Attribuer l’éligibilité à l’appartenance ou la propriété d’un groupe d’accès privilégié (préversion) dans Privileged Identity Management

Le service Privileged Identity Management (PIM) d’Azure Active Directory (Azure AD), de la famille Microsoft Entra, peut vous aider à gérer l’éligibilité et l’activation des attributions aux groupes d’accès privilégiés dans Azure AD. Vous pouvez attribuer l’éligibilité à des membres ou propriétaires du groupe.

Lorsqu’un rôle est affecté, l’affectation :

  • Affectation impossible pour une durée inférieure à cinq minutes
  • Ne peut pas être supprimée dans les cinq minutes suivant l’affectation

Notes

Chaque utilisateur éligible à l’appartenance ou à la propriété d’un groupe d’accès privilégié doit avoir une licence Azure AD Premium P2. Pour plus d’informations, consultez Exigences relatives aux licences pour l’utilisation de Privileged Identity Management.

Attribuer l’éligibilité à l’appartenance ou à la propriété d’un groupe

Effectuez les étapes suivantes pour rendre un utilisateur éligible à l’appartenance ou à la propriété d’un groupe d’accès privilégié.

  1. Connectez-vous au Centre d’administration Azure AD avec un utilisateur ayant le rôle d’administrateur général, d’administrateur de rôle privilégié ou de propriétaire de groupe.

  2. Sélectionnez Groupes, puis sélectionnez le groupe assignable à un rôle que vous souhaitez gérer. Vous pouvez effectuer une recherche dans la liste et filtrer celle-ci.

    Rechercher un groupe assignable à un rôle à gérer dans PIM

  3. Ouvrez le groupe et sélectionnez Accès privilégié (préversion) .

    Ouvrir l’expérience Privileged Identity Management

  4. Sélectionnez Ajouter des affectations.

    Volet Nouvelle affectation

  5. Sélectionnez les membres ou propriétaires que vous souhaitez rendre éligibles vis-à-vis du groupe d’accès privilégié.

    Capture d’écran représentant la page « Add assignments » (« Ajouter des affectations ») dans laquelle le volet « Select a member or group » (« Sélectionner un membre ou un groupe ») est ouvert et le bouton « Select » (« Sélectionner ») est mis en surbrillance.

  6. Sélectionnez Suivant pour définir la durée de l’appartenance ou de la propriété.

    Volet Sélectionner un membre ou un groupe

  7. Dans la liste Type d'attribution, sélectionnez Éligible ou Actif. Les groupes d’accès privilégié offrent deux types d’attribution distincts :

    • Les attributions éligibles exigent des membres qu’ils effectuent une action pour utiliser ce rôle. Il peut s’agir de procéder à une vérification de l’authentification multifacteur (MFA), de fournir une justification professionnelle ou de demander une approbation aux approbateurs désignés.

      Important

      Pour les groupes d’accès privilégiés utilisés pour l’élévation des rôles Azure AD, Microsoft recommande de demander un processus d’approbation pour les attributions de membres éligibles. Les attributions qui peuvent être activées sans approbation peuvent vous exposer à un risque de sécurité, dans lequel un autre administrateur est autorisé à réinitialiser les mots de passe d’un utilisateur éligible.

    • Les attributions actives n’exigent pas des membres qu’ils effectuent une action pour utiliser ce rôle. Les membres attribués comme étant actifs détiennent à tout moment les privilèges affectés au rôle.

  8. Si l’attribution doit être permanente (éligible de façon permanente ou attribuée définitivement), cochez la case Définitivement. Selon les paramètres de votre organisation, il se peut que cette case à cocher ne soit pas affichée ou ne soit pas modifiable. Pour plus d’informations, consultez l’article Configurer les paramètres de groupe d’accès privilégié.

  9. Lorsque vous avez terminé, sélectionnez Attribuer.

  10. Pour créer la nouvelle attribution de rôle, sélectionnez Ajouter. Une notification de l’état s’affiche.

    Nouvelle affectation - Notification

Mettre à jour ou supprimer une attribution de rôle existante

Suivez ces étapes pour mettre à jour ou supprimer une attribution de rôle existante.

  1. Connectez-vous à Azure AD avec les autorisations d'administrateur général ou de propriétaire de groupe.

  2. Sélectionnez Groupes, puis sélectionnez le groupe assignable à un rôle que vous souhaitez gérer. Vous pouvez effectuer une recherche dans la liste et filtrer celle-ci.

    Rechercher un groupe assignable à un rôle à gérer dans PIM

  3. Ouvrez le groupe et sélectionnez Accès privilégié (préversion) .

    Ouvrir l’expérience Privileged Identity Management

  4. Sélectionnez le rôle que vous souhaitez mettre à jour ou supprimer.

  5. Recherchez l’attribution de rôle sous les onglets Rôles éligibles et Rôles actifs.

    Mettre à jour ou supprimer une attribution de rôle

  6. Sélectionnez Mettre à jour ou Supprimer pour mettre à jour ou supprimer l’attribution de rôle.

    Pour obtenir des informations sur l’extension d’une attribution de rôle, consultez Étendre ou renouveler des rôles de ressources Azure dans Privileged Identity Management.

Étapes suivantes