Configurer et approuver l’accès juste à temps pour les applications managées Azure
En tant que consommateur d’une application managée, vous n’êtes peut-être pas d’accord avec le fait d’octroyer à l’éditeur un accès permanent au groupe de ressources managées. Pour vous donner un plus grand contrôle sur l'octroi de l'accès aux ressources managées, le service Applications managées Azure propose une fonctionnalité appelée « accès juste-à-temps (JIT) ». Il vous permet d’approuver quand et pendant combien de temps l’éditeur a accès au groupe de ressources. L’éditeur peut effectuer les mises à jour nécessaires pendant cette période, mais lorsque cette période est terminée, son accès expire.
Voici la procédure à suivre pour accorder l’accès :
L’éditeur ajoute une application managée à la Place de marché et précise que l’accès JAT est disponible.
Pendant le déploiement, vous activez l’accès JAT pour votre instance de l’application managée.
Après le déploiement, vous pouvez modifier les paramètres d’accès JAT.
L’éditeur envoie une demande d’accès.
Vous approuvez la demande.
Le présent article porte sur les mesures prises par les consommateurs pour permettre l’accès JAT et approuver les demandes. Pour en savoir plus sur la publication d’une application managée avec accès JAT, voir Demander l’accès juste à temps dans les applications managées Azure.
Notes
Pour utiliser l’accès juste à temps, vous devez disposer d’une licence Microsoft Entra ID P2.
Connectez-vous au portail Azure.
Recherchez une entrée de Place de marché pour une application managée avec JAT activé. Sélectionnez Create (Créer).
Tout en fournissant des valeurs pour la nouvelle application managée, l’étape Configuration JATvous permet d’activer ou de désactiver l’accès JAT pour l’application managée. Sélectionnez Oui pour Activer l’accès JAT. Cette option est sélectionnée par défaut pour les applications managées qui sont définies avec JAT activé sur la Place de marché.
Vous pouvez activer l’accès JAT uniquement pendant le déploiement. Si vous sélectionnez Non, l’éditeur obtient un accès permanent au groupe de ressources managées. Vous ne pouvez pas activer l’accès JAT ultérieurement.
Pour modifier les paramètres d’approbation par défaut, sélectionnez Personnaliser la configuration JAT.
Par défaut, une application managée avec le JAT activé a les paramètres suivants :
- Mode d’approbation : automatique
- Durée maximale d’accès : 8 heures
- Approbateurs : aucun
Quand le mode d’approbation est défini sur Automatique, les approbateurs reçoivent une notification pour chaque demande, mais la demande est approuvée automatiquement. Lorsque le mode d’approbation est défini sur Manuelle, les approbateurs reçoivent une notification pour chaque demande, et l’un d’eux doit l’approuver.
La durée maximale d’activation spécifie le délai maximal qu’un éditeur peut demander pour l’accès au groupe de ressources managées.
La liste des approbateurs contient les utilisateurs Microsoft Entra qui peuvent approuver des demandes d’accès JAT. Pour ajouter un approbateur, sélectionnez Ajouter un approbateur et recherchez l’utilisateur de votre choix.
Après la mise à jour du paramètre, sélectionnez Enregistrer.
Vous pouvez modifier les valeurs d’approbation des demandes. Toutefois, si vous n’avez pas activé l’accès JAT au cours du déploiement, vous ne pouvez pas l’activer ultérieurement.
Pour modifier les paramètres d’une application managée déployée :
Dans le portail, sélectionnez Gérer une application.
Sélectionnez Configuration JAT, puis modifiez les paramètres selon vos besoins.
Lorsque vous avez terminé, sélectionnez Enregistrer.
Lorsque l’éditeur demande l’accès, vous en êtes averti. Vous pouvez approuver les demandes d’accès JAT directement par le biais de l’application managée, ou pour toutes les applications managées via le service Microsoft Entra Privileged Identity Management. Pour utiliser l’accès juste à temps, vous devez disposer d’une licence Microsoft Entra ID P2.
Pour approuver les demandes via l’application managée :
Sélectionnez Accès JAT pour l’application managée, puis sélectionnez Approuver les demandes.
Sélectionnez la demande à approuver.
Dans le formulaire, indiquez la raison de l’approbation, puis sélectionnez Approuver.
Pour approuver les demandes via Microsoft Entra Privileged Identity Management :
Sélectionnez Tous les services, puis filtrez la liste pour rechercher Microsoft Entra Privileged Identity Management. Sélectionnez-le parmi les options disponibles.
Sélectionnez Approuver les demandes.
Sélectionnez Applications managées Azure, puis sélectionnez la demande à approuver.
Pour en savoir plus sur la publication d’une application managée avec accès JAT, voir Demander l’accès juste à temps dans les applications managées Azure.