Déploiement de stratégies organisationnelles pour régir l’accès aux applications intégrées à Microsoft Entra ID

Dans les sections précédentes, vous avez défini vos stratégies de gouvernance pour une application et intégré cette application à Microsoft Entra ID. Dans cette section, vous allez configurer les fonctionnalités d’accès conditionnel et de gestion des droits d’utilisation Microsoft Entra pour contrôler l’accès continu à vos applications. Vous établissez

• Stratégies d’accès conditionnel, pour savoir comment un utilisateur s’authentifie auprès de Microsoft Entra ID pour une application intégrée à Microsoft Entra ID pour l’authentification unique
• Des stratégies de gestion des droits d’utilisation, pour la façon dont un utilisateur obtient et conserve les affectations aux rôles d’application et à l’appartenance aux groupes.
• Des stratégies de révision d’accès, pour la fréquence à laquelle les appartenances aux groupes sont révisées.

Une fois ces stratégies déployées, vous pouvez superviser le comportement continu de Microsoft Entra ID à mesure que les utilisateurs demandent et reçoivent l’accès à l’application.

Déployer des stratégies d’Accès conditionnel pour l’application de l’authentification unique

Dans cette section, vous allez établir les stratégies d’accès conditionnel qui sont dans l’étendue pour déterminer si un utilisateur autorisé est en mesure de se connecter à l’application, en fonction de facteurs tels que la force d’authentification ou l’état de l’appareil de l’utilisateur.

L’accès conditionnel est uniquement possible pour les applications qui s’appuient sur Microsoft Entra ID pour l’authentification unique. Si l’application ne peut pas être intégrée pour l’authentification unique, continuez avec la section suivante.

1. Chargez le document de Conditions d’utilisation, si nécessaire. Si vous avez besoin que les utilisateurs acceptent des conditions d’utilisation avant d’accéder à l’application, créez et chargez le document des conditions d’utilisation afin qu’il puisse être inclus dans une stratégie d’Accès conditionnel.
2. Vérifiez que les utilisateurs sont prêts pour l’authentification multifacteur Microsoft Entra. Nous vous recommandons d’exiger Microsoft Entra authentification multifacteur pour les applications stratégiques intégrées via la fédération. Pour ces applications, il doit y avoir une stratégie qui exige que l’utilisateur ait respecté une exigence d’authentification multifacteur avant que Microsoft Entra ID ne l’autorise à se connecter à l’application. Certaines organisations peuvent également bloquer l’accès par emplacement ou exiger que l’utilisateur accède à partir d’un appareil inscrit. S’il n’existe pas de stratégie appropriée qui inclut les conditions nécessaires en matière d’authentification, d’emplacement, d’appareil et de Conditions d’utilisation, ajoutez une stratégie à votre déploiement d’Accès conditionnel.
3. Placez le point de terminaison web de l’application dans l’étendue de la stratégie d’Accès conditionnel appropriée. Si vous disposez d’une stratégie d’Accès conditionnel existante qui a été créée pour une autre application soumise aux mêmes exigences de gouvernance, vous pouvez mettre à jour cette stratégie pour qu’elle s’applique également à cette application, afin d’éviter d’avoir un grand nombre de stratégies. Une fois les mises à jour effectuées, vérifiez que les stratégies attendues sont appliquées. Vous pouvez voir quelles stratégies s’appliqueraient à un utilisateur avec l’outil de simulation d’accès conditionnel.
4. Créez une révision d’accès périodique si des utilisateurs auront besoin d’exclusions de stratégie temporaires. Dans certains cas, il peut ne pas être possible d’appliquer immédiatement des stratégies d’Accès conditionnel pour chaque utilisateur autorisé. Par exemple, certains utilisateurs ne disposent peut-être pas d’un appareil inscrit approprié. S’il est nécessaire d’exclure un ou plusieurs utilisateurs de la stratégie d’Accès conditionnel et de leur autoriser l’accès, configurez une révision d’accès pour le groupe d’utilisateurs exclus des stratégies d’Accès conditionnel.
5. Documentez la durée de vie des jetons et les paramètres de session des applications. La durée pendant laquelle un utilisateur qui s’est vu refuser un accès continu peut continuer à utiliser une application fédérée dépend de la durée de vie de la session de l’application et de la durée de vie du jeton d’accès. La durée de vie de session pour une application dépend de l’application elle-même. Pour en savoir plus sur le contrôle de la durée de vie des jetons d’accès, consultez Durées de vie des jetons configurables.

Déployer des stratégies de gestion des droits d’utilisation pour automatiser l’attribution de l’accès

Dans cette section, vous allez configurer la gestion des droits d’utilisation Microsoft Entra afin que les utilisateurs puissent demander l’accès aux rôles de votre application ou aux groupes utilisés par l’application. Pour effectuer ces tâches, vous devez être titulaire du rôle Administrateur général ou Administrateur de la gouvernance des identités ou être délégué en tant que créateur de catalogue et propriétaire de l’application.

1. Les packages d’accès pour les applications régies doivent se trouver dans un catalogue désigné. Si vous n’avez pas encore de catalogue pour votre scénario de gouvernance des applications, créez un catalogue dans la gestion des droits d’utilisation Microsoft Entra. Si vous devez créer plusieurs catalogues, vous pouvez utiliser un script PowerShell pour créer chaque catalogue.
2. Remplissez le catalogue avec les ressources nécessaires. Ajoutez l’application, ainsi que tous les groupes Microsoft Entra sur lesquels l’application s’appuie, en tant que ressources dans ce catalogue. Si vous disposez de nombreuses ressources, vous pouvez utiliser un script PowerShell pour ajouter chaque ressource à un catalogue.
3. Créez un package d’accès pour chaque rôle ou groupe que les utilisateurs peuvent demander. Pour chacune des applications et pour chacun des rôles ou groupes des applications, créez un package d’accès qui inclut ce rôle ou ce groupe comme ressource. À ce stade de la configuration de ces packages d’accès, configurez la première stratégie d’attribution de chaque package d’accès en tant que stratégie d’attribution directe, afin que seuls les administrateurs puissent créer des attributions. Dans cette stratégie, définissez les exigences de révision d’accès pour les utilisateurs existants, le cas échéant, afin qu’ils ne conservent pas un accès indéfini. Si vous disposez de beaucoup de packages d’accès, vous pouvez utiliser un script PowerShell pour créer chaque package d’accès dans un catalogue.
4. Configurez les packages d’accès de façon à appliquer les exigences de séparation des tâches. Si vous avez des exigences de séparation des tâches, configurez les packages d’accès incompatibles ou les groupes existants pour votre package d’accès. Si votre scénario exige la capacité à substituer une vérification de séparation des tâches, vous pouvez également configurer des packages d’accès supplémentaires pour ces scénarios de substitution.
5. Ajoutez les affectations d’utilisateurs existants, qui ont déjà accès à l’application, aux packages d’accès. Pour chaque package d’accès, affectez les utilisateurs existants de l’application ayant ce rôle, ou les membres de ce groupe, au package d’accès et à ses stratégies d’attribution directe. Vous pouvez affecter directement un utilisateur à un package d’accès à l’aide du centre d’administration Microsoft Entra ou en bloc via Graph ou PowerShell.
6. Créez des stratégies supplémentaires pour permettre aux utilisateurs de demander l’accès. Dans chaque package d’accès, créez des stratégies d’attribution de package d’accès supplémentaires pour que les utilisateurs demandent l’accès. Configurez les exigences d’approbation et de révision d’accès périodique dans cette stratégie.
7. Créez des révisions d’accès périodiques pour d’autres groupes utilisés par l’application. S’il existe des groupes utilisés par l’application, mais qui ne sont pas des rôles de ressources pour un package d’accès, créez des révisions d’accès pour l’appartenance à ces groupes.

Afficher les rapports sur l’accès

Microsoft Entra ID et Gouvernance Microsoft Entra ID, avec Azure Monitor, fournissent plusieurs rapports pour vous aider à comprendre qui a accès à une application et s’ils utilisent cet accès.

• Un administrateur, ou un propriétaire de catalogue, peut récupérer la liste des utilisateurs qui ont des attributions de package d’accès en utilisant le centre d’administration Microsoft Entra, Graph ou PowerShell.
• Vous pouvez également envoyer les journaux d’audit à Azure Monitor et afficher un historique des modifications apportées au package d’accès dans le centre d’administration Microsoft Entra ou par le biais de PowerShell.
• Vous pouvez afficher les 30 derniers jours de connexion à une application dans le rapport des connexions dans le centre d’administration Microsoft Entra ou par le biais de Graph.
• Vous pouvez également envoyer les journaux de connexion à Azure Monitor pour archiver l’activité de connexion pendant deux ans maximum.

Superviser afin d’ajuster les stratégies de gestion des droits d’utilisation et l’accès en fonction des besoins

À intervalles réguliers, par exemple toutes les semaines, tous les mois ou tous les trimestres, en fonction du volume des modifications d’attribution d’accès à votre application, utilisez le centre d’administration Microsoft Entra pour vérifier que l’accès est accordé conformément aux stratégies. Vous pouvez également veiller à ce que les utilisateurs identifiés pour approbation et révision soient toujours les personnes appropriées pour ces tâches.

• Supervisez les attributions de rôles d’application et les modifications d’appartenance aux groupes. Si Microsoft Entra ID est configuré pour envoyer son journal d’audit à Azure Monitor, utilisez Application role assignment activity dans Azure Monitor pour superviser et signaler les attributions de rôles d’application qui n’ont pas été effectuées par le biais de la gestion des droits d’utilisation. S’il existe des attributions de rôles qui ont été créées directement par un propriétaire d’application, vous devez contacter ce propriétaire d’application pour déterminer si cette attribution a été autorisée. En outre, si l’application s’appuie sur des groupes de sécurité Microsoft Entra, vous devez aussi superviser les modifications apportées à ces groupes.

• Surveillez également les utilisateurs auxquels l’accès est accordé directement au sein de l’application. Si les conditions suivantes sont remplies, il est possible qu’un utilisateur obtienne l’accès à une application sans faire partie de Microsoft Entra ID, ou sans être ajouté au magasin de comptes d’utilisateur des applications par Microsoft Entra ID :

  • L’application dispose d’un magasin de comptes d’utilisateur local dans l’application
  • Le magasin de comptes d’utilisateur se trouve dans une base de données ou dans un annuaire LDAP
  • L’application ne s’appuie pas uniquement sur Microsoft Entra ID pour l’authentification unique.

  Pour une application ayant les propriétés indiquées dans la liste précédente, vous devez vérifier régulièrement que les utilisateurs ont été ajoutés au magasin d’utilisateurs local de l’application uniquement par le biais du provisionnement Microsoft Entra. Si des utilisateurs ont été créés directement dans l’application, contactez le propriétaire de l’application pour déterminer si cette affectation a été autorisée.

• Vérifiez que les approbateurs et les réviseurs sont tenus à jour. Pour chaque package d’accès que vous avez configuré dans la section précédente, vérifiez que les stratégies d’attribution de package d’accès continuent d’avoir les approbateurs et les réviseurs appropriés. Mettez à jour ces stratégies si les approbateurs et les réviseurs précédemment configurés ne sont plus présents dans l’organisation ou ont un rôle différent.

• Vérifiez que les réviseurs prennent des décisions pendant une révision. Vérifiez que les révisions d’accès périodiques pour ces packages d’accès sont menées à bien correctement, afin d’être sûr que les réviseurs participent et prennent des décisions pour approuver ou refuser le besoin d’accès continu des utilisateurs.

• Vérifiez que le provisionnement et le déprovisionnement fonctionnent comme prévu. Si vous avez précédemment configuré le provisionnement des utilisateurs sur l’application, lorsque les résultats d’une révision sont appliqués, ou que l’affectation d’un utilisateur à un package d’accès expire, Microsoft Entra ID commence à déprovisionner les utilisateurs refusés de l’application. Vous pouvez surveiller le processus de déprovisionnement des utilisateurs. Si l’approvisionnement indique une erreur dans l’application, vous pouvez télécharger le journal d’approvisionnement pour voir s’il y a un problème avec l’application.

• Mettez à jour la configuration Microsoft Entra avec tous les changements de rôle ou de groupe dans l’application. Si l’administrateur d’application ajoute de nouveaux rôles d’application dans son manifeste, met à jour des rôles existants ou s’appuie sur des groupes supplémentaires, vous devez mettre à jour les packages d’accès et les révisions d’accès afin de prendre en compte ces nouveaux rôles ou groupes.

Étapes suivantes

• Plan de déploiement des révisions d’accès