Gérer les accès externes avec la gestion des droits d’utilisation Microsoft Entra

Utilisez la fonctionnalité de gestion des droits d’utilisation pour gérer le cycle de vie des identités et des accès. Vous pouvez automatiser les flux de travail de demande d’accès, les affectations d’accès, les révisions et l’expiration. Les non-administrateurs utilisent la gestion des droits d'utilisation pour créer des packages d’accès auxquels les utilisateurs externes d’autres organisations peuvent demander l’accès. Un et plusieurs flux de travail d’approbation en plusieurs étapes sont configurables pour évaluer les demandes et approvisionner les utilisateurs pour un accès limité dans le temps avec des révisions périodiques. Utilisez la gestion des droits d'utilisation pour l’approvisionnement et la suppression des privilèges d’accès des comptes externes basés sur des stratégies.

Pour en savoir plus:

• Qu’est-ce que la gestion des droits d’utilisation ?
• Que sont les packages d’accès et quelles ressources gérer avec eux ?
• Qu’est-ce que l’approvisionnement ?

Avant de commencer

Cet article est le numéro 6 d’une série de 10 articles. Nous vous recommandons de consulter les articles dans l’ordre. Accédez à la section Étapes suivantes pour voir la série entière.

Activer la gestion des droits d'utilisation

Les concepts clés suivants sont importants à comprendre pour la Gestion des droits d'utilisation.

Packages d’accès

Un package d’accès est la base de la gestion des droits d’utilisation : il s’agit de regroupements de ressources régies par une stratégie pour permettre aux utilisateurs de collaborer sur un projet ou d’effectuer d’autres tâches. Par exemple, un package d’accès peut inclure les éléments suivants :

• Accès aux sites SharePoint
• Applications d’entreprise, y compris vos applications personnalisées internes et logicielles en tant que service (SaaS), comme Salesforce
• Microsoft Teams
• Groupes Microsoft 365

Catalogues

Les packages d’accès résident dans des catalogues. Lorsque vous souhaitez regrouper des ressources et des packages d’accès associés et déléguer leur gestion, vous créez un catalogue. Tout d’abord, vous ajoutez des ressources à un catalogue, puis vous pouvez ajouter des ressources aux packages d'accès. Par exemple, vous pouvez créer un catalogue des finances et déléguer sa gestion à un membre de l’équipe des finances. Cette personne peut ensuite ajouter des ressources, créer des packages d’accès et en gérer l’approbation de l’accès.

Pour en savoir plus:

• Créer et gérer un catalogue de ressources dans la gestion des droits d’utilisation
• Délégation et rôles dans la gestion des droits d’utilisation
• Ajouter des ressources à un catalogue

Le diagramme suivant montre un cycle de vie de gouvernance typique d’un utilisateur externe qui accède à un package d’accès avec une expiration.

Accès externe libre-service

Vous pouvez rendre les packages d’accès disponibles via le portail Mon accès Microsoft Entra pour permettre aux utilisateurs externes de demander l’accès. Les stratégies déterminent qui est autorisé à demander un package d’accès. Consultez Demander l’accès à un package d’accès dans la gestion des droits d’utilisation.

Vous spécifiez les personnes autorisées à demander le package d’accès :

• Organisations connectées
  • Consultez Ajouter une organisation connectée dans la gestion des droits d’utilisation
• Organisations connectées configurées
• Utilisateurs d’organisations
• Utilisateurs membres ou invités présents dans votre locataire

Approbations

Les packages d’accès peuvent inclure une approbation obligatoire pour l’accès. Les approbations peuvent être uniques ou multistages et sont déterminées par les stratégies. Si des utilisateurs internes et externes doivent accéder au même package, vous pouvez définir des stratégies d’accès pour des catégories d’organisations connectées et pour les utilisateurs internes.

Importante

Implémentez les processus d’approbation pour les utilisateurs externes.

Expiration

Les packages d’accès peuvent inclure une date d’expiration ou un nombre de jours que vous définissez pour l’accès. Lorsque le package d’accès expire et se termine, l’objet Utilisateur invité B2B représentant l’utilisateur peut être supprimé ou bloqué de se connecter. Nous vous recommandons d’appliquer l’expiration des packages d’accès pour les utilisateurs externes. Tous les packages d’accès n’ont pas d’expiration.

Importante

Pour les packages sans expiration, effectuez des révisions d’accès régulières.

Révisions d’accès

Les packages d’accès peuvent nécessiter des revues d'accès périodiques, obligeant le propriétaire du package ou un délégué à attester de la nécessité continue de l'accès des utilisateurs. Consultez Gérer l’accès des invités avec les révisions d’accès.

Avant de configurer votre évaluation, déterminez les critères suivants :

• Qui
  • Critères pour l’accès continu
  • Réviseurs
• Avec quelle fréquence
  • Les options intégrées sont mensuelles, trimestrielles, biannuelles ou annuelles
  • Nous vous recommandons d’effectuer des révisions de packages qui prennent en charge l’accès externe tous les trimestres ou plus fréquemment

Importante

Les révisions du package d’accès examinent l’accès accordé par le biais de la gestion des droits d’utilisation. Configurez d’autres processus pour passer en revue l’accès aux utilisateurs externes, en dehors de la gestion des droits d’utilisation.

En savoir plus : Planification du déploiement des révisions d’accès Microsoft Entra.

Utilisation de l’automatisation de la gestion des droits d’utilisation

• Utilisation de l’API de gestion des droits d’utilisation Microsoft Entra
• accessPackage type de ressource
• Révisions d’accès Microsoft Entra
• connectedOrganization type de ressource
• entitlementManagementSettings type de ressource

Recommandations sur la gouvernance des accès externes

Meilleures pratiques

Nous vous recommandons d’utiliser les pratiques suivantes pour régir l’accès externe avec la Gestion des droits d'utilisation.

• Pour les projets avec un ou plusieurs partenaires commerciaux, créez et utilisez des packages d’accès pour intégrer et fournir un accès utilisateur à des ressources.
  • Créer un nouveau package d’accès au sein de la gestion des droits d’utilisation
• Si votre répertoire comprend des utilisateurs B2B, vous pouvez les assigner à des packages d'accès.
• Vous pouvez attribuer l’accès dans le Portail Azure ou avec Microsoft Graph
  • Afficher, ajouter et supprimer des affectations pour un package d’accès au sein de la gestion des droits d’utilisation
  • Créer un nouveau package d’accès au sein de la gestion des droits d’utilisation

Gouvernance des identités - Configurations de contrôle

Sélectionnez le paramètre Cycle de vie des utilisateurs externes dans Configurations de contrôle pour supprimer les utilisateurs de votre annuaire lorsque leurs packages d’accès expirent. Les paramètres suivants s’appliquent aux utilisateurs intégrés à la gestion des droits d’utilisation.

Déléguer la gestion des catalogues et des packages

Délégez la gestion des catalogues et des packages d’accès aux propriétaires d’entreprise disposant d’informations supplémentaires sur les utilisateurs à qui l’accès est autorisé. Consultez Délégation et rôles dans la gestion des droits d’utilisation

Appliquer l’expiration du package d’accès

Vous pouvez appliquer l’expiration de l’accès pour les utilisateurs externes. Consultez Changer les paramètres de cycle de vie d’un package d’accès dans la gestion des droits d’utilisation.

• Pour la date de fin d’un package d’accès basé sur un projet, utilisez À la date du pour définir la date.
  • Sinon, nous vous recommandons que l'expiration ne dépasse pas 365 jours, sauf s'il s'agit d'un projet pluriannuel.
• Autoriser les utilisateurs à étendre l’accès
  • Exiger une approbation pour accorder l'extension

Appliquer les révisions des packages d’accès invité

Vous pouvez appliquer des révisions de packages d’accès invité pour éviter les accès inappropriés pour les invités. Consultez Gérer l’accès des invités avec les révisions d’accès.

• Appliquer les révisions trimestrielles
• Pour les projets liés à la conformité, définissez les réviseurs comme réviseurs, plutôt qu’une auto-évaluation pour des utilisateurs externes.
  • Vous pouvez utiliser des gestionnaires de package d’accès en tant que réviseurs
• Pour les projets moins sensibles, l’auto-révision des utilisateurs diminue la charge de supprimer l’accès à des utilisateurs qui ne font plus partie de l’organisation.

En savoir plus : Régir l’accès des utilisateurs externes dans la gestion des droits d’utilisation

Étapes suivantes

Utilisez la série d’articles suivante pour découvrir la sécurisation de l’accès externe aux ressources. Nous vous recommandons de suivre l’ordre indiqué.

1. Déterminer votre posture de sécurité pour l’accès externe avec Microsoft Entra ID

2. Découvrir l’état actuel de la collaboration externe avec votre organisation

3. Créer un plan de sécurité pour l’accès externe aux ressources

4. Sécuriser l’accès externe avec des groupes dans Microsoft Entra ID et Microsoft 365

5. Basculer vers une collaboration contrôlée avec la collaboration B2B Microsoft Entra

6. Gérer l’accès externe avec la gestion des droits d’utilisation Microsoft Entra (Vous êtes ici)

7. Gérer l’accès externe à des ressources avec des stratégies d’accès conditionnel

8. Contrôler l’accès externe aux ressources dans Microsoft Entra ID avec des étiquettes de confidentialité

9. Sécuriser l’accès externe à Microsoft Teams, à SharePoint et à OneDrive Entreprise avec Microsoft Entra ID

10. Convertir les comptes invités locaux en comptes invités Microsoft Entra B2B