Privileged Identity Management (PIM) pour les groupes
Microsoft Entra ID vous permet d’octroyer aux utilisateurs l’appartenance juste-à-temps et la propriété des groupes via Privileged Identity Management (PIM) pour les groupes. Les groupes peuvent être utilisés pour contrôler l’accès à différents scénarios, qui incluent les rôles Microsoft Entra, les rôles Azure, Azure SQL, Azure Key Vault, Intune, d’autres rôles d’application et des applications tierces.
Qu’est-ce que PIM pour les groupes ?
PIM pour les groupes fait partie de Microsoft Entra Privileged Identity Management : au même titre que PIM pour les rôles Microsoft Entra et PIM pour les ressources Azure, PIM pour les groupes permet aux utilisateurs d’activer la propriété ou l’appartenance à un groupe de sécurité Microsoft Entra ou à un groupe Microsoft 365. Les groupes peuvent être utilisés pour gouverner l’accès à différents scénarios, qui incluent les rôles Microsoft Entra, les rôles Azure, Azure SQL, Azure Key Vault, Intune, d’autres rôles d’application et des applications tierces.
Avec PIM pour les groupes, vous pouvez utiliser des stratégies similaires à celles que vous utilisez dans PIM pour les rôles Microsoft Entra et PIM pour les ressources Azure : vous pouvez exiger une approbation pour l’activation de l’appartenance ou de la propriété, imposer une authentification multifacteur (MFA), demander une justification, limiter le temps maximal d’activation, etc. Chaque groupe dans PIM les groupes a deux stratégies : une pour l’activation de l’appartenance et une autre pour l’activation de la propriété dans le groupe. Jusqu’en janvier 2023, la fonctionnalité PIM pour les groupes était appelée « Groupes d’accès privilégié ».
Remarque
Pour les groupes utilisés pour l’élévation aux rôles Microsoft Entra, nous vous recommandons d’exiger un processus d’approbation pour les affectations de membres éligibles. Les affectations pouvant être activées sans approbation peuvent vous laisser vulnérable à un risque de sécurité venant d’administrateurs moins privilégiés. Par exemple, l’administrateur du support technique a l’autorisation de réinitialiser les mots de passe d’un utilisateur éligible.
Qu’est-ce que les groupes pouvant se voir attribuer des rôles Microsoft Entra ?
Lorsque vous utilisez Microsoft Entra ID, vous pouvez attribuer un rôle Microsoft Entra à un groupe de sécurité Microsoft Entra ou à un groupe Microsoft 365. C’est possible seulement avec les groupes créés comme pouvant faire l’objet d’une attribution de rôle.
Pour plus d’informations sur les groupes pouvant se voir attribuer un rôle Microsoft Entra, consultez Créer un groupe pouvant se voir attribuer un rôle dans Microsoft Entra ID.
Les groupes pouvant faire l’objet d’une attribution de rôle bénéficient de protections supplémentaires par rapport aux groupes ne pouvant faire l’objet d’une attribution de rôle :
- Groupes pouvant se voir attribuer un rôle : seul l’administrateur général, l’administrateur de rôle privilégié ou le propriétaire du groupe peuvent gérer le groupe. En outre, aucun autre utilisateur ne peut changer les informations d’identification des utilisateurs qui sont des membres (actifs) du groupe. Cette fonctionnalité permet d’empêcher un administrateur de s’élever à un rôle de privilège plus élevé sans passer par une procédure de requête et d’approbation.
- Groupes ne pouvant pas se voir attribuer un rôle : différents rôles Microsoft Entra peuvent gérer ces groupes, notamment les administrateurs Exchange, les administrateurs de groupes, les administrateurs d’utilisateurs, etc. De plus, différents rôles Microsoft Entra peuvent modifier les informations d’identification des utilisateurs qui sont membres (actifs) du groupe, notamment les administrateurs d’authentification, les administrateurs du support technique, les administrateurs d’utilisateurs, etc.
Pour en savoir plus sur les rôles intégrés Microsoft Entra et leurs autorisations d’accès, consultez Rôles intégrés Microsoft Entra.
La fonctionnalité de groupe pouvant se voir attribuer un rôle Microsoft Entra ne fait pas partie de Microsoft Entra Privileged Identity Management (Microsoft Entra PIM). Pour plus d’informations sur les licences, consultez Principes fondamentaux des licences de gouvernance des ID Microsoft Entra.
Relation entre les groupes pouvant faire l’objet d’une attribution de rôle et PIM pour les groupes
Les groupes dans Microsoft Entra ID peuvent être classés comme pouvant se voir attribuer un rôle ou pas. De plus, tout groupe peut être activé, ou non, pour être utilisé avec Microsoft Entra Privileged Identity Management (PIM) pour les groupes. Ce sont des propriétés indépendantes du groupe. Tous les groupes de sécurité Microsoft Entra et tous les groupes Microsoft 365 (à l’exception des groupes dynamiques et des groupes synchronisés depuis un environnement local) peuvent être activés dans PIM pour les groupes. Le groupe ne doit pas nécessairement pouvoir se voir attribuer un rôle pour être activé dans PIM pour les groupes.
Si vous voulez attribuer un rôle Microsoft Entra à un groupe, ce groupe doit pouvoir se voir attribuer un rôle. Même si vous n’avez pas l’intention d’attribuer un rôle Microsoft Entra au groupe, mais que le groupe fournit l’accès à des ressources sensibles, il est néanmoins recommandé de créer le groupe comme pouvant se voir attribuer un rôle. Ceci en raison des protections supplémentaires dont disposent les groupes pouvant se voir attribuer un rôle. Consultez « Que sont les groupes pouvant se voir attribuer un rôle Microsoft Entra ? » dans la section ci-dessus.
Important
Jusqu’en janvier 2023, il était obligatoire que chaque groupe d’accès privilégié (l’ancien nom de cette fonctionnalité PIM pour les groupes) soit un groupe pouvant faire l’objet d’une attribution de rôle. Cette restriction est actuellement supprimée. Pour cette raison, il est désormais possible d’activer plus de 500 groupes par locataire dans PIM, mais seulement 500 groupes peuvent être des groupes pouvant faire l’objet d’une attribution de rôle.
Rendre un groupe d’utilisateurs éligible pour un rôle Microsoft Entra
Il existe deux façons de rendre un groupe d’utilisateurs éligible pour un rôle Microsoft Entra :
- Effectuez des attributions actives d’utilisateurs au groupe, puis attribuez au groupe un rôle éligible pour l’activation.
- Effectuez une attribution active d’un rôle à un groupe, puis attribuez des utilisateurs éligibles à l’appartenance au groupe.
Pour fournir à un groupe d’utilisateurs un accès juste-à-temps aux rôles Microsoft Entra avec des autorisations dans SharePoint, Exchange ou Sécurité et le portail de conformité Microsoft Purview (par exemple un rôle Administrateur Exchange), veillez à effectuer des attributions actives d’utilisateurs au groupe, puis à attribuer au groupe un rôle éligible pour l’activation (Option 1 ci-dessus). Si vous effectuez une attribution active d’un groupe à un rôle et que vous attribuez au lieu de cela des utilisateurs éligibles à l’appartenance de groupe, vous risquez d’avoir à attendre un certain temps avant que toutes les autorisations du rôle soient activées et prêtes à être utilisées.
Privileged Identity Management et imbrication de groupes
Dans Microsoft Entra ID, les groupes pouvant se voir attribuer un rôle ne peuvent pas contenir d’autres groupes imbriqués. Pour en savoir plus, consultez Utiliser des groupes Microsoft Entra pour gérer les attributions de rôles. Cela est applicable à l’appartenance active : un même groupe ne peut pas être membre actif d’un autre groupe pouvant se voir attribuer un rôle.
Un même groupe peut être un membre éligible d’un autre groupe, même si un de ces groupes est un groupe pouvant faire l’objet d’une attribution de rôle.
Si un utilisateur est membre actif du groupe A et que le groupe A est un membre éligible du groupe B, l’utilisateur peut activer son appartenance au groupe B. Cette activation concerne seulement l’utilisateur qui a demandé l’activation, cela ne signifie pas que l’ensemble du groupe A devient membre actif du groupe B.
Privileged Identity Management et approvisionnement d’applications
Si le groupe est configuré pour l’approvisionnement d’applications, l’activation de l’appartenance au groupe déclenche l’approvisionnement de l’appartenance au groupe (et du compte d’utilisateur lui-même s’il n’a pas été approvisionné précédemment) à l’application à l’aide du protocole SCIM.
La préversion publique présente une fonctionnalité qui déclenche l’approvisionnement juste après l’activation de l’appartenance au groupe dans PIM. La configuration de l’approvisionnement dépend de l’application elle-même. En règle générale, nous vous recommandons d’affecter au moins deux groupes à l’application. En fonction du nombre de rôles dans votre application, vous pouvez choisir de définir des « groupes privilégiés » supplémentaires :
| Groupe | Objectif | Membres | Appartenance au groupe | Rôle attribué dans l’application |
|---|---|---|---|---|
| Groupe Tous les utilisateurs | Assurez-vous que tous les utilisateurs qui ont besoin d’accéder à l’application sont constamment approvisionnés dans l’application. | Tous les utilisateurs qui ont besoin d’accéder à l’application. | Actif.ve | Aucun ou rôle à privilèges faibles |
| Groupe privilégié | Fournissez un accès juste-à-temps au rôle privilégié dans l’application. | Utilisateurs qui ont besoin d’un accès juste-à-temps au rôle privilégié dans l’application. | Jurés éligibles | Rôle privilégié |
Considérations relatives aux clés
- Combien de temps faut-il pour qu’un utilisateur soit approvisionné dans l’application ?
- Lorsqu’un utilisateur est ajouté à un groupe dans Microsoft Entra ID en dehors de l’activation de son appartenance au groupe à l’aide de Microsoft Entra Privileged Identity Management (PIM) :
- L’appartenance au groupe est approvisionnée dans l’application lors du prochain cycle de synchronisation. Le cycle de synchronisation s’exécute toutes les 40 minutes.
- Lorsqu’un utilisateur active son appartenance au groupe dans Microsoft Entra PIM :
- L’appartenance au groupe est approvisionnée en deux à dix minutes. Lorsque le taux de requêtes simultanées est élevé, les requêtes sont limitées à un taux de cinq requêtes toutes les dix secondes.
- Pour les cinq premiers utilisateurs activant leur appartenance à un groupe pour une application spécifique sur une période de dix secondes, l’appartenance au groupe est approvisionnée dans l’application en deux à dix minutes.
- Pour le sixième utilisateur et les suivants activant leur appartenance à un groupe pour une application spécifique sur une période de dix secondes, l’appartenance au groupe est approvisionnée dans l’application lors du prochain cycle de synchronisation. Le cycle de synchronisation s’exécute toutes les 40 minutes. Les limitations sont propres à chaque application d’entreprise.
- Lorsqu’un utilisateur est ajouté à un groupe dans Microsoft Entra ID en dehors de l’activation de son appartenance au groupe à l’aide de Microsoft Entra Privileged Identity Management (PIM) :
- Si l’utilisateur ne parvient pas à accéder au groupe nécessaire dans l’application cible, consultez les journaux PIM et les journaux d’approvisionnement pour vous assurer que l’appartenance au groupe a été correctement mise à jour. En fonction de la manière dont l’application cible a été conçue, l’appartenance au groupe peut prendre un certain temps pour être effective dans l’application.
- Avec Azure Monitor, les clients peuvent créer des alertes pour les défaillances.
Étapes suivantes
- Intégrer des groupes dans Privileged Identity Management
- Attribuer l’éligibilité d’un groupe dans Privileged Identity Management
- Activer votre appartenance à un groupe ou votre propriété d’un groupe dans Privileged Identity Management
- Approuver des demandes d’activation de membres et propriétaires de groupe