Partager via


Créer un package d’accès dans la gestion des droits d’utilisation

Un package d’accès vous permet d’effectuer une configuration unique des ressources et des stratégies qui gèrent automatiquement l’accès pendant toute la durée de vie du package d’accès. Cet article décrit comment créer un package d’accès.

Vue d’ensemble

Tous les packages d’accès doivent se trouver dans un conteneur appelé catalogue. Un catalogue définit les ressources que vous pouvez ajouter à votre package d’accès. Si vous ne spécifiez aucun catalogue, votre package d’accès se trouve dans le catalogue général. Actuellement, vous ne pouvez pas déplacer un package d’accès existant vers un autre catalogue.

Un package d’accès peut être utilisé pour affecter l’accès aux rôles de plusieurs ressources figurant dans le catalogue. Si vous êtes administrateur ou propriétaire du catalogue, vous pouvez ajouter des ressources au catalogue lorsque vous créez un package d’accès. Vous pouvez également ajouter des ressources une fois le package d’accès créé, tandis que les utilisateurs affectés au package d’accès vont également recevoir les ressources supplémentaires.

Si vous êtes un gestionnaire de package d’accès, vous ne pouvez pas ajouter de ressources que vous possédez dans un catalogue. Vous ne pouvez utiliser que les ressources disponibles dans le catalogue. Pour ajouter des ressources à un catalogue, vous pouvez contacter le propriétaire du catalogue.

Tous les packages d’accès doivent avoir au moins une stratégie pour que des utilisateurs leur soient affectés. Les stratégies spécifient qui peut demander le package d’accès, ainsi que les paramètres d’approbation et de cycle de vie, ou comment l’accès est automatiquement attribué. Lorsque vous créez un package d’accès, vous pouvez créer une stratégie initiale pour les utilisateurs présents dans le répertoire, pour les utilisateurs non présents dans le répertoire ou pour les attributions directes d’administrateur uniquement.

Diagramme d’un exemple de catalogue marketing avec les ressources et le package d’accès correspondants.

Voici les principales étapes à suivre pour créer un package d’accès avec une stratégie initiale :

  1. Dans Identity Governance, démarrez le processus de création d’un package d’accès.

  2. Sélectionnez le catalogue dans lequel vous souhaitez placer le package d’accès et vérifiez qu’il dispose des ressources nécessaires.

  3. Ajoutez des rôles de ressource provenant de ressources dans le catalogue à votre package d’accès.

  4. Définissez une stratégie initiale pour les utilisateurs qui peuvent demander l’accès.

  5. Spécifiez les paramètres d’approbation et les paramètres de cycle de vie dans cette stratégie.

Une fois le package d’accès créé, vous pouvez modifier le paramètre masqué, ajouter ou supprimer des rôles de ressources et ajouter des stratégies supplémentaires.

Démarrer le processus de création

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

    Conseil

    Parmi les autres rôles avec des privilèges minimum pouvant effectuer cette tâche figurent le Propriétaire du catalogue et le Gestionnaire de package d’accès.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès.

  3. Sélectionnez Nouveau package d’accès.

    Capture d’écran représentant le bouton de création d’un package d’accès dans le Centre d’administration Microsoft Entra.

Configurer les fonctions de base

Sur l’onglet Concepts de base, vous donnez un nom au package d’accès et spécifiez le catalogue dans lequel vous le créez.

  1. Entrez un nom d’affichage et une description pour le package d’accès. Les utilisateurs voient ces informations lorsqu’ils envoient une demande pour le package d’accès.

  2. Dans la liste déroulante Catalogue, sélectionnez le catalogue dans lequel placer le package d’accès. Par exemple, vous pouvez avoir un propriétaire du catalogue qui gère toutes les ressources marketing qui peuvent être demandées. Dans ce cas, vous pouvez sélectionner le catalogue marketing.

    Seuls les catalogues dans lesquels vous êtes autorisé à créer des packages d’accès s’affichent. Pour créer un package d’accès dans un catalogue existant, vous devez disposer au moins du rôle Administrateur de gouvernance des identités. Sinon, vous devez être propriétaire de catalogue ou gestionnaire de package d’accès pour ce catalogue.

    Capture d’écran représentant les informations de base d’un nouveau package d’accès.

    Si vous êtes au moins Administrateur de gouvernance des identités ou Créateur de catalogue et que vous souhaitez créer votre package d’accès dans un nouveau catalogue qui ne figure pas dans la liste, sélectionnez Créer un catalogue. Saisissez le nom du catalogue et sa description, puis cliquez sur Créer.

    Le package d’accès que vous créez et toutes les ressources incluses sont ajoutés dans le nouveau catalogue. Vous pouvez ajouter d’autres propriétaires de catalogue ou des attributs aux ressources que vous placez dans le catalogue ultérieurement. Consultez la section Ajouter des attributs de ressource dans le catalogue pour en savoir plus sur comment modifier la liste des attributs d’une ressource de catalogue donnée et les rôles nécessaires.

  3. Sélectionnez Suivant : rôles de ressource.

Sélectionner les rôles de ressource

Sous l’onglet Rôles de ressources, sélectionnez les ressources à inclure dans le package d’accès. Les utilisateurs demandant et recevant le package d’accès reçoivent tous les rôles de ressource, tels que l’appartenance à un groupe, dans le package d’accès.

Si vous ne savez pas quels rôles de ressource inclure, vous pouvez ignorer leur ajout lors de la création du package d’accès, puis les ajouter ultérieurement.

  1. Sélectionnez le type de ressources à ajouter (Groupes et équipes, Applications ou Sites SharePoint).

  2. Dans le volet Sélectionner les applications qui s’affiche, sélectionnez une ou plusieurs ressources dans la liste.

    Capture d’écran affichant le volet de sélection des applications pour les rôles de ressource d’un nouveau package d’accès.

    Si vous créez le package d’accès dans le catalogue général ou dans un nouveau catalogue, vous pouvez choisir n’importe quelle ressource du répertoire que vous possédez. Vous devez disposer au moins du rôle Administrateur de la gouvernance des identités ou Créateur de catalogue.

    Remarque

    Vous pouvez ajouter des groupes d’appartenance dynamique à un catalogue et à un package d’accès. Toutefois, si vous gérez une ressource de groupe dynamique dans un package d’accès, vous ne pouvez sélectionner que le rôle de propriétaire.

    Si vous créez le package d’accès dans un catalogue existant, vous pouvez sélectionner n’importe quelle ressource déjà présente dans le catalogue sans avoir à en être propriétaire.

    Si vous êtes au moins Administrateur de gouvernance des identités ou Propriétaire de catalogue, vous pouvez également sélectionner des ressources que vous possédez ou administrez, mais qui ne sont pas encore dans le catalogue. Si vous sélectionnez des ressources dans l’annuaire, mais pas dans le catalogue sélectionné, ces ressources sont également ajoutées au catalogue pour que d’autres administrateurs du catalogue puissent créer des packages d’accès à partir de ces dernières. Pour afficher toutes les ressources dans l’annuaire peuvant être ajoutées au catalogue, cochez la case Afficher tout en haut du volet. Si vous souhaitez uniquement sélectionner les ressources qui se trouvent actuellement dans le catalogue sélectionné, décochez la case Afficher tout (état par défaut).

  3. Dans la liste Rôle, sélectionnez le rôle à affecter aux utilisateurs pour la ressource. Pour plus d’informations sur la sélection des rôles appropriés pour une ressource, consultez comment déterminer les rôles d’une ressource à inclure dans un package d’accès.

    Capture d’écran représentant la sélection des rôles de ressource d’un nouveau package d’accès.

  4. Sélectionnez Suivant : requêtes.

Créer la stratégie initiale

Sous l’onglet Requêtes, vous créez la première stratégie afin de spécifier qui peut demander le package d’accès. Vous configurez également les paramètres d’approbation pour cette stratégie. Plus tard, après avoir créé le package d’accès avec cette stratégie initiale, vous pouvez ajouter d’autres stratégies pour permettre à d’autres groupes d’utilisateurs de demander le package d’accès avec leurs propres paramètres d’approbation ou pour attribuer automatiquement l’accès.

Capture d’écran représentant l’onglet « Requêtes » d’un nouveau package d’accès.

En fonction des utilisateurs que vous souhaitez autoriser à demander ce package d’accès, effectuez les étapes de l’une des sections suivantes Autoriser les utilisateurs de votre répertoire à demander le package d’accès, Autoriser les utilisateurs extérieurs au répertoire à demander le package d’accès ou Autoriser uniquement les attributions directes d’administrateur. Si vous n’êtes pas sûr des paramètres de demande ou d’approbation dont vous aurez besoin, que vous prévoyez de créer des affectations pour les utilisateurs qui ont déjà accès aux ressources sous-jacentes, ou que vous envisagez d’utiliser les stratégies d’affectation automatique de package d’accès pour automatiser l’accès, sélectionnez la stratégie d’affectation directe comme stratégie initiale.

Autoriser les utilisateurs de votre répertoire à demander le package d’accès

Exécutez cette procédure pour autoriser les utilisateurs de votre répertoire à demander le package d’accès. Lorsque vous définissez la stratégie de requête, vous pouvez définir des utilisateurs individuels ou (plus souvent) des groupes d’utilisateurs. Par exemple, votre organisation peut déjà disposer d’un groupe comme Tous les employés. Si ce groupe est ajouté dans la stratégie concernant les utilisateurs qui peuvent demander l’accès, tous ses membres peuvent demander l’accès.

  1. Dans la section Utilisateurs pouvant demander l’accès, sélectionnez Pour les utilisateurs dans votre annuaire.

    Quand vous sélectionnez cette option, de nouvelles options s’affichent pour vous permettre de préciser qui, dans le répertoire, peut demander le package d’accès.

    Capture d’écran de l’option permettant d’autoriser les utilisateurs et les groupes du répertoire à demander un package d’accès.

  2. Sélectionnez l’une des options suivantes :

    Option Description
    Utilisateurs et groupes spécifiques Choisissez cette option si vous souhaitez que seuls les utilisateurs et les groupes de votre annuaire que vous spécifiez puissent demander ce package d’accès.
    Tous les membres (à l’exclusion des invités) Choisissez cette option si vous souhaitez que tous les utilisateurs membres de votre annuaire puissent demander ce package d’accès. Cette option n’inclut pas les utilisateurs que vous avez invités dans votre annuaire.
    Tous les utilisateurs (y compris les invités) Choisissez cette option si vous souhaitez que tous les utilisateurs membres et les utilisateurs invités de votre annuaire puissent demander ce package d’accès.

    Les utilisateurs invités sont des utilisateurs externes qui ont été invités dans votre annuaire via Microsoft Entra B2B. Pour plus d’informations sur les différences entre les utilisateurs membres et les utilisateurs invités, consultez Quelles sont les autorisations utilisateur par défaut dans Microsoft Entra ID ?.

  3. Si vous avez sélectionné Utilisateurs et groupes spécifiques, cliquez sur Ajouter des utilisateurs et des groupes.

  4. Dans le volet Sélectionnez des utilisateurs et des groupes, sélectionnez les utilisateurs et les groupes à ajouter.

    Capture d’écran représentant le volet de sélection des utilisateurs et des groupes pour un package d’accès.

  5. Cliquez sur Sélectionner pour ajouter les utilisateurs et les groupes.

  6. Passez à la section Spécifier les paramètres d’approbation.

Autoriser les utilisateurs extérieurs au répertoire à demander le package d’accès

Les utilisateurs qui se trouvent dans un autre répertoire ou domaine Microsoft Entra n'ont peut-être pas encore été invités dans votre répertoire. Les annuaires Microsoft Entra doivent être configurés pour autoriser les invitations dans Restrictions de collaboration. Pour plus d’informations, consultez Configurer les paramètres de collaboration externe.

Un compte d’utilisateur invité sera créé pour un utilisateur qui n’est pas encore dans votre répertoire et dont la demande est approuvée ou qui ne nécessite aucune approbation. Même si l’utilisateur invité sera invité, il ne recevra pas d’invitation par e-mail. Il recevra un e-mail une fois l’attribution au package d’accès fournie. Quand l’utilisateur invité n’a plus aucune attribution de package d’accès (pour cause d’expiration ou d’annulation), son compte ne peut plus se connecter et sera supprimé. Le blocage et la suppression s’effectuent par défaut.

Pour que les utilisateurs invités demeurent indéfiniment dans votre répertoire (et ce même s’ils n’ont plus d’attribution de package d’accès), vous pouvez modifier les paramètres de configuration de la gestion des droits d’utilisation. Pour plus d’informations sur l’objet utilisateur invité, consultez Propriétés d’un utilisateur Azure Microsoft Entra B2B Collaboration.

Suivez cette procédure pour autoriser les utilisateurs absents de votre répertoire à demander le package d’accès :

  1. Dans la section Utilisateurs pouvant demander l’accès, sélectionnez Pour les utilisateurs qui ne sont pas dans votre répertoire.

    Quand vous sélectionnez cette option, de nouvelles options s’affichent.

    Capture d’écran de l’option permettant d’autoriser les utilisateurs et les groupes extérieurs au répertoire à demander un package d’accès.

  2. Sélectionnez l’une des options suivantes :

    Option Description
    Organisations connectées spécifiques Choisissez cette option si vous souhaitez sélectionner parmi une liste d’organisations que votre administrateur a ajoutées précédemment. Tous les utilisateurs des organisations sélectionnées peuvent demander ce package d’accès.
    Toutes les organisations connectées Choisissez cette option si tous les utilisateurs de toutes les organisations connectées configurées peuvent demander ce package d’accès.
    Tous les utilisateurs (toutes les organisations connectées + tous les nouveaux utilisateurs externes) Choisissez cette option si tous les utilisateurs peuvent demander ce package d’accès et les paramètres de la liste d’autorisation ou de refus B2B doivent être prioritaires pour tout nouvel utilisateur externe.

    Une organisation connectée est un annuaire ou un domaine Microsoft Entra externe avec lequel vous entretenez une relation.

  3. Si vous avez sélectionné Organisations connectées spécifiques, cliquez sur Ajouter des annuaires pour effectuer une sélection parmi une liste d’organisations connectées que votre administrateur a ajoutées précédemment.

  4. Saisissez un nom ou un nom de domaine pour rechercher une organisation précédemment connectée.

    Capture d’écran représentant la zone de recherche pour sélectionner un répertoire et demander un package d’accès.

    Si l’organisation avec laquelle vous souhaitez collaborer ne figure pas dans la liste, vous pouvez demander à l’administrateur de l’ajouter en tant qu’organisation connectée. Pour plus d’informations, voir Ajouter une organisation connectée.

  5. Si vous avez sélectionné Toutes les organisations connectées, vous devez confirmer la liste des organisations connectées actuellement configurées et prévues pour être dans l’étendue.

  6. Si vous avez sélectionné Tous les utilisateurs, vous devez configurer les approbations dans la section approbations, car cette étendue autorise toute identité sur Internet à demander l’accès.

  7. Lorsque vous avez sélectionné toutes les organisations connectées, choisissez Sélectionner.

    Tous les utilisateurs des organisations connectées sélectionnées pourront demander ce package d’accès. Cela inclut les utilisateurs dans Microsoft Entra ID de tous les sous-domaines associés à l’organisation, sauf si la liste d’autorisation ou la liste de blocage d’Azure B2B bloque ces domaines. Si vous spécifiez un domaine de fournisseur d’identité sociale, tel que live.com, tout utilisateur du fournisseur d’identité sociale peut demander ce package d’accès. Pour plus d’informations, consultez Autoriser ou bloquer des invitations aux utilisateurs B2B à partir d’organisations spécifiques.

  8. Passez à la section Spécifier les paramètres d’approbation.

Autoriser uniquement les attributions directes d’administrateur

Effectuez ces étapes si vous souhaitez contourner les demandes d’accès et autoriser les administrateurs à attribuer directement des utilisateurs spécifiques à ce package d’accès. Les utilisateurs n’auront pas à demander le package d’accès. Vous pouvez toujours définir des paramètres de cycle de vie, mais il n’y a aucun paramètre de demande.

  1. Dans la section Utilisateurs pouvant demander l’accès, sélectionnez Aucune (attributions direct administrateur uniquement).

    Capture d’écran représentant l’option permettant d’autoriser uniquement les attributions directes d’administrateur pour un package d’accès.

    Après avoir créé le package d’accès, vous pouvez directement lui attribuer des utilisateurs internes et externes spécifiques. Si vous spécifiez un utilisateur externe, un compte d’utilisateur invité est créé dans votre répertoire. Pour plus d’informations sur l’attribution directe d’un utilisateur, voir Afficher, ajouter et supprimer les attributions pour un package d’accès.

  2. Passez à la section Activer les demandes plus bas.

Spécifier les paramètres d’approbation

Dans la section Approbation, vous spécifiez si une approbation est nécessaire quand les utilisateurs demandent le package d’accès. Les paramètres d’approbation fonctionnent de la façon suivante :

  • La demande n’a besoin d’être approuvée que par un seul des approbateurs sélectionnés ou approbateurs de secours pour une approbation en une étape.
  • Seul l’un des approbateurs sélectionnés de chaque étape doit approuver une demande d’approbation en deux étapes.
  • Un approbateur peut être un manager, le commanditaire d’un utilisateur, un commanditaire interne ou un commanditaire externe, en fonction de la gouvernance de l’accès de la stratégie.
  • L’approbation de chaque approbateur sélectionné n’est pas nécessaire pour une approbation en une ou deux étapes.
  • La décision d’approbation repose sur le premier approbateur à consulter la demande.

Pour une démonstration de l’ajout d’approbateurs à une stratégie de demande, regardez la vidéo suivante :

Pour obtenir une démonstration de l’ajout d’une approbation en plusieurs étapes à une stratégie de demande, regardez la vidéo suivante :

Pour spécifier les paramètres d’approbation pour les demandes de package d’accès, procédez comme suit :

  1. Pour exiger une approbation pour des demandes des utilisateurs sélectionnés, définissez Exiger une approbation sur Oui. Ou bien, pour que les demandes soient approuvées automatiquement, définissez cette valeur sur Non. Si la stratégie permet à des utilisateurs externes à votre organisation de demander l’accès, vous devez exiger une approbation, de sorte qu’il y ait une surveillance des personnes qui sont ajoutées à l’annuaire de votre organisation.

  2. Pour exiger des utilisateurs une justification pour demander le package d’accès, affectez la valeur Oui à Exiger la justification du demandeur.

  3. Déterminez si les requêtes nécessitent une approbation en une ou en deux étapes. Définissez Nombre d’étapes sur 1 pour une approbation en une étape, sur 2 pour une approbation en deux étapes ou sur 3 pour une approbation en trois étapes.

    Capture d’écran représentant les paramètres d’approbation pour demander un package d’accès.

Exécutez la procédure suivante pour ajouter des approbateurs après avoir sélectionné le nombre d’étapes.

Approbation en une seule étape

  1. Ajoutez les informations sur le Premier approbateur :

    • Si la stratégie est définie sur Pour les utilisateurs dans votre répertoire, vous pouvez sélectionner Gestionnaire comme approbateur ou Commanditaires comme approbateurs. Vous pouvez également ajouter un utilisateur spécifique en sélectionnant Choisir des approbateurs spécifiques, puis Ajouter des approbateurs.

      Pour utiliser Commanditaires comme approbateurs pour Approbation, vous devez disposer d’une licence Gouvernance des ID Microsoft Entra. Pour plus d’informations, consultez Comparer les fonctionnalités généralement disponibles de Microsoft Entra ID.

      Capture d’écran représentant les options pour le premier approbateur lorsque la stratégie est définie sur « Pour les utilisateurs dans votre répertoire ».

    • Si cette stratégie est définie sur Pour les utilisateurs extérieurs à votre répertoire, vous pouvez sélectionner Commanditaire externe ou Commanditaire interne. Vous pouvez également ajouter un utilisateur spécifique en sélectionnant Choisir des approbateurs spécifiques, puis Ajouter des approbateurs.

      Capture d’écran représentant les options pour le premier approbateur lorsque la stratégie est définie sur « Pour les utilisateurs extérieurs à votre répertoire ».

  2. Si vous avez sélectionné Gestionnaire en tant qu’approbateur, cliquez sur Ajouter un secours pour sélectionner un ou plusieurs utilisateurs ou groupes dans votre annuaire en tant qu’approbateurs de secours. Les approbateurs de secours reçoivent la requête si la gestion des droits d’utilisation ne peut pas trouver le manager de l’utilisateur qui demande l’accès.

    La gestion des droits d’utilisation recherche le manager avec l’attribut Manager. L’attribut se trouve dans le profil de l’utilisateur dans Microsoft Entra ID. Pour plus d’informations, consultez la section Ajouter ou mettre à jour les informations et les paramètres d’un profil utilisateur.

  3. Si vous avez sélectionné Commanditaires en tant qu’approbateur principal, cliquez sur Ajouter un approbateur de secours pour sélectionner un ou plusieurs utilisateurs ou groupes dans votre répertoire en tant qu’approbateurs de secours. Les approbateurs de secours reçoivent la requête si la gestion des droits d’utilisation ne peut pas trouver le commanditaire de l’utilisateur qui demande l’accès.

    La gestion des droits d’utilisation recherche des commanditaires avec l’attribut Sponsors. L’attribut se trouve dans le profil de l’utilisateur dans Microsoft Entra ID. Pour plus d’informations, consultez la section Ajouter ou mettre à jour les informations et les paramètres d’un profil utilisateur.

  4. Si vous avez sélectionné Choisir des approbateurs spécifiques, cliquez sur Ajouter des approbateurs pour sélectionner dans votre annuaire un ou plusieurs utilisateurs ou groupes devant assumer la fonction d’approbateurs.

  5. Dans la zone La décision doit être prise dans combien de jours ?, spécifiez le nombre de jours dont dispose un approbateur pour examiner une requête pour ce package d’accès.

    Si une requête n’est pas approuvée dans ce délai, elle est automatiquement refusée. L’utilisateur doit alors envoyer une autre requête de package d’accès.

  6. Pour exiger des approbateurs une justification de leur décision, définissez Exiger la justification de l’approbateur sur Oui.

    La justification est visible par les autres approbateurs et le demandeur.

Approbation en deux étapes

Si vous avez sélectionné l’approbation en deux étapes, vous devez ajouter un deuxième approbateur :

  1. Ajoutez les informations sur le Deuxième approbateur :

    • Si les utilisateurs se trouvent dans votre répertoire, vous pouvez sélectionner Commanditaires comme approbateurs. Vous pouvez également ajouter un utilisateur spécifique en sélectionnant Choisir des approbateurs spécifiques dans le menu déroulant, puis Ajouter des approbateurs.

      Capture d’écran représentant les options pour le deuxième approbateur lorsque la stratégie est définie sur « Pour les utilisateurs dans votre répertoire ».

    • Si les utilisateurs ne se sont pas dans votre annuaire, sélectionnez Sponsor interne ou Sponsor externe comme deuxième approbateur. Après avoir sélectionné l’approbateur, ajoutez les approbateurs de secours.

      Capture d’écran représentant les options pour le deuxième approbateur lorsque la stratégie est définie sur « Pour les utilisateurs extérieurs à votre répertoire ».

  2. Dans la zone La décision doit être prise dans combien de jours ?, spécifiez le nombre de jours dont dispose le deuxième approbateur pour approuver la requête.

  3. Définissez le commutateur Exiger la justification de l’approbateur sur Oui ou Non.

Approbation en trois étapes

Si vous avez sélectionné l’approbation en trois étapes, vous devez ajouter un troisième approbateur :

  1. Ajoutez les informations sur le Troisième approbateur :

    Si les utilisateurs se trouvent dans votre répertoire, ajoutez un utilisateur spécifique en tant que troisième approbateur en sélectionnant Choisir des approbateurs spécifiques >Ajouter des approbateurs.

    Capture d’écran représentant les options pour le troisième approbateur lorsque la stratégie est définie sur « Pour les utilisateurs dans votre répertoire ».

  2. Dans la zone La décision doit être prise dans combien de jours ?, spécifiez le nombre de jours dont dispose le deuxième approbateur pour approuver la requête.

  3. Définissez le commutateur Exiger la justification de l’approbateur sur Oui ou Non.

Approbateurs de substitution

Vous pouvez spécifier des approbateurs substitution, comme vous avez spécifié les premier et deuxième approbateurs qui peuvent approuver les demandes. Le fait de disposer d’approbateurs de substitution garantit que les requêtes sont approuvées ou refusées avant leur expiration (délai d’expiration). Pour une approbation en deux étapes, vous pouvez répertorier des approbateurs de substitution pour le premier et le deuxième approbateurs.

Quand vous spécifiez des approbateurs de substitution, si le premier et le deuxième approbateurs n’ont pas été en mesure d’approuver ou de refuser la requête, la requête en attente est transférée aux approbateurs de substitution. La requête est envoyée selon la planification de transfert spécifiée lorsque vous avez configuré la stratégie. Les approbateurs reçoivent un e-mail pour approuver ou refuser la requête en attente.

Une fois la demande transférée aux approbateurs de substitution, les premier et deuxième approbateurs peuvent toujours l’approuver ou la refuser. Pour approuver ou refuser la requête en attente, les approbateurs de substitution utilisent le même site Mon Accès.

Nous pouvons répertorier les personnes ou groupes de personnes qui doivent être approbateurs et approbateurs de substitution. Veillez à répertorier des groupes de personnes différents pour les premier et deuxième approbateurs ainsi que les approbateurs de substitution. Par exemple, si vous avez défini Alice et Bob comme premier et deuxième approbateurs, désignez Carol et Dave comme approbateurs de substitution.

Pour ajouter des approbateurs de substitution à un package d’accès, procédez comme suit :

  1. Sous Premier approbateur et/ou Deuxième approbateur, cliquez sur Afficher les paramètres de requête avancés.

    Capture d’écran de la sélection des paramètres de requête avancés.

  2. Définissez l’option En l’absence d’action, transférer à d’autres approbateurs ? sur Oui.

  3. Cliquez sur Ajouter des approbateurs de substitution, puis sélectionnez les approbateurs de substitution dans la liste.

    Capture d’écran représentant les paramètres de requête avancés avec le lien permettant d’ajouter des approbateurs de substitution.

    Si vous sélectionnez Manager comme premier approbateur, une option supplémentaire s’affiche dans la zone Approbateur de substitution : Manager de deuxième niveau comme approbateur de substitution. Si vous sélectionnez cette option, vous devez ajouter un approbateur de secours auquel transférer la requête lorsque le système ne retrouve pas le manager de second niveau.

  4. Dans la zone Transférer aux autres approbateurs après combien de jours ?, entrez le nombre de jours dont les approbateurs disposent pour approuver ou refuser une requête. Si aucun approbateur n’a approuvé ni refusé la requête avant la durée de la requête, celle-ci expire (délai d’expiration). L’utilisateur doit alors envoyer une autre requête de package d’accès.

Les demandes ne peuvent être transférées aux approbateurs de substitution qu’un jour après que la durée de la demande a atteint sa demi-vie. La décision des approbateurs principaux doit expirer après quatre jours minimum. Si le délai d’expiration de la requête est inférieur ou égal à trois jours, le temps pour transférer la requête à d’autres approbateurs n’est pas suffisant.

Dans cet exemple, la durée de la demande est de 14 jours. La durée de la requête atteint sa demi-vie le jour 7. La requête ne peut donc pas être transférée avant le jour 8.

Par ailleurs, les demandes ne peuvent pas être transférées le dernier jour de leur durée. Ainsi, dans l’exemple, l’ultime limite pour le transfert de la demande est le jour 13.

Activer les demandes

  1. Pour que le package d’accès soit immédiatement disponible afin d’être demandé par les utilisateurs dans la stratégie de requête, placez le bouton bascule Activer les nouvelles requêtes et les attributions sur Oui.

    Vous pouvez toujours l’activer plus tard, après avoir créé le package d’accès.

    Si vous avez sélectionné Aucun (attributions directes d’administrateur uniquement) et que vous définissez Activer les nouvelles requêtes et les attributions sur Non, les administrateurs ne peuvent pas attribuer directement ce package d’accès.

    Capture d’écran montrant l’option permettant d’activer de nouvelles demandes et affectations.

  2. Accédez à la section suivante pour savoir comment ajouter une exigence de vérification d’identité à votre package d’accès. Sinon, sélectionnez Suivant.

Ajouter une exigence de vérification d’identité

Exécutez cette procédure pour ajouter une exigence de vérification d’identité à votre stratégie de package d’accès. Les utilisateurs qui souhaitent accéder au package d’accès doivent présenter les vérifications d’identité requises avant d’envoyer leurs requêtes. Pour savoir comment configurer votre locataire avec le service de vérification d’identité Microsoft Entra, consultez la section Présentation de la vérification d’identité Microsoft Entra.

Vous devez disposer d’un rôle d’administrateur général pour ajouter des exigences d’ID vérifié à un package d’accès dans une stratégie de demande. L’administrateur Identity Governance, l’administrateur d’utilisateurs, le propriétaire de catalogue et le gestionnaire de package d’accès pourront bientôt ajouter des exigences de vérification d’identité pour accéder aux packages.

  1. Sélectionnez + Ajouter un émetteur, puis sélectionnez un émetteur dans le réseau Microsoft Entra Verified ID. Pour délivrer vos propres informations d’identification aux utilisateurs, consultez les instructions de la section Émettre des informations d’identification de vérification d’identité Microsoft Entra à partir d’une application.

    Capture d’écran représentant le volet de sélection d’un émetteur pour un package d’accès.

  2. Sélectionnez le ou les types d’informations d’identification que les utilisateurs doivent présenter pendant le processus de requête.

    Capture d’écran représentant la zone de sélection des types d’informations d’identification pour un package d’accès.

    Si vous sélectionnez plusieurs types d’informations d’identification à partir d’un émetteur, les utilisateurs doivent présenter les informations d’identification de tous les types sélectionnés. De même, si vous incluez plusieurs émetteurs, les utilisateurs doivent présenter les informations d’identification provenant de chacun des émetteurs que vous incluez dans la stratégie. Pour permettre aux utilisateurs de présenter des informations d’identification différentes provenant de différents émetteurs, configurez des stratégies distinctes pour chaque type d’émetteur/d’informations d’identification que vous acceptez.

  3. Sélectionnez Ajouter pour ajouter l’exigence d’ID vérifié à la stratégie de package d’accès.

Ajouter des informations sur le demandeur à un package d’accès

  1. Accédez à l’onglet Informations sur le demandeur, puis cliquez sur le sous-onglet Questions.

  2. Dans la zone Question, saisissez la question à poser au demandeur. Cette question est également appelée « chaîne d’affichage ».

  3. Pour ajouter vos propres options de localisation, cliquez sur Ajouter une localisation.

    Capture d’écran représentant la zone de saisie d’une question à l’intention d’un demandeur.

    Dans le volet Ajouter des localisations pour la question :

    1. Dans Code de la langue, sélectionnez le code de la langue dans laquelle vous localisez la question.
    2. Dans la zone Texte localisé, saisissez la question dans la langue configurée.
    3. Lorsque vous avez terminé d’ajouter toutes les localisations dont vous avez besoin, sélectionnez Enregistrer.

    Capture d’écran représentant les sélections de localisation pour une question.

  4. Pour Format de la réponse, sélectionnez le format dans lequel vous souhaitez que les demandeurs répondent. Les formats de réponse incluent Texte court, Choix multiples et Texte long.

  5. Si vous sélectionnez « Choix multiples », cliquez sur le bouton Modifier et localiser pour configurer les options de réponse.

    Capture d’écran représentant la sélection du format de réponse « Choix multiples » ainsi que le bouton pour modifier et localiser les options de réponse.

    Dans le volet Afficher/modifier la question :

    1. Dans les zones Valeurs de réponse, saisissez les options de réponse à proposer lorsque le demandeur répond à la question.
    2. Dans les zones Langue, sélectionnez la langue pour les options de réponse. Vous pouvez localiser les options de réponse si vous choisissez plus de langages.
    3. Sélectionnez Enregistrer.

    Capture d’écran représentant les options pour modifier et localiser les réponses à choix multiples.

  6. Pour exiger que les demandeurs répondent à cette question lorsqu’ils demandent à accéder à un package d’accès, cochez la case Obligatoire.

  7. Cliquez sur l’onglet Attributs pour afficher les attributs associés aux ressources ajoutées au package d’accès.

    Notes

    Pour ajouter ou mettre à jour des attributs pour les ressources d’un package d’accès, accédez à Catalogues et recherchez le catalogue associé au package d’accès. Consultez la section Ajouter des attributs de ressource dans le catalogue pour en savoir plus sur comment modifier la liste des attributs d’une ressource de catalogue donnée et les rôles nécessaires.

  8. Sélectionnez Suivant.

Spécifier un cycle de vie

Dans l’onglet Cycle de vie, vous spécifiez l’expiration de l’attribution du package d’accès à un utilisateur. Vous pouvez également spécifier si les utilisateurs peuvent étendre leurs attributions.

  1. Dans la section Expiration, définissez L’affectation de package d’accès expire sur Date, Nombre de jours, Nombre d’heures ou Jamais.

    • Pour Date, sélectionnez une date d’expiration.
    • Pour Nombre de jours, spécifiez un nombre de jours compris entre 0 et 3 660.
    • Pour Nombre d’heures, spécifiez le nombre d’heures.

    Selon votre sélection, l’attribution du package d’accès à un utilisateur expire à une date définie, un nombre de jours défini après approbation, ou n’expire jamais.

  2. Si vous souhaitez que l’utilisateur demande une date de début et une date de fin spécifiques pour son accès, sélectionnez Oui pour le bouton bascule Les utilisateurs peuvent demander une chronologie spécifique.

  3. Sélectionnez Afficher les paramètres avancés d’expiration pour montrer davantage de paramètres.

    Capture d’écran représentant les paramètres d’expiration du cycle de vie d’un package d’accès.

  4. Pour autoriser l’utilisateur à étendre son attribution, définissez Autoriser un utilisateur à étendre son accès sur Oui.

    Si les extensions sont autorisées dans la politique, l’utilisateur reçoit un e-mail 14 jours avant, puis un jour avant, l’expiration de son attribution de package d’accès. L’e-mail invite l’utilisateur à étendre l’affectation. L’utilisateur doit toujours se trouver dans l’étendue de la stratégie au moment où il demande une prolongation.

    En outre, si la stratégie a une date de fin explicite pour les attributions et qu’un utilisateur envoie une requête de prolongation de l’accès, la date de prolongation de la requête doit être au plus tard la date d’expiration des attributions. La stratégie que vous avez utilisée pour accorder à l’utilisateur l’accès au package d’accès définit si la date d’extension correspond à l’expiration de l’affectation ou intervient avant. Par exemple, si la stratégie indique que les affectations sont configurées pour expirer le 30 juin, l’extension maximale qu’un utilisateur peut demander est le 30 juin.

    Si l’accès d’un utilisateur est étendu, il ne pourra pas demander le package d’accès après la date d’extension spécifiée (la date définie dans le fuseau horaire de l’utilisateur qui a créé la stratégie).

  5. Pour demander une approbation pour accorder une extension, définissez Exiger une approbation pour accorder l'extension sur Oui.

    Cette approbation utilise les mêmes paramètres d’approbation que vous avez spécifiés sous l’onglet Requêtes.

  6. Sélectionnez Suivant ou Mettre à jour.

Vérifier et créer le package d’accès

Sous l’onglet Vérifier + créer, vous pouvez consulter vos paramètres et vérifier qu’ils ne contiennent aucune erreur de validation.

  1. Vérifiez les paramètres du package d’accès.

    Capture d’écran représentant un résumé de la configuration du package d’accès.

  2. Sélectionnez Créer pour créer le package d’accès et sa stratégie initiale.

    Le nouveau package d’accès apparaît dans la liste des packages d’accès.

  3. Si le package d’accès est destiné à être visible par tout le monde dans l’étendue des stratégies, laissez le paramètre Masqué du package d’accès sur Non. Si vous souhaitez autoriser uniquement les utilisateurs disposant du lien direct à demander le package d’accès, modifiez le package d’accès pour modifier le paramètre Masqué sur Oui. Copiez ensuite le lien pour demander le package d’accès et partagez-le avec les utilisateurs qui en ont besoin.

  4. Vous pouvez ensuite ajouter d’autres stratégies au package d’accès, configurer la séparation des vérifications des tâches ou affecter directement un utilisateur.

Création d’un package par programme

Il existe deux façons de créer un package d’accès par programme : avec Microsoft Graph et par le biais des applets de commande PowerShell pour Microsoft Graph.

Créer un package d’accès avec Microsoft Graph

Vous pouvez créer un package d’accès avec Microsoft Graph. Un utilisateur doté d’un rôle approprié avec une application disposant de l’autorisation déléguée EntitlementManagement.ReadWrite.All peut appeler l’API pour :

  1. Répertoriez les ressources dans le catalogue et créez un accessPackageResourceRequest pour toutes les ressources qui ne figurent pas encore dans le catalogue.
  2. Récupérez les rôles et les étendues de chaque ressource dans le catalogue. Cette liste de rôles est ensuite utilisée pour sélectionner un rôle lors de la création ultérieure d’une étendue resourceRoleScope.
  3. Créer un package accessPackage.
  4. Créez une étendue resourceRoleScope pour chaque rôle de ressource nécessaire dans le package d’accès.
  5. Créez une stratégie assignmentPolicy pour chaque stratégie nécessaire dans le package d’accès.

Créer un package d’accès avec Microsoft PowerShell

Vous pouvez créer un package d’accès dans PowerShell avec l’applet de commande issue du module Microsoft Graph PowerShell cmdlets for Identity Governance.

Tout d’abord, récupérez l’ID du catalogue (ainsi que des ressources et leurs étendues et rôles dans ce catalogue) que vous souhaitez inclure dans le package d’accès. Utilisez un script similaire à l’exemple ci-dessous :

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResourceRole -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Ensuite, créez le package d’accès :


$params = @{
    displayName = "sales reps"
    description = "outside sales representatives"
    catalog = @{
        id = $catalog.id
    }
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params

Après avoir créé le package d’accès, attribuez-lui des rôles de ressource. Par exemple, si vous souhaitez inclure le premier rôle de ressource de la ressource retournée précédemment en tant que rôle de ressource du nouveau package d’accès, vous devez utiliser un script similaire à l’exemple suivant :


$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams

Enfin, créez les stratégies. Dans cette stratégie, seuls les administrateurs ou les responsables de l'attribution des packages d'accès peuvent attribuer des accès, et il n'y a pas de révision d’accès. Pour plus d’exemples, consultez les sections Créer une stratégie d’affectation avec PowerShell et Créer une stratégie assignmentPolicy.



$pparams = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $ap.Id
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Pour plus d’informations, consultez Créer un package d’accès dans la gestion des droits d’utilisation pour une application avec un rôle unique à l’aide de PowerShell.

Étapes suivantes