Qu’est-ce que Microsoft Entra Identity Governance ?

Microsoft Entra Identity Governance vous permet de bénéficier de la visibilité et des processus appropriés pour répondre aux besoins de votre organisation en termes de sécurité et de productivité des employés. Il offre des fonctionnalités permettant de faire en sorte que chacun dispose de droits d’accès aux ressources adaptés. Ces fonctionnalités et celles d’Azure AD et d’Enterprise Mobility + Security permettent de limiter les risques d’accès en protégeant, en surveillant et en auditant l’accès aux ressources critiques, tout en garantissant la productivité des employés et des partenaires.

Identity Governance offre aux organisations la possibilité d’effectuer les tâches suivantes vis-à-vis des employés, des partenaires et des fournisseurs, pour différents services et applications en local comme dans le cloud :

  • Gouverner le cycle de vie des identités
  • Gouverner le cycle de vie des accès
  • Sécuriser l’accès privilégié pour l’administration

Plus précisément, ce service vise à aider les organisations à répondre à ces quatre questions clés :

  • Quels utilisateurs doivent pouvoir accéder à quelles ressources ?
  • Que font les utilisateurs de cet accès ?
  • Des contrôles organisationnels efficaces sont-ils disponibles pour gérer l’accès ?
  • Des auditeurs peuvent-ils vérifier que les contrôles fonctionnent ?

Cycle de vie des identités

Identity Governance aide les organisations à trouver un équilibre entre productivité (vitesse à laquelle des personnes peuvent accéder aux ressources dont elles ont besoin, par exemple pour joindre mon organisation) et sécurité (comment leur accès doit évoluer au fil du temps, par exemple à la suite de modifications de leur statut professionnel). La gestion du cycle de vie des identités constitue le fondement d’Identity Governance. Une gouvernance efficace à grande échelle implique la modernisation de l’infrastructure de gestion du cycle de vie des identités pour les applications.

Cycle de vie des identités

Pour de nombreuses organisations, le cycle de vie des identités pour les employés est lié à la représentation de l’utilisateur concerné dans un système de GCH (gestion du capital humain). Par le biais du provisionnement entrant, Azure AD Premium tient automatiquement à jour les identités d’utilisateur pour les personnes représentées dans les systèmes Workday et SuccessFactors, et ce, dans Active Directory et dans Azure Active Directory, comme décrit dans le Guide de planification d’une application RH cloud pour le provisionnement d’utilisateurs Azure Active Directory. Azure AD Premium inclut également Microsoft Identity Manager, qui peut importer des enregistrements à partir de systèmes locaux de gestion du capital humain (GCH) comme que SAP HCM, Oracle eBusiness et Oracle PeopleSoft.

De plus en plus de scénarios impliquent une collaboration avec des personnes extérieures à votre organisation. La collaboration Azure AD B2B permet de partager en toute sécurité les applications et services de votre organisation avec des utilisateurs invités et des partenaires externes à partir de n’importe quelle organisation, tout en conservant le contrôle sur vos propres données d’entreprise. La gestion des droits d’utilisation Microsoft Entra permet de sélectionner les utilisateurs de l’organisation autorisés à demander l’accès et à être ajoutés en tant qu’invités B2B à l’annuaire de l’organisation, et garantit que ces invités sont supprimés lorsqu’ils n’ont plus besoin de l’accès.

Les organisations peuvent automatiser le processus de gestion du cycle de vie des identités à l’aide de workflows de cycle de vie. Des workflows peuvent être créés pour exécuter automatiquement certaines tâches relatives à un utilisateur avant son entrée dans l’organisation, lorsque sa situation change au sein de celle-ci et lorsqu’il la quitte. Par exemple, un workflow peut être configuré pour envoyer un e-mail contenant un mot de passe temporaire au manager d’un nouvel utilisateur, ou un e-mail de bienvenue à l’utilisateur lors de son premier jour.

Cycle de vie des accès

Les organisations ont besoin d’un processus pour gérer l’accès au-delà de ce qui a été initialement configuré pour un utilisateur lors de la création de son identité. En outre, les entreprises doivent pouvoir procéder efficacement à une mise à l’échelle pour être en mesure de développer et d’appliquer des contrôles et une stratégie d’accès de manière continue.

Cycle de vie des accès

En règle générale, le service informatique délègue aux décideurs d’entreprise la prise de décision en matière d’approbation d’accès. De plus, le service informatique peut impliquer les utilisateurs eux-mêmes. Par exemple, les utilisateurs accédant à des données client confidentielles dans l’application marketing d’une société en Europe doivent connaître les stratégies de l’entreprise. Les utilisateurs invités d’une organisation n’ont peut-être pas connaissance de ses exigences en matière de traitement des données.

Les organisations peuvent automatiser le processus de cycle de vie des accès à l’aide de technologies comme les groupes dynamiques, moyennant l’approvisionnement des utilisateurs sur des applications SaaS ou des applications intégrées à SCIM. Microsoft Entra peut également provisionner l’accès aux applications qui utilisent des groupes AD ou d’autres annuaires locaux ou bases de données locales. Les organisations peuvent également contrôler les utilisateurs invités pouvant accéder aux applications locales. Ces droits d’accès peuvent ensuite être révisés régulièrement par le biais de révisions d’accès Microsoft Entra récurrentes. La gestion des droits d’utilisation Microsoft Entra permet également de définir la manière dont les utilisateurs demandent l’accès pour différents packages d’appartenance aux groupes et aux équipes, rôles d’application et rôles SharePoint Online. Pour plus d’informations, consultez la section Simplification des tâches de gouvernance des identités avec l’automation ci-dessous pour sélectionner les fonctionnalités Microsoft Entra appropriées pour vos scénarios d’automatisation du cycle de vie d’accès.

Le cycle de vie d’accès peut être automatisé à l’aide de workflows. Des workflows peuvent être créés pour ajouter automatiquement des utilisateurs à des groupes, auxquels un accès à des applications et ressources est octroyé. Les utilisateurs peuvent également être déplacés vers des groupes différents lorsque leur situation au sein de l’organisation change. Ils peuvent même être totalement supprimés de tous les groupes.

Lorsqu’un utilisateur tente d’accéder à des applications, Microsoft Entra applique des stratégies d’accès conditionnel. Par exemple, les stratégies d’accès conditionnel peuvent inclure l’affichage de conditions d’utilisation et un processus garantissant que l’utilisateur a accepté ces conditions avant de lui permettre d’accéder à une application. Pour plus d’informations, consultez Régir l’accès aux applications dans votre environnement.

Cycle de vie des accès privilégiés

Les autres fournisseurs ont toujours décrit l’accès privilégié comme une fonctionnalité distincte d’Identity Governance. Toutefois, chez Microsoft, nous pensons que la gouvernance de l’accès privilégié est une composante essentielle d’Identity Governance, notamment en raison du risque d’utilisation inappropriée pesant sur les organisations, inhérent à ces droits d’administrateur. Les employés, fournisseurs et sous-traitants qui bénéficient de droits d’administration doivent être gouvernés.

Cycle de vie des accès privilégiés

Microsoft Entra Privileged Identity Management (PIM) offre des contrôles supplémentaires conçus pour sécuriser les droits d’accès aux ressources dans Microsoft Entra, Azure et d’autres services Microsoft Online Services. L’accès juste-à-temps et les fonctionnalités d’alerte de changement de rôle fournies par Microsoft Entra PIM, en plus de l’authentification multifacteur et de l’accès conditionnel, offrent un ensemble complet de contrôles de gouvernance contribuant à sécuriser les ressources de votre société (annuaire, Microsoft 365 et rôles de ressources Azure). Comme avec d’autres formes d’accès, les organisations peuvent utiliser les révisions d’accès pour configurer une recertification récurrente des accès pour tous les utilisateurs bénéficiant de rôles d’administrateur.

Fonctionnalités de gouvernance dans d’autres fonctionnalités Microsoft Entra

Outre les fonctionnalités listées ci-dessus, les fonctionnalités Microsoft Entra supplémentaires fréquemment utilisées pour fournir des scénarios de gouvernance des identités sont les suivantes :

Fonctionnalité Scénario Fonctionnalité
Cycle de vie des identités (employés) Les administrateurs peuvent activer le provisionnement de comptes d’utilisateur à partir d’un système Workday ou SuccessFactors, d’un système RH cloud ou d’un système de ressources humaines (RH) local. Attribution d’utilisateurs d’un système RH cloud vers Azure AD
Cycle de vie des identités (invités) Les administrateurs peuvent activer l’intégration en libre-service d’utilisateurs invités à partir d’un autre locataire Azure AD, une fédération directe, un code secret à usage unique ou des comptes Google. Les utilisateurs invités sont automatiquement provisionnés et déprovisionnés sous réserve de stratégies de cycle de vie. Gestion des droits d’utilisation avec B2B
Gestion des droits d’utilisation Les propriétaires de ressources peuvent créer des packages d’accès contenant des applications, Teams, des groupes Azure AD et Microsoft 365, ainsi que des sites SharePoint Online. Gestion des droits d’utilisation
Workflows de cycle de vie Les administrateurs peuvent activer l’automatisation des conditions utilisateur basées sur le processus de cycle de vie. Workflows de cycle de vie
Demandes d’accès Les utilisateurs finaux peuvent faire une demande d’appartenance à un groupe ou d’accès à des applications. Les utilisateurs finaux, dont les invités d’autres organisations, peuvent demander l’accès à des packages d’accès. Gestion des droits d’utilisation
Workflow Les propriétaires de ressources peuvent définir les approbateurs et les approbateurs d’escalade pour les demandes d’accès, et les approbateurs pour les demandes d’activation de rôle. Gestion des droits d’utilisation et PIM
Gestion des stratégies et des rôles L’administrateur peut définir des stratégies d’accès conditionnel pour l’accès aux applications au moment de l’exécution. Les propriétaires de ressources peuvent définir des stratégies pour l’accès de l’utilisateur par le biais de packages d’accès. Stratégies d’accès conditionnel et de gestion des droits d’utilisation
Certification d’accès Les administrateurs peuvent activer la nouvelle certification d’accès récurrente pour : les applications SaaS, les applications locales, les appartenances aux groupes cloud, Azure AD ou les attributions de rôles de ressources Azure. Supprimer automatiquement l’accès à des ressources, bloquer l’accès invité et supprimer des comptes invités. Révisions d’accès, également exposées dans PIM
Traitement et provisionnement Le provisionnement et le déprovisionnement automatiques dans les applications connectées à Azure AD, notamment par le biais de SCIM, LDAP, SQL et dans les sites SharePoint Online. Attribution d’utilisateurs
Création de rapports et analytique Les administrateurs peuvent récupérer les journaux d’audit de l’activité récente de provisionnement et de connexion des utilisateurs. Intégration à Azure Monitor et « Qui a accès » par le biais de packages d’accès. Rapports Azure AD et supervision
Accès privilégié Workflows d’accès, d’alerte et d’approbation juste-à-temps et planifiés pour les rôles Azure AD (dont les rôles personnalisés) et les rôles de ressources Azure. Azure AD PIM
Audit Les administrateurs peuvent être alertés de la création de comptes d’administrateur. Alertes Microsoft Entra PIM

Prise en main

Consultez l’onglet Prise en main de Gouvernance des identités sur le portail Azure pour commencer à utiliser la gestion des droits d’utilisation, les révisions d’accès, Privileged Identity Management et les conditions d’utilisation, et découvrez des cas d’usage courants.

Prise en main d’Identity Governance

Vous trouverez aussi des tutoriels pour gérer l’accès aux ressources dans la gestion des droits d’utilisation, intégrer les utilisateurs externes à Azure AD via un processus d’approbation, régir l’accès à vos applications et les utilisateurs existants de l’application.

Si vous avez des commentaires sur les fonctionnalités de gouvernance des identités, cliquez sur Vous avez des commentaires ? dans le portail Azure pour les envoyer. L’équipe les examine régulièrement.

Il n’existe pas de solution ou de recommandation parfaite pour tous les clients. Cependant, vous pouvez vous appuyer sur les guides de configuration suivants afin d’appréhender les stratégies de base recommandées par Microsoft pour renforcer la sécurité et la productivité des employés.

Simplification des tâches de gouvernance des identités avec l’automatisation

Une fois que vous avez commencé à utiliser ces fonctionnalités de gouvernance des identités, vous pouvez facilement automatiser les scénarios courants de gouvernance des identités. Le tableau suivant montre comment commencer pour chaque scénario :

Scénario à automatiser Guide d’automatisation
Création, mise à jour et suppression automatique des comptes d’utilisateur AD et Azure AD pour les employés Planifier l’attribution d’utilisateurs d’un système RH cloud vers Azure AD
Mise à jour de l’appartenance d’un groupe, en fonction des modifications apportées aux attributs de l’utilisateur membre Créer un groupe dynamique
Attribution de licences gestion des licences par groupe
Ajout et suppression des appartenances de groupe, des rôles d’application et des rôles de site SharePoint d’un utilisateur, en fonction des modifications apportées aux attributs de l’utilisateur Configurer une stratégie d’affectation automatique pour un package d’accès dans la gestion des droits d’utilisation (préversion)
Ajout et suppression des appartenances aux groupes d’un utilisateur, des rôles d’application et des rôles de site SharePoint, à une date spécifique Configurer les paramètres de cycle de vie d’un package d’accès dans la gestion des droits d’utilisation
Exécution de flux de travail personnalisés lorsqu’un utilisateur demande ou reçoit l’accès, ou l’accès est supprimé Déclencher Logic Apps dans la gestion des droits d’utilisation (préversion)
Avoir régulièrement des appartenances d’invités dans des groupes Microsoft et Teams examinés, et supprimer les appartenances aux invités qui sont refusées Créer une révision d’accès
Suppression des comptes invités refusés par un réviseur Examiner et supprimer les utilisateurs externes qui n’ont plus accès aux ressources
Suppression de comptes invités qui n’ont aucune attribution de package d’accès Gérer le cycle de vie des utilisateurs externes
Approvisionnement d’utilisateurs dans des applications locales et cloud qui ont leurs propres répertoires ou bases de données Configurer l’approvisionnement automatique d’utilisateurs avec des affectations d’utilisateurs ou des filtres d’étendue
Autres tâches planifiées Automatiser les tâches de gouvernance des identités avec Azure Automation et Microsoft Graph via le module PowerShell Microsoft.Graph.Identity.Governance

Annexe : rôles les moins privilégiés pour la gestion dans les fonctionnalités Identity Governance

Il est recommandé d’utiliser le rôle le moins privilégié pour effectuer des tâches d’administration dans Identity Governance. Nous vous recommandons d’utiliser Microsoft Entra PIM pour activer un rôle en fonction des besoins afin d’effectuer ces tâches. Voici les rôles d’annuaire les moins privilégiés pour configurer les fonctionnalités d’Identity Governance :

Fonctionnalité Rôle moins privilégié
Gestion des droits d’utilisation Administrateur Identity Governance
Révisions d’accès Administrateur d’utilisateurs (à l’exception des révisions d’accès des rôles Azure ou Azure AD, qui requièrent un administrateur de rôle privilégié)
Privileged Identity Management Administrateur de rôle privilégié
Conditions d’utilisation Administrateur de la sécurité ou administrateur de l’accès conditionnel

Notes

Le rôle le moins privilégié pour la gestion des droits d’utilisation passe du rôle Administrateur d’utilisateurs au rôle Administrateur de gouvernance des identités.

Étapes suivantes