Étendre ou renouveler les attributions de PIM pour groupes

Article
10/25/2023

Dans Microsoft Entra ID, Privileged Identity Management (PIM) fournit des contrôles pour gérer le cycle de vie des accès et des affectations pour les membres et propriétaires de groupes. Les administrateurs peuvent attribuer des propriétés de date-heure de début et de fin pour l’appartenance et la propriété des groupes. À l’approche de la fin de l’attribution, Privileged Identity Management envoie des notifications par e-mail aux utilisateurs ou aux groupes concernés ainsi qu’aux administrateurs de la ressource pour garantir le maintien de l’accès approprié. Les attributions peuvent être renouvelées et rester visibles à l’état expiré pendant 30 jours, même si l’accès n’est pas étendu.

Qui peut étendre et renouveler ?

Seuls les utilisateurs disposant d’autorisations à gérer des groupes peuvent étendre ou renouveler l’appartenance au groupe ou les affectations limitées dans le temps de propriété. L’utilisateur ou le groupe affecté peut demander l’extension d’affectations arrivant à expiration et le renouvellement d’affectations ayant déjà expiré.

Les groupes au rôle attribuable peuvent être gérés par l’administrateur général, l’administrateur de rôle privilégié ou le propriétaire du groupe. Les groupes sans rôle attribuable peuvent être gérés par l’administrateur général, l’enregistreur d’annuaires, l’administrateur de groupes, l’administrateur de gouvernance des identités, l’administrateur d’utilisateur ou le propriétaire du groupe. Les attributions de rôles pour les administrateurs doivent être limitées au niveau du répertoire (pas au niveau de l’unité administrative).

Remarque

D’autres rôles disposant d’autorisations pour gérer des groupes (tels que les administrateurs Exchange pour les groupes M365 non assignables par rôle) et les administrateurs dont les affectations sont limitées au niveau de l’unité administrative peuvent gérer des groupes via API Groupes/UX et remplacer les modifications apportées dans Microsoft Entra PIM.

Critères d’envoi des notifications

Privileged Identity Management envoie des notifications par e-mail aux administrateurs et aux utilisateurs affectés des affectations PIM pour les groupes qui expirent :

dans les 14 jours précédant l’expiration ;
un jour avant l’expiration ;
quand une affectation expire.

Les administrateurs reçoivent des notifications quand un utilisateur ou groupe demande une extension ou un renouvellement d’une affectation venant à expiration ou expirée. Quand un administrateur résout la demande, tous les administrateurs et l’utilisateur demandeur sont avertis de l’approbation ou du refus.

Ajouter des affectations de groupes

Les étapes suivantes décrivent la procédure de demande, de résolution ou d’administration d’une extension ou d’un renouvellement d’attribution d’appartenance ou de propriété de groupes.

Étendre automatiquement les attributions arrivant à expiration

Les utilisateurs auxquels une appartenance ou la propriété d’un groupe a été attribuée peuvent étendre les attributions de groupe arrivant à expiration directement depuis l’onglet Éligible ou Active de la page Attributions du groupe. Des utilisateurs ou des groupes peuvent demander l’extension d’affectations éligibles et actives qui expirent au cours des 14 prochains jours.

Quand la date et heure de fin de l’affectation sont à maximum 14 jours, la commande Étendre est disponible. Pour demander une extension d’affectation de groupe, sélectionnez Étendre afin d’ouvrir le formulaire de demande.

Remarque

Nous vous recommandons de préciser en détail la raison pour laquelle l’extension est nécessaire, ainsi que la durée de l’extension demandée (si vous la connaissez).

Les administrateurs reçoivent une notification par e-mail leur demandant d’examiner la demande d’extension. Si une demande d’extension a déjà été envoyée, une notification Azure apparaît dans le portail.

Pour afficher l’état de votre demande ou annuler celle-ci, ouvrez la page Demandes en attente pour l’affectation de groupe.

Extensions approuvées par l’administrateur

Quand un utilisateur ou un groupe envoie une demande d’extension d’une affectation de groupe, les administrateurs reçoivent une notification par e-mail contenant les détails de l’affectation d’origine et le motif de la demande. La notification inclut un lien direct vers la requête pour que l’administrateur puisse l’approuver ou la refuser.

Pour approuver ou rejeter les demandes, les administrateurs peuvent suivre le lien contenu dans l’e-mail ou accéder au portail d’administration de Privileged Identity Management et sélectionner Approuver les demandes dans le menu de gauche.

Lorsqu’un administrateur sélectionne Approuver ou Rejeter, les détails de la demande s’affichent, ainsi qu’un champ permettant de donner une justification professionnelle pour les journaux d’audit.

Quand ils approuvent une demande d’extension d’affectation de groupe, les administrateurs de ressources peuvent choisir de nouvelles dates de début et de fin et un nouveau type d’affectation. Une modification du type d’attribution peut être nécessaire s’ils souhaitent accorder un accès limité afin d’effectuer une tâche spécifique (un jour, par exemple). Dans cet exemple, l’administrateur peut modifier l’attribution de Éligible à Actif, ce qui signifie qu’il peut donner l’accès au demandeur sans l’obliger à s’activer.

Extension initiée par l’administrateur

Si un utilisateur affecté à un groupe ne demande pas d’extension pour une affectation de groupe, un administrateur peut étendre celle-ci au nom de l’utilisateur. Des extensions administratives d’affectation de groupe ne nécessitent pas d’approbation, mais des notifications sont envoyées à tous les autres administrateurs une fois l’affectation étendue.

Pour étendre une affectation de groupe, accédez à la vue de l’affectation dans Privileged Identity Management. Trouvez l’attribution qui a besoin d’une extension. Ensuite, sélectionnez Étendre dans la colonne d’action.

Renouveler des affectations de groupes

Bien que semblable d’un point de vue conceptuel au processus de demande d’extension, le processus de renouvellement d’une affectation de groupe arrivée à expiration est différent. Les étapes suivantes permettent aux administrateurs de renouveler l’accès à des affectations expirées si nécessaire.

Renouvellement autonome

Les utilisateurs qui n’ont plus accès aux ressources peuvent accéder à 30 jours d’historique d’attributions arrivées à expiration. Pour cela, ils accèdent à Mes rôles dans le volet à gauche, puis sélectionnent l’onglet Affectations expirées.

La liste d’affectations affiche par défaut les Affectations éligibles. Utilisez le menu déroulant pour basculer entre les affectations attribués Éligibles et Actives.

Pour demander le renouvellement d’une affectation de groupe figurant dans la liste, sélectionnez l’action Renouveler. Ensuite, précisez le motif de la demande. Il est utile d’indiquer une durée en plus d’un contexte supplémentaire ou d’une justification professionnelle pour aider l’administrateur de la ressource à l’approuver ou la rejeter.

Une fois que la demande envoyée, les administrateurs de ressources sont informés de l’existence d’une demande de renouvellement d’affectation de groupe en attente.

Approbations d’administrateur

Les administrateurs de ressources peuvent accéder à la demande de renouvellement à partir du lien contenu dans la notification par e-mail ou en accédant à Privileged Identity Management à partir du Centre d’administration Microsoft Entra et en sélectionnant Approuver les demandes dans le volet gauche.

Quand ils approuvent une demande de renouvellement d’affectation de groupe, les administrateurs de ressources doivent entrer de nouvelles dates de début et de fin et un nouveau type d’affectation.