Gérer l’accès des utilisateurs et des utilisateurs invités à l’aide des révisions d’accès – Azure AD
Grâce aux révisions d’accès, vous pouvez facilement vous assurer que les utilisateurs ou les invités ont un accès approprié. Vous pouvez demander directement aux utilisateurs ou bien à un décisionnaire de prendre part à une révision d’accès et de renouveler la certification (ou d’effectuer une « attestation ») pour l’accès utilisateur. Les réviseurs peuvent donner leur avis sur les besoins en accès continu de chaque utilisateur, selon les suggestions de Microsoft Entra ID. Lorsqu’une révision d’accès est terminée, vous pouvez effectuer des modifications et supprimer l’accès des utilisateurs qui n’en ont plus besoin.
Notes
Cet article explique comment réaliser des révisions d’accès pour les utilisateurs et les applications. Pour obtenir des informations sur la réalisation d’une révision d’accès pour plusieurs ressources dans des packages d’accès, consultez ici Révision de l’accès d’un package d’accès dans la gestion des droits d’utilisation Microsoft Entra. Si vous souhaitez passer en revue l’accès de l’utilisateur ou du principal de service à Microsoft Entra ID ou aux rôles de ressources Azure, consultez Démarrer une révision d’accès dans Microsoft Entra Privileged Identity Management.
Prérequis
- Microsoft Entra ID P2 ou gouvernance de Microsoft Entra ID
Pour plus d’informations, consultez Exigences des licences.
Créer et exécuter une révision d’accès pour des utilisateurs
Tout d’abord, un des rôles suivants doit vous être attribué :
- Administrateur général
- Administrateur d'utilisateurs
- Administrateur Identity Governance
- Administrateur de rôle privilégié (pour les révisions de groupes assignables à un rôle uniquement)
- (Préversion) Microsoft 365 ou Microsoft Entra Security Group propriétaire du groupe à réviser
Remarque
Après l’accès selon le principe des privilèges minimum, nous vous recommandons d’utiliser le rôle Administrateur de gouvernance des identités ou Administrateur d’utilisateurs pour ces tâches.
Accédez ensuite à la page Gouvernance des identités pour vous assurer que les révisions d’accès sont prêtes pour votre organisation.
Vous pouvez avoir un ou plusieurs utilisateurs comme réviseurs dans une révision d’accès.
Sélectionnez un groupe dans Microsoft Entra ID comprenant un ou plusieurs membres. Ou bien sélectionnez une application connectée à Microsoft Entra ID ayant un ou plusieurs utilisateurs attribués.
Décidez si vous souhaitez que chaque utilisateur révise son propre accès, ou si vous voulez qu’un ou plusieurs utilisateurs révisent l’accès de tout le monde.
Dans l’un des rôles listés précédemment, accédez à la page Gouvernance des identités.
Créer la révision d’accès. Pour plus d’informations, consultez Créer une révision d’accès de groupes ou d’applications.
Lorsque la révision d’accès démarre, demandez aux réviseurs de donner leur avis. Par défaut, ils reçoivent chacun un e-mail de Microsoft Entra ID avec un lien vers le panneau d’accès, où ils examinent l’accès aux groupes ou aux applications.
Si les réviseurs n’ont pas donné leur avis, vous pouvez demander à Microsoft Entra ID de leur envoyer un rappel. Par défaut, Microsoft Entra ID envoie automatiquement un rappel à mi-parcours de l’échéance fixée pour tous les réviseurs.
Une fois que les réviseurs ont fait part de leur avis, arrêtez la révision d’accès et appliquez les modifications. Pour plus d’informations, consultez Effectuer une révision d’accès de groupes ou d’applications.
Gérer les accès des invités avec les révisions d’accès Microsoft Entra
Avec Microsoft Entra ID, vous pouvez facilement mettre en place une collaboration au-delà des limites de l’organisation à l’aide de la fonctionnalité Microsoft Entra B2B. Les utilisateurs invités depuis d’autres locataires peuvent être invités par les administrateurs ou par d’autres utilisateurs. Cela s’applique également aux identités de réseaux sociaux tels que des comptes Microsoft.
Créer et exécuter une révision d’accès pour des invités
Les mêmes rôles nécessaires à la création d’une révision d’accès pour les utilisateurs sont également nécessaires pour créer une révision d’accès pour les invités. Pour plus d’informations, consultez Créer et exécuter une révision d’accès pour des utilisateurs.
Microsoft Entra ID permet plusieurs scénarios pour examiner les utilisateurs invités.
Vous pouvez réviser :
- Un groupe dans Microsoft Entra ID qui compte un ou plusieurs invités comme membres.
- Une application connectée à Microsoft Entra ID à laquelle est attribué un ou plusieurs utilisateurs invités.
Lors de la révision de l'accès des utilisateurs invités aux groupes Microsoft 365, vous pouvez créer une révision d'accès pour chaque groupe individuellement, ou activer des révisions d'accès automatiques et récurrentes pour les utilisateurs invités dans tous les groupes Microsoft 365. Pour plus d'informations sur les révisions d'accès récurrentes des utilisateurs invités, regardez la vidéo suivante :
Vous pouvez alors décider de demander à chaque invité de revoir leur propre accès ou de demander à un ou plusieurs utilisateurs de revoir l’accès de chaque invité.
Ces scénarios sont traités dans les sections suivantes.
Demander aux invités de revoir leur propre appartenance à un groupe
Vous pouvez utiliser les révisions d’accès pour vous assurer que les utilisateurs qui ont été invités et ajoutés à un groupe ont toujours besoin de leur accès. Vous pouvez facilement demander aux invités de revoir leur propre appartenance à ce groupe.
Pour créer une révision d’accès pour le groupe, choisissez d’y inclure uniquement les utilisateurs invités et faites-leur faire la révision eux-mêmes. Pour plus d’informations, consultez Créer une révision d’accès de groupes ou d’applications.
Demandez à chaque invité de revoir sa propre appartenance. Par défaut, chaque invité ayant accepté une invitation reçoit un e-mail de Microsoft Entra ID avec un lien vers la révision d'accès. Microsoft Entra ID contient des instructions destinées aux invités sur la manière de vérifier l'accès aux groupes ou aux applications.
Une fois que les réviseurs ont fait part de leur avis, arrêtez la révision d’accès et appliquez les modifications. Pour plus d’informations, consultez Effectuer une révision d’accès de groupes ou d’applications.
En plus des utilisateurs indiquant n’avoir plus besoin d’un accès continu, vous pouvez également retirer les utilisateurs n’ayant pas répondu.
Si le groupe n’est pas utilisé pour la gestion des accès, vous pouvez également retirer les utilisateurs qui n’ont pas été sélectionnés pour participer à la révision car ils n’ont pas accepté leur invitation. Cela peut être dû à une faute de frappe dans l’adresse e-mail de l’utilisateur invité. Si un groupe est utilisé comme liste de distribution, il est possible que certains utilisateurs invités n’aient pas été sélectionnés pour participer parce qu’ils sont des objets contact.
Demander à un commanditaire de revoir l’appartenance d’un invité à un groupe
Vous pouvez demander à un commanditaire, tel que le propriétaire d’un groupe, d’évaluer si un invité a toujours besoin d’appartenir à un groupe.
Pour créer une révision d’accès pour le groupe, choisissez d’y inclure uniquement les utilisateurs invités. Spécifiez ensuite un ou plusieurs réviseurs. Pour plus d’informations, consultez Créer une révision d’accès de groupes ou d’applications.
Demandez aux réviseurs de donner leur avis. Par défaut, ils reçoivent chacun un e-mail de Microsoft Entra ID avec un lien vers le panneau d’accès, où ils examinent l’accès aux groupes ou aux applications.
Une fois que les réviseurs ont fait part de leur avis, arrêtez la révision d’accès et appliquez les modifications. Pour plus d’informations, consultez Effectuer une révision d’accès de groupes ou d’applications.
Notes
Vous pouvez empêcher les identités externes de se connecter à votre locataire et supprimer les identités externes de votre locataire après 30 jours. Durant cette période, les paramètres, les résultats, les réviseurs ou les journaux d’audit dans le cadre de la révision actuelle ne seront pas visibles ou configurables. Pour plus d’informations, consultez Désactiver et supprimer des identités externes avec les révisions d’accès Microsoft Entra.
Demander aux invités de revoir leur propre accès à une application
Vous pouvez utiliser les révisions d’accès pour vous assurer que les utilisateurs qui ont été invités pour une application spécifique ont toujours besoin de leur accès. Vous pouvez facilement demander aux invités de revoir eux-mêmes leur besoin d’accès.
Pour créer une révision d’accès pour l’application, choisissez d’y inclure uniquement les invités et de leur faire revoir leur accès eux-mêmes. Pour plus d’informations, consultez Créer une révision d’accès de groupes ou d’applications.
Demandez à chaque invité de revoir son propre accès à l’application. Par défaut, chaque invité ayant accepté une invitation reçoit un e-mail de Microsoft Entra ID. Ce message contient un comprenant un lien vers la révision d’accès dans le volet d’accès de votre organisation. Microsoft Entra ID contient des instructions destinées aux invités sur la manière de vérifier l'accès aux groupes ou aux applications.
Une fois que les réviseurs ont fait part de leur avis, arrêtez la révision d’accès et appliquez les modifications. Pour plus d’informations, consultez Effectuer une révision d’accès de groupes ou d’applications.
En plus des utilisateurs indiquant n’avoir plus besoin d’un accès continu, vous pouvez également retirer les utilisateurs invités n’ayant pas répondu. Vous pouvez également supprimer les utilisateurs invités qui n’ont pas été sélectionnées pour participer, surtout s’ils n’ont pas été récemment invités. N’ayant pas accepté leur invitation, ces utilisateurs n’avaient donc pas accès à l’application.
Demander à un commanditaire de revoir l’accès d’un invité à une application
Vous pouvez demander à un commanditaire, tel que le propriétaire d’une application, de revoir le besoin de l’invité à disposer d’un accès continu à l’application.
Pour créer une révision d’accès pour l’application, choisissez d’y inclure uniquement les invités. Définissez ensuite un ou plusieurs utilisateurs comme réviseurs. Pour plus d’informations, consultez Créer une révision d’accès de groupes ou d’applications.
Demandez aux réviseurs de donner leur avis. Par défaut, ils reçoivent chacun un e-mail de Microsoft Entra ID avec un lien vers le panneau d’accès, où ils examinent l’accès aux groupes ou aux applications.
Une fois que les réviseurs ont fait part de leur avis, arrêtez la révision d’accès et appliquez les modifications. Pour plus d’informations, consultez Effectuer une révision d’accès de groupes ou d’applications.
Demander aux invités de revoir leurs besoins d’accès en général
Dans certaines organisations, les invités peuvent ne pas être conscients de leur appartenance à un groupe.
Créez un groupe de sécurité dans Microsoft Entra ID avec les invités comme membres, si un groupe approprié n'existe pas déjà. Par exemple, vous pouvez créer un groupe pour lequel l’appartenance des invités est gérée manuellement. Ou bien, vous pouvez créer un groupe dynamique doté d’un nom tel que « Invités de Contoso » pour les utilisateurs dans le client Contoso dont la valeur d’attribut UserType est configurée sur Invité. N’oubliez pas qu’un utilisateur invité membre du groupe peut voir les autres membres du groupe.
Pour créer une révision d’accès pour ce groupe, choisissez les membres comme réviseurs. Pour plus d’informations, consultez Créer une révision d’accès de groupes ou d’applications.
Demandez à chaque invité de revoir sa propre appartenance. Par défaut, chaque invité qui a accepté une invitation reçoit un e-mail de Microsoft Entra ID avec un lien vers la révision d'accès dans le panneau d'accès de votre organisation. Microsoft Entra ID contient des instructions destinées aux invités sur la manière de vérifier l'accès aux groupes ou aux applications.
Une fois que les réviseurs ont fait part de leur avis, arrêtez la révision d’accès. Pour plus d’informations, consultez Effectuer une révision d’accès de groupes ou d’applications.
Retirez l’accès invité aux invités ayant été refusés, n’ayant pas terminé la révision ou bien n’ayant pas accepté leur invitation. Si certains des invités sont des contacts sélectionnés pour participer à la révision ou s’ils n’ont précédemment pas accepté une invitation, vous pouvez désactiver leur compte en utilisant le centre d’administration Microsoft Entra ou PowerShell. Si l’invité n’a plus besoin d’un accès et n’est pas un contact, vous pouvez supprimer son objet utilisateur de votre répertoire en tirant parti du centre d’administration Microsoft Entra ou PowerShell pour supprimer l’objet utilisateur de l’invité.