Étendre ou renouveler des attributions de rôle Microsoft Entra dans Privileged Identity Management
Microsoft Entra Privileged Identity Management (PIM) fournit des contrôles pour gérer le cycle de vie des accès et des affectations de rôles dans Microsoft Entra ID. Les administrateurs peuvent attribuer des rôles à l’aide de propriétés de date et d’heure de début et de fin. À l’approche de la fin de l’attribution, Privileged Identity Management envoie des notifications par e-mail aux utilisateurs ou aux groupes concernés Il envoie également des notifications par courrier électronique aux administrateurs de Microsoft Entra pour s'assurer que l'accès approprié est maintenu. Les attributions peuvent être renouvelées et rester visibles à l’état expiré pendant 30 jours, même si l’accès n’est pas étendu.
Qui peut étendre et renouveler ?
Seuls les administrateurs généraux ou les administrateurs de rôles privilégiés peuvent étendre ou renouveler les attributions de rôles Microsoft Entra. L’utilisateur ou le groupe concerné peut demander l’extension de rôles arrivant à expiration et le renouvellement de rôles ayant déjà expiré.
Quand des notifications sont-elles envoyées ?
Privileged Identity Management envoie des notifications par e-mail aux administrateurs et aux utilisateurs ou groupes affectés des rôles arrivant à expiration dans les 14 jours et un jour avant l’expiration. Un autre e-mail est envoyé lorsqu’une attribution expire officiellement.
Les administrateurs reçoivent des notifications lorsqu’un utilisateur ou groupe affecté à un rôle arrivant à expiration ou ayant expiré demande une extension ou un renouvellement. Lorsqu’un administrateur résout une requête approuvée ou refusée, tous les autres administrateurs sont informés de la décision. Celle-ci est ensuite communiquée à l’utilisateur ou au groupe à l’origine de la demande.
Étendre des attributions de rôles
Les étapes suivantes décrivent la procédure de demande, de résolution et d’administration de l’extension ou du renouvellement d’une attribution de rôle.
Étendre automatiquement les attributions arrivant à expiration
Les utilisateurs affectés à un rôle peuvent prolonger des attributions de rôles arrivant à expiration directement sous l’onglet Éligible ou Actif de la page Mes rôles soit sous Rôles Microsoft Entra ou depuis le niveau supérieur de la page Mes rôles du portail Privileged Identity Management. Dans le portail, les utilisateurs peuvent demander de prolonger des rôles éligibles ou actifs (attribués) qui expirent au cours des 14 prochains jours.
Lorsque la date/heure de fin de l’attribution se situe 14 jours plus tard ou moins, le bouton Étendre devient un lien actif dans l’interface utilisateur. Dans l’exemple ci-dessous, supposons que la date actuelle est le 27 mars.
Notes
Pour un groupe affecté à un rôle, le lien Étendre n’est jamais disponible afin qu’un utilisateur avec une affectation héritée ne puisse pas étendre l’affectation du groupe.
Pour demander une extension de cette attribution de rôle, sélectionnez Étendre afin d’ouvrir le formulaire de demande.
Entrez le motif de la demande d’extension, puis sélectionnez Étendre.
Notes
Nous vous recommandons de préciser en détail la raison pour laquelle l’extension est nécessaire, ainsi que la durée de l’extension demandée (si vous la connaissez).
Les administrateurs reçoivent une notification par courrier électronique pour passer en revue la demande d’extension. Si une demande d’extension a déjà été envoyée, une notification Azure apparaît dans le portail.
Accédez à la page Demandes en attente pour connaître l’état de votre demande ou l’annuler.
Extensions approuvées par l’administrateur
Quand un utilisateur ou un groupe envoie une demande d’extension d’une affectation de rôle, les administrateurs reçoivent une notification par e-mail contenant les détails de l’affectation d’origine et le motif de la demande. La notification inclut un lien direct vers la requête pour que l’administrateur puisse l’approuver ou la refuser.
Pour approuver ou rejeter les demandes, les administrateurs peuvent suivre le lien contenu dans l’e-mail ou accéder au portail d’administration de Privileged Identity Management et sélectionner Approuver les demandes dans le menu de gauche.
Lorsqu’un administrateur sélectionne Approuver ou Rejeter, les détails de la demande s’affichent, ainsi qu’un champ permettant de donner une justification professionnelle pour les journaux d’audit.
Lorsqu’ils approuvent une demande d’extension d’attribution de rôle, les administrateurs peuvent choisir de nouvelles dates de début et de fin et un nouveau type d’attribution. Une modification du type d’attribution peut être nécessaire s’ils souhaitent accorder un accès limité afin d’effectuer une tâche spécifique (un jour, par exemple). Dans cet exemple, l’administrateur peut modifier l’attribution de Éligible à Actif, ce qui signifie qu’il peut donner l’accès au demandeur sans l’obliger à s’activer.
Extension initiée par l’administrateur
Si un utilisateur affecté à un rôle ne demande pas d’extension pour une attribution de rôle, un administrateur peut étendre celle-ci au nom de l’utilisateur. Les extensions administratives d’attribution de rôle ne nécessitent pas d’approbation, mais des notifications sont envoyées à tous les autres administrateurs une fois le rôle étendu.
Pour étendre une attribution de rôle, accédez à la vue de l’attribution ou du rôle dans Privileged Identity Management. Trouvez l’attribution qui a besoin d’une extension. Ensuite, sélectionnez Étendre dans la colonne d’action.
Étendre les attributions de rôles à l’aide de l’API Microsoft Graph
Dans la requête suivante, un administrateur étend une attribution active à l’aide de l’API Microsoft Graph.
Demande HTTP
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
{
"action": "adminExtend",
"justification": "TEST",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT3H"
}
}
}
Réponse HTTP
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
"id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"status": "Provisioned",
"createdDateTime": "2022-05-13T16:18:36.3647674Z",
"completedDateTime": "2022-05-13T16:18:40.0835993Z",
"approvalId": null,
"customData": null,
"action": "adminExtend",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"justification": "TEST",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "aaaaaaaa-bbbb-cccc-1111-222222222222"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T16:18:40.0835993Z",
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT3H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
Renouveler des attributions de rôles
Bien que semblable d’un point de vue conceptuel au processus de demande d’extension, le processus de renouvellement d’une attribution de rôle arrivée à expiration est différent. Les étapes suivantes permettent aux attributions et aux administrateurs de renouveler si nécessaire l’accès à des rôles ayant expiré.
Renouvellement autonome
Les utilisateurs qui n’ont plus accès aux ressources peuvent accéder à 30 jours d’historique d’attributions arrivées à expiration. Pour cela, ils accèdent à Mes rôles dans le volet de gauche, puis sélectionnent l’onglet Rôles arrivés à expiration dans la section Rôles Microsoft Entra.
La liste des rôles affiche par défaut les Rôles éligibles. Sélectionnez des rôles affectés Éligibles ou Actifs.
Pour demander le renouvellement d’une des attributions de rôles de la liste, sélectionnez l’action Renouveler. Ensuite, précisez le motif de la demande. Il est utile d’indiquer une durée en plus d’un contexte supplémentaire ou d’une justification professionnelle pour aider l’administrateur à décider de son approbation ou de son rejet.
Une fois que la demande de renouvellement d’une attribution de rôle a été soumise, les administrateurs sont informés de la présence d’une demande en attente.
Approbations d’administrateur
Les administrateurs Microsoft Entra peuvent accéder à la demande de renouvellement à partir du lien contenu dans la notification par e-mail ou en accédant à Privileged Identity Management sur le centre d’administration Microsoft Entra et en sélectionnant Approuver les demandes dans PIM.
Lorsqu’un administrateur sélectionne Approuver ou Rejeter, les détails de la demande s’affichent, ainsi qu’un champ permettant de donner une justification professionnelle pour les journaux d’audit.
Lorsqu’ils approuvent une demande de renouvellement d’attribution de rôle, les administrateurs doivent entrer de nouvelles dates de début et de fin et un nouveau type d’attribution.
Renouvellement d’administrateur
Ils peuvent également renouveler les attributions de rôles expirées à partir de l'onglet Rôles expirés d'un rôle Microsoft Entra. Pour voir la liste de toutes les attributions de rôles ayant expiré, sélectionnez Rôles ayant expiré sur l’écran Attributions.