;
- générer des rapports qui montrent de quelle manière ces contrôles sont utilisés pour remplir vos objectifs de conformité et de gestion des risques.
En plus du scénario de gouvernance de l’accès aux applications, vous pouvez utiliser la Gouvernance Microsoft Entra ID et les autres fonctionnalités Microsoft Entra pour d’autres scénarios, par exemple la révision ou suppression d’utilisateurs issus d’autres organisations ou la gestion des utilisateurs exclus des stratégies d’accès conditionnel. Si votre organisation a plusieurs administrateurs dans Microsoft Entra ID ou Azure et qu’elle utilise la gestion de groupes en libre-service ou B2B, vous devez planifier un déploiement des révisions d’accès pour ces scénarios.
Conditions de licence :
L’utilisation de cette fonctionnalité requiert des licences Microsoft Entra ID Governance. Pour trouver la licence adaptée à vos besoins, consultez Notions de base sur les licences Gouvernances des ID Microsoft Entra.
Prise en main de la gouvernance de l’accès aux applications
Microsoft Entra ID Governance peut être intégré à de nombreuses applications, en utilisant des standards tels que OpenID Connect, SAML, SCIM, SQL et LDAP. Grâce à ces normes, vous pouvez utiliser Microsoft Entra ID avec de nombreuses applications SaaS populaires, applications locales et applications développées par votre organisation. Une fois que vous avez préparé votre environnement Microsoft Entra, comme décrit dans la section ci-dessous, le plan en trois étapes explique comment connecter une application à Microsoft Entra ID et comment activer les fonctionnalités de gouvernance des identités à utiliser pour cette application.
- Définir les stratégies de votre organisation pour régir l’accès à l’application
- Intégrer l’application à Microsoft Entra ID pour garantir que seuls les utilisateurs autorisés peuvent accéder à l’application, et réviser l’accès à l’application dont bénéficie actuellement l’utilisateur pour définir une base de référence de tous les utilisateurs ayant fait l’objet d’une révision. Ceci permet l’authentification et l’approvisionnement d'utilisateurs
- Déployer ces stratégies pour contrôler l’authentification unique (SSO) et automatiser les attributions d’accès à cette application
Conditions préalables avant de configurer Microsoft Entra ID et la gouvernance des Microsoft Entra ID pour la gouvernance des identités
Avant de commencer le processus de gouvernance de l’accès aux applications à partir de la Gouvernance Microsoft Entra ID, vous devez vérifier que votre environnement Microsoft Entra est configuré correctement.
Assurez-vous que votre environnement Microsoft Entra ID et Microsoft Online Services satisfait aux exigences de conformité pour que les applications soient intégrées et utilisées avec une licence appropriée. La conformité est une responsabilité partagée entre Microsoft, les fournisseurs de services cloud (les CSP) et les organisations. Pour utiliser Microsoft Entra ID afin de régir l’accès aux applications, vous devez disposer de l’une des combinaisons de licences suivantes dans votre locataire :
- Gouvernance Microsoft Entra ID et ses conditions préalables, Microsoft Entra ID P1
- Gouvernance Microsoft Entra ID Pas à pas pour Microsoft Entra ID P2 et ses conditions préalables, Microsoft Entra ID P2 ou Enterprise Mobility + Security (EMS) E5
Votre locataire doit avoir au moins autant de licences que le nombre d’utilisateurs membres (non invités) régis, y compris ceux qui ont ou peuvent demander un accès aux applications, approuver ou réviser l’accès aux applications. Avec une licence appropriée pour ces utilisateurs, vous pouvez ensuite régir l’accès aux applications (jusqu’à 1 500 applications par utilisateur).
Si vous comptez régir l’accès des utilisateurs invités à l’application, vous devez lier votre locataire Microsoft Entra à un abonnement pour les besoins de facturation MAU. Cette étape est nécessaire pour que les utilisateurs invités puissent demander ou réviser leur accès. Pour plus d’informations, consultez Modèle de facturation pour Microsoft Entra External ID.
Vérifiez que Microsoft Entra ID envoie déjà son journal d’audit, et éventuellement d’autres journaux, à Azure Monitor. L’utilisation d’Azure Monitor est facultative. Elle est toutefois conseillée pour régir l’accès aux applications, car Microsoft Entra conserve les événements d’audit durant seulement 30 jours maximum dans son journal d’audit. Vous pouvez conserver les données d’audit plus longtemps que la période de conservation par défaut, comme décrit dans Pendant combien de temps les données de rapport sont-elles conservées par Microsoft Entra ID ?. Vous pouvez aussi vous servir de classeurs Azure Monitor, de requêtes personnalisées et de rapports pour les données d’audit historiques. Vérifiez la configuration Microsoft Entra pour voir si Azure Monitor est utilisé ou non. Pour cela, accédez à Microsoft Entra ID dans le centre d’administration Microsoft Entra, puis cliquez sur Classeurs. Si cette intégration n’est pas configurée et que vous avez un abonnement Azure et êtes membre des rôles
Global AdministratorouSecurity Administrator, vous pouvez configurer Microsoft Entra ID pour utiliser Azure Monitor.Assurez-vous que seuls des utilisateurs autorisés sont membres des rôles d’administration hautement privilégiés dans votre locataire Microsoft Entra. Les administrateurs membres des rôles suivants peuvent changer les utilisateurs et leurs attributions de rôles d’application : Administrateur général, Administrateur de la gouvernance des identités, Administrateur d’utilisateur, Administrateur d’application, Administrateur d’application cloud et Administrateur de rôle privilégié. Si les appartenances à ces rôles n’ont pas été révisées récemment, vous devez prévoir un utilisateur qui est membre du rôle Administrateur général ou Administrateur de rôle privilégié pour vous assurer que la révision d’accès de ces rôles d’annuaire puisse commencer. Vous devez également vous assurer que la révision a été faite pour les utilisateurs membres des rôles Azure dans les abonnements qui contiennent Azure Monitor, Logic Apps et les autres ressources nécessaires à la mise en œuvre de votre configuration Microsoft Entra.
Vérifiez que votre locataire a une isolation appropriée. Si votre organisation utilise Active Directory localement et que ces domaines AD sont connectés à Microsoft Entra ID, vous devez vous assurer que les opérations d’administration hautement privilégiée pour les services hébergés dans le cloud sont isolées des comptes locaux. Vérifiez que la configuration de vos systèmes protège votre environnement cloud Microsoft 365 de toute atteinte à la sécurité locale.
Quand vous avez vérifié que votre environnement Microsoft Entra est prêt, vous pouvez définir les stratégies de gouvernance pour vos applications.