Partager via


Phase 1 : implémenter l’infrastructure pour la gestion à grande échelle

Cette section du guide de référence des opérations de Gestion des autorisations Microsoft Entra décrit les vérifications et les actions que vous devriez prendre pour déléguer les autorisations et gérer à grande échelle de manière efficace.

Définir un modèle d’administration déléguée

Propriétaire recommandé : Architecture de sécurité de l’information

Définir les administrateurs de Gestion des autorisations Microsoft Entra

Pour déployer Microsoft Entra Permissions Management, définissez deux à cinq administrateurs de gestion des autorisations qui délégueront des autorisations dans le produit, configureront les paramètres clé et créeront et géreront la configuration de votre organisation.

Important

La Gestion des autorisations Microsoft Entra s’appuie sur des utilisateurs avec des adresses e-mail valides. Nous recommandons que vos administrateurs de gestion des autorisations aient des comptes avec des boîtes aux lettres actives.

Attribuez aux administrateurs désignés le rôle d’Administrateur de gestion des autorisations dans Microsoft Entra ID pour effectuer les tâches nécessaires. Nous vous recommandons d’utiliser Privileged Identity Management (PIM) pour fournir à vos administrateurs un accès juste-à-temps (JIT) au rôle, plutôt que de les affecter définitivement.

Définir et conserver la structure des dossiers

Dans Gestion des autorisations, un dossier est un groupe de systèmes d’autorisation. Nous vous recommandons de créer des dossiers en fonction de votre stratégie de délégation organisationnelle. Par exemple, si votre organisation délègue en fonction des équipes, créez des dossiers pour :

  • La production des Finances
  • La production de l’Infrastructure
  • La préproduction de la Recherche et développement

Une structure de dossiers efficace facilite la délégation d’autorisations à grande échelle et fournit aux propriétaires de votre système d’autorisation une expérience de produit positive.

Pour simplifier votre environnement, consultez Créer des dossiers pour organiser vos systèmes d’autorisation.

Créer des groupes de sécurité Microsoft Entra pour déléguer les autorisations

La gestion des autorisations Microsoft Entra dispose d’un système d’accès basé sur les groupes qui utilise des groupes de sécurité Microsoft Entra pour accorder des autorisations aux différents systèmes d’autorisation. Pour déléguer des autorisations, votre équipe IAM crée des groupes de sécurité Microsoft Entra qui mappent aux propriétaires du système d’autorisation et aux responsabilités de Gestion des autorisations que vous définissez. Vérifiez que les utilisateurs disposant d’une propriété et de responsabilités partagées se trouvent dans le même groupe de sécurité.

Nous vous recommandons d’utiliser PIM pour les groupes. Cela offre un accès JIT à la gestion des autorisations aux utilisateurs et reste conforme au JIT Confiance Zéro et aux principes de just-enough-access.

Pour créer des groupes de sécurité Microsoft Entra, consultez Gérer les groupes et l’appartenance aux groupes.

Attribuer des autorisations dans la Gestion des autorisations Microsoft Entra

Une fois les groupes de sécurité Microsoft Entra créés, un administrateur de Gestion des autorisations accorde aux groupes de sécurité leurs autorisations nécessaires.

Au minimum, vérifiez que les groupes de sécurité reçoivent des autorisations Observateur pour les systèmes d’autorisation dont ils sont responsables. Utilisez les autorisations de Contrôleur pour les groupes de sécurité avec des membres qui effectuent des actions de correction. Apprenez-en davantage sur les rôles et niveaux d’autorisations dans Gestion des autorisations Microsoft Entra.

Pour plus d’informations sur la gestion des utilisateurs et des groupes dans la Gestion des autorisations :

Déterminer la gestion de cycle de vie du système d’autorisation

Propriétaires recommandés : Architecture de Sécurité de l’information et infrastructure cloud

À mesure que de nouveaux systèmes d’autorisation sont créés et que les systèmes d’autorisation actuels évoluent, créent et gèrent un processus bien défini pour les modifications de la Gestion des autorisations Microsoft Entra. Le tableau suivant décrit les tâches et les propriétaires recommandés.

Tâche Propriétaire recommandé
Définir le processus de détection pour les nouveaux systèmes d’autorisation créés dans votre environnement Architecture de sécurité des informations
Définir des processus de triage et d’intégration pour les nouveaux systèmes d’autorisation dans la Gestion des autorisations Architecture de sécurité des informations
Définir des processus d’administration pour les nouveaux systèmes d’autorisation : déléguer des autorisations et mettre à jour la structure des dossiers Architecture de sécurité des informations
Développer une structure de charges croisées. Déterminer un processus de gestion des coûts. Le propriétaire varie selon l’organisation

Définir une stratégie d’indice d'autorisations suspectes

Propriétaire recommandé : Architecture de sécurité de l’information

Nous vous recommandons de définir des objectifs et des cas d’usage pour la façon dont l’Indice d'autorisations suspectes (PCI) pilote l’activité et la création de rapports sur l’architecture de Sécurité de l’information. Cette équipe peut définir et aider d’autres personnes à respecter les seuils PCI cibles pour votre organisation.

Établir des seuils PCI cibles

Les seuils PCI guident le comportement opérationnel et servent de stratégies pour déterminer quand une action est requise dans votre environnement. Établir des seuils PCI cibles pour :

  • Les systèmes d’autorisation
  • Les utilisateurs humains
    • L’annuaire d’entreprise (AE)
    • SAML
    • Local
    • Invité
  • Les identités non humaines

Remarque

Comme l’activité des identités non humaines varie moins que celles des identités humaines, appliquez un dimensionnement plus strict aux identités non humaines : définissez un seuil PCI inférieur.

Les seuils PCI varient en fonction des objectifs et des cas d’usage de votre organisation. Nous vous recommandons de suivre les seuils de risque de Gestion des autorisations intégrés. Retrouvez les plages PCI suivantes, par risque :

  • Faible : 0 à 33
  • Moyen : 34 à 67
  • Élevé : 68 à 100

À l’aide de la liste précédente, vérifiez les exemples de stratégie de seuil PCI suivants :

Catégorie Seuil PCI Policy
Systèmes d’autorisation 67 : Classer le système d’autorisation comme étant à risque élevé Si un système d’autorisation a un score PCI supérieur à 67, vérifiez et redimensionnez correctement les identités à PCI élevé dans le système d’autorisation
Identités humaines : AE, SAML et local 67 : Classer l’identité humaine comme étant à risque élevé Si une identité humaine a un score PCI supérieur à 67, dimensionnez correctement les autorisations de l’identité
Identité humaine : utilisateur invité 33 : Classer l’utilisateur invité comme étant à risque élevé ou moyen Si un utilisateur invité a un score PCI supérieur à 33, dimensionnez correctement les autorisations de l’identité
Identités non humaines 33 : Classer l’identité non humaine comme étant à risque élevé ou moyen Si une identité humaine a un score PCI supérieur à 33, dimensionnez correctement les autorisations de l’identité

Étapes suivantes