Partager via

Effectuer une révision d’accès des groupes et applications dans les révisions d’accès

En tant qu’administrateur, vous créez une révision d’accès des groupes ou des applications et les réviseurs effectuent la révision d’accès. Cet article explique comment visualiser les résultats de la révision d’accès et les appliquer.

Notes

Cet article explique comment supprimer les données personnelles de l’appareil ou du service et il peut être utilisé dans le cadre de vos obligations en vertu du Règlement général sur la protection des données. Pour obtenir des informations générales sur le RGPD, consultez la section RGPD du Centre de gestion de la confidentialité Microsoft et la section RGPD du portail d’approbation de services.

Prérequis

  • Microsoft Entra ID P2 ou gouvernance de Microsoft Entra ID
  • Au moins le rôle d’administrateur d’utilisateurs ou d’administrateur de gouvernance des identités pour gérer l’accès aux révisions sur les groupes et les applications. Les utilisateurs disposant au moins du rôle Administrateur de rôle privilégié peuvent gérer les révisions des groupes assignables aux rôles, consultez : Utiliser des groupes Microsoft Entra pour gérer les attributions de rôles
  • Les lecteurs Sécurité ont un accès en lecture.

Pour plus d’informations, consultez : Exigences de licence.

Visualiser l’état d’une révision d’accès

Effectuez les étapes suivantes pour suivre la progression des révisions d’accès à mesure qu’elles sont terminées.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de gouvernance des identités au moins.

  2. Accédez à la gouvernance d'ID> aux examens d'accès.

  3. Dans la liste, sélectionnez une révision d’accès.

    Dans la page Vue d’ensemble , vous pouvez voir la progression de l’instance actuelle de la révision. Si aucune instance active n’est ouverte à ce moment-là, vous voyez les informations de l’instance précédente. Aucun droit d’accès n’est modifié dans le répertoire avant que la révision ne soit terminée.

    Révision de tous les groupes d’entreprises

    Toutes les lames sous Current ne sont visibles que pendant la durée de chaque instance de révision.

    Notes

    Bien que la révision d’accès actuelle affiche uniquement des informations sur l’instance de révision active, vous pouvez obtenir des informations sur les révisions qui n'ont pas encore eu lieu dans la série dans la section Afficher l'état de la révision en plusieurs étapes (version préliminaire).

    La page Résultats fournit des informations supplémentaires sur chaque utilisateur révisé dans l’instance, notamment la possibilité d’arrêter, de réinitialiser et de télécharger les résultats.

    Passer en revue l’accès invité dans les groupes Microsoft 365

    Si vous affichez une révision d’accès qui révise un accès invité dans les groupes Microsoft 365, le panneau Vue d’ensemble répertorie chaque groupe dans la révision.

    passer en revue l’accès invité dans les groupes Microsoft 365

    Sélectionnez un groupe pour voir la progression de la révision sur ce groupe, et pour arrêter, réinitialiser, appliquer et supprimer la révision.

    passer en revue l’accès invité dans les groupes Microsoft 365 en détail

  4. Si vous souhaitez arrêter une révision d’accès avant d’atteindre la date de fin planifiée, sélectionnez le bouton Arrêter .

    Lorsque vous arrêtez une révision, les réviseurs ne peuvent plus donner de réponses. Vous ne pouvez pas redémarrer une révision ayant été arrêtée.

    Notes

    L’option Arrêter est disponible uniquement pour une instance de révision spécifique, et non pour l’ensemble de la série de révision périodiques. Pour arrêter une série de révision périodiques, vous pouvez modifier la série et mettre à jour l’option Fin à la date souhaitée lorsque vous souhaitez que la série s’arrête. Cette modification empêche la création d’instances de révision ultérieures au-delà de la date de fin mise à jour.

  5. Si vous n’êtes plus intéressé par la révision d’accès, vous pouvez la supprimer en cliquant sur le bouton Supprimer .

Afficher l’état de la révision en plusieurs étapes (préversion)

Pour afficher l’état et la phase d’une révision d’accès en plusieurs étapes :

  1. Sélectionnez la révision en plusieurs étapes dont vous souhaitez vérifier l’état ou consulter l’étape à laquelle elle se trouve.

  2. Sélectionnez Résultats dans le menu de navigation de gauche sous Actif.

  3. Une fois que vous êtes sur la page des résultats, sous État , vous indique l’étape dans laquelle se trouve la révision multi-étapes. L’étape suivante de la révision ne sera pas active tant que la durée spécifiée pendant la configuration de la révision d’accès n’est pas écoulée.

  4. Si une décision est prise, mais que la durée de révision de cette étape n’a pas encore expiré, vous pouvez sélectionner Le bouton Arrêter l’étape actuelle dans la page de résultats. Cette opération déclenche l’étape suivante de la révision.

Récupérer les résultats

Pour afficher les résultats d’une révision, sélectionnez la page Résultats . Pour voir uniquement l’accès d’un utilisateur, dans la zone de recherche, tapez le nom d’affichage ou le nom d’utilisateur principal d’un utilisateur dont l’accès a été refusé.

Récupérer les résultats d’une révision d’accès

Pour afficher les résultats d’une instance terminée d’une révision d’accès périodique, sélectionnez Historique des révisions, puis sélectionnez l’instance spécifique dans la liste des instances de révision d’accès terminées, en fonction de la date de début et de fin de l’instance. Les résultats de cette instance peuvent être obtenus à partir de la page Résultats . Les révisions d’accès récurrentes vous permettent d’avoir une image constante de l’accès aux ressources qui pourraient nécessiter d’être mises à jour plus souvent que par des révisions d’accès ponctuelles.

Pour récupérer les résultats d’une révision d’accès, en cours ou terminé, sélectionnez le bouton Télécharger . Le fichier CSV généré est consultable dans Excel ou dans d’autres programmes qui permettent d’ouvrir des fichiers CSV encodés UTF-8.

Récupérer les résultats par programmation

Vous pouvez également récupérer les résultats d’une révision d’accès à l’aide de Microsoft Graph ou de PowerShell.

Vous devez d’abord localiser l’instance de la révision d’accès. Si accessReviewScheduleDefinition est une révision d’accès périodique, les instances représentent chaque périodicité. Une révision qui ne se répète pas a exactement une instance. Les instances représentent également chaque groupe unique en cours de révision dans la définition de planification. Si une définition de planification révise plusieurs groupes, chaque groupe a une instance unique pour chaque récurrence. Chaque instance contient une liste de décisions sur laquelle les réviseurs peuvent prendre des mesures, avec une décision par identité en cours de révision.

Une fois que vous avez identifié l’instance, pour récupérer les décisions à l’aide de Graph, appelez l’API Graph pour répertorier les décisions d’une instance. Si l’instance est une révision à plusieurs étapes, appelez l’API Graph pour répertorier les décisions d’une révision d’accès multi-phases. L’appelant doit être un utilisateur dans un rôle approprié avec une application disposant de l’autorisation déléguée AccessReview.Read.All ou AccessReview.ReadWrite.All, ou une application disposant de l’autorisation d’application AccessReview.Read.All ou AccessReview.ReadWrite.All. Pour plus d’informations, consultez le tutoriel sur la façon de passer en revue un groupe de sécurité.

Vous pouvez également récupérer les décisions dans PowerShell avec l’applet Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision de commande à partir des applets de commande PowerShell Microsoft Graph pour le module Identity Governance . La taille de page par défaut de cette API est de 100 éléments de décision.

Appliquer les modifications

Si l'application automatique des résultats à la ressource a été activée en fonction de vos sélections dans les paramètres à l'achèvement, l'application automatique s'exécute une fois qu'une instance de révision est terminée ou plus tôt si vous arrêtez manuellement la révision.

Si l’application automatique des résultats à la ressource n’a pas été activée pour la révision, accédez à l’historique de révision sous Série après la fin de la révision ou l’examen a été arrêté tôt, puis sélectionnez l’instance de la révision que vous souhaitez appliquer.

Appliquer les modifications de révision d’accès

Sélectionnez Appliquer pour appliquer manuellement les modifications. Si l’accès d’un utilisateur a été refusé dans la révision, lorsque vous sélectionnez Appliquer, Microsoft Entra ID supprime son appartenance ou son affectation d’application.

Bouton Appliquer les modifications d’accès révisées

L’état de la révision passe de Terminé à des états intermédiaires tels qu’En cours d'application et enfin à l’état Résultat appliqué. Les utilisateurs dont l’accès est refusé doivent normalement perdre leur appartenance au groupe ou leur affectation d’applications au bout de quelques minutes.

L’application manuelle ou automatique des résultats est sans effet sur un groupe provenant d’un annuaire local. Si vous souhaitez modifier un groupe qui provient d’un répertoire local, téléchargez les résultats et appliquez ces modifications à la représentation du groupe dans ce répertoire.

Notes

Les résultats ne peuvent pas être appliqués à certains utilisateurs refusés. Les scénarios où cela peut se produire sont les suivants :

  • Examen des membres d’un groupe Windows Server AD local synchronisé : si le groupe est synchronisé à partir de Windows Server AD local, le groupe ne peut pas être géré dans l’ID Microsoft Entra et par conséquent, l’appartenance ne peut pas être modifiée.
  • Examen d’une ressource (rôle, groupe, application) avec des groupes imbriqués attribués : pour les utilisateurs qui ont une appartenance à un groupe imbriqué, nous ne supprimerons pas leur appartenance au groupe imbriqué et par conséquent, ils conserveront l’accès à la ressource en cours de révision.
  • Un utilisateur introuvable ou d’autres erreurs peuvent aussi entraîner la non-prise en charge de l’application du résultat.
  • Examen des membres du groupe activé pour la messagerie : le groupe ne peut pas être géré dans l'ID Microsoft Entra, donc l’appartenance ne peut pas être modifiée.
  • L'examen d'une application qui utilise l'attribution de groupe ne supprime pas les membres de ces groupes, ils conservent donc l'accès existant résultant de la relation de groupe pour l'attribution de l'application.

Actions effectuées sur des utilisateurs invités refusés dans une révision d’accès

À la création de la révision, le créateur peut choisir entre deux options pour les utilisateurs invités refusés dans une révision d’accès.

  • Les utilisateurs invités refusés peuvent avoir leur accès à la ressource supprimé. Il s’agit du paramètre par défaut.
  • La connexion de l’utilisateur invité refusé peut être bloquée pendant 30 jours, puis supprimée du locataire. Pendant la période de 30 jours, l’accès de l’utilisateur invité au locataire peut être restauré par un administrateur. Une fois la période de 30 jours terminée, si l’accès de l’utilisateur invité à la ressource ne lui a pas été accordé, il sera supprimé définitivement du locataire. En outre, à l’aide du Centre d’administration Microsoft Entra, un administrateur général peut supprimer explicitement un utilisateur récemment supprimé avant que cette période ne soit atteinte. Une fois qu’un utilisateur est définitivement supprimé, les données concernant cet utilisateur invité sont supprimées des révisions d’accès actives. Les informations d’audit relatives aux utilisateurs supprimés sont conservées dans le journal d’audit.

Actions effectuées sur les utilisateurs pour lesquels la connexion directe B2B est refusée

Les utilisateurs et les équipes pour lesquels la connexion directe B2B est refusée perdent l’accès à tous les canaux partagés de l’équipe.

Étapes suivantes