Partager via

Sécuriser l’accès aux applications privées avec Privileged Identity Management (PIM) et l’accès sécurisé global

L’Accès privé Microsoft Entra offre un accès sécurisé aux applications privées. L’accès privé inclut des fonctionnalités intégrées pour la maintenance d’un environnement sécurisé. Microsoft Entra Private Access le fait en contrôlant l’accès aux applications privées et en empêchant les appareils non autorisés ou compromis d’accéder aux ressources critiques. Pour obtenir un accès général à l’entreprise, consultez Microsoft Entra Private Access.

Pour le scénario dans lequel vous devez contrôler l’accès à des ressources critiques spécifiques, telles que des serveurs et des applications hautement appréciés, Microsoft vous recommande d’ajouter une couche de sécurité supplémentaire en appliquant l’accès privilégié juste-à-temps en plus de leur accès privé déjà sécurisé.

Cet article explique comment utiliser Microsoft Entra Private Access pour activer Privileged Identity Management (PIM) avec l’accès global sécurisé. Pour plus d’informations sur l’activation (PIM), consultez Qu’est-ce que Microsoft Entra Privileged Identity Management ?.

Garantir un accès sécurisé à vos applications privées à valeur élevée

Les clients doivent envisager de configurer PIM à l’aide de l’accès global sécurisé pour activer :

Sécurité renforcée : PIM permet un accès privilégié juste-à-temps, ce qui réduit le risque d’autorisations d’accès excessives, inutiles ou incorrectes au sein de votre environnement. Cette sécurité renforcée s’aligne sur le principe confiance zéro , ce qui garantit que les utilisateurs ont accès uniquement lorsqu’ils en ont besoin.

Conformité et audit : l’utilisation de PIM avec Microsoft Global Secure Access peut vous aider à garantir que votre organisation répond aux exigences de conformité en fournissant un suivi et une journalisation détaillés des demandes d’accès privilégié. Pour plus d’informations sur la gestion des licences PIM, consultez les principes de base des licences microsoft Entra ID Governance

Prérequis

Sécuriser l’accès privé

Pour implémenter l’accès privé sécurisé, vous devez effectuer ces trois étapes :

  1. Configurer et affecter des groupes
  2. Activer l’accès privilégié
  3. Suivez les instructions de conformité

Étape 1 : configurer et affecter des groupes

Pour commencer, nous configurons et affectons des groupes en créant un groupe de Microsoft Entra ID, en l’intégrant en tant que groupe managé PIM, en mettant à jour les affectations de groupe avec l’appartenance éligible et en spécifiant l’accès pour les utilisateurs et les appareils.

  1. Connectez-vous à Microsoft Entra en tant qu’administrateur de rôle privilégié au moins.

  2. Accédez à Entra ID>Groupes>Tous les groupes.

    Capture d’écran de l’écran Tous les groupes.

  3. Sélectionnez Nouveau groupe.

  4. Dans le type de groupe, sélectionnez Sécurité.

  5. Fournissez un nom de groupe ; par exemple, FinReport-SeniorAnalyst-SecureAccess.

    • Cet exemple de nom de groupe indique l’application (FinReport), le rôle (SeniorAnalyst) et la nature du groupe (SecureAccess), nous vous recommandons de choisir un nom qui reflète la fonction du groupe ou les ressources qu’il protège.

  6. Dans l’option Type d’appartenance , sélectionnez Affecté.

  7. Sélectionnez Créer.

    Capture d’écran de l’écran Nouveau groupe.

Intégrer le groupe à PIM

  1. Connectez-vous à Microsoft Entra en tant qu’administrateur de rôle privilégié au moins.
  2. Accédez à ID Governance>Privileged Identity Management.
  3. Sélectionnez Groupes, puis Découvrez les groupes.
  4. Sélectionnez le groupe que vous avez créé ; par exemple, FinReport-SeniorAnalyst-SecureAccesspuis sélectionnez Gérer les groupes.
  5. Lorsque vous y êtes invité, sélectionnez OK.

Mettre à jour les paramètres du rôle de stratégie PIM (étape facultative)

  1. Sélectionnez Paramètre, puis sélectionnez Membre.
  2. Ajustez les autres paramètres souhaités dans l’onglet Activation .
  3. Définir la durée maximale de l’activation ; par exemple, 0,5 heures.
  4. Dans l’option Activer l’activation , vous avez besoin d’Azure MFA, puis sélectionnez Mettre à jour.

Attribuer une appartenance éligible

  1. Sélectionnez Affectations, puis Ajoutez des affectations.

    Capture d’écran de l’option Ajouter des affectations.

  2. Dans l’option Rôle , sélectionnez Membre, puis Sélectionnez Suivant.

  3. Ajoutez les membres sélectionnés que vous souhaitez inclure pour le rôle.

  4. Dans l’option Type d’affectation , sélectionnez Éligible, puis Affectez.

Affectation d’Accès rapide

  1. Connectez-vous à Microsoft Entra en tant qu’administrateur de rôle privilégié au moins.
  2. Accédez à Global Secure Access>Accès rapide>Utilisateurs et groupes.
  3. Sélectionnez Ajouter un utilisateur/groupe, puis spécifiez le groupe que vous avez créé ; par exemple, FinReport-SeniorAnalyst-SecureAccess.

Remarque

Ce scénario est le plus efficace lorsque vous choisissez Accès par application, car l’accès rapide est utilisé ici uniquement pour référence. Appliquez les mêmes étapes si vous choisissez Applications d’entreprise.

Expérience côté client

Même si un utilisateur et son appareil répondent aux exigences de sécurité, toute tentative d’accès à une ressource privilégiée génère une erreur. Cette erreur se produit parce que Microsoft Entra Private Access reconnaît que l'utilisateur n'a pas reçu d'accès à l'application.

Capture d’écran du message d’erreur de l’expérience client.

Étape 2 : activer l’accès privilégié

Ensuite, nous activons l’appartenance au groupe à l’aide du Centre d’administration Microsoft Entra, puis essayons de vous connecter au nouveau rôle activé.

  1. Connectez-vous à Microsoft Entra.

  2. Accédez à ID Governance>Privileged Identity Management.

  3. Sélectionnez Mes rôles>Groupes pour afficher toutes les attributions éligibles.

    Capture d’écran de l’écran Mes groupes de rôles.

  4. Sélectionnez Activer, puis tapez la raison dans la zone Raison . Vous pouvez également choisir d’ajuster les paramètres de la session, puis sélectionner Activer.

    Capture d’écran de l’écran Activer le membre.

  5. Une fois le rôle activé, vous recevez une confirmation à partir du portail.

    Capture d’écran du membre activé dans le portail.

Réessayer pour vous connecter avec le rôle activé

Parcourez les ressources publiées, car vous devriez être en mesure de vous y connecter.

Capture d’écran de la connexion à une ressource publiée.

Désactiver le rôle

Si le travail est terminé avant le temps que vous avez alloué, vous pouvez choisir de désactiver le rôle. Cette action met fin à l’appartenance au rôle.

  1. Connectez-vous à Microsoft Entra.

  2. Accédez à ID Governance>Privileged Identity Management.

  3. Sélectionnez Mes rôles, puis Groupes.

  4. Sélectionnez Désactiver.

    Capture d’écran de l’écran Désactiver le membre.

  5. Une confirmation est envoyée à vous une fois le rôle désactivé.

Étape 3 : suivre les instructions de conformité

Cette dernière étape vous permet de conserver avec succès un historique des demandes d’accès et des activations. Le format de journal standard permet de répondre aux instructions de suivi et de conformité de journalisation et de fournir une piste d’audit.

Capture d’écran de l’écran Détails du journal d’audit.