Créer une révision d'accès aux groupes et applications dans Microsoft Entra ID
L’accès aux groupes et applications pour les employés et les invités change au fil du temps. Pour réduire le risque associé aux attributions d'accès obsolètes, les administrateurs peuvent utiliser Microsoft Entra ID pour créer des révisions d'accès pour les membres du groupe ou l'accès aux applications.
Les propriétaires de groupes Microsoft 365 et Sécurité peuvent également utiliser Microsoft Entra ID pour créer des révisions d’accès pour les membres du groupe, à condition qu’un utilisateur disposant au moins du rôle Administrateur de gouvernance des identités active le paramètre via le volet Paramètres des révisions d’accès. Pour plus d’informations sur ces scénarios, consultez Gérer les révisions d’accès.
Regardez une brève vidéo à propos de l’activation des révisions d’accès.
Cet article explique comment créer une ou plusieurs révisions d’accès pour les membres de groupes ou pour l’accès aux applications.
- Pour réviser les affectations de package d’accès, consultez configurer une révision d’accès dans la gestion des droits d’utilisation.
- Pour réviser les rôles des ressources Azure ou de Microsoft Entra, consultez Créer une révision d’accès aux ressources Azure et aux rôles Microsoft Entra dans Privileged Identity Management.
- En ce qui concerne les révisions de PIM pour les groupes, consultez créer une révision d’accès de PIM pour les groupes.
Prérequis
- Licences Microsoft Entra ID P2 ou Gouvernance des ID Microsoft Entra.
- La création d’une révision sur des utilisateurs inactifs, ou avec des recommandations d’affiliation d’utilisateurs au groupe, nécessite une licence Gouvernance des ID Microsoft Entra.
- Administrateur général ou Administrateur de gouvernance des identités pour créer des révisions sur des groupes ou des applications.
- Les utilisateurs doivent être au minimum administrateurs de rôle privilégié pour créer des révisions sur des groupes assignables à un rôle. Pour plus d’informations, consultez Utiliser des groupes Microsoft Entra pour gérer les attributions de rôles.
- Microsoft 365 et Propriétaire du groupe de sécurité.
Pour plus d’informations, consultez Exigences des licences.
Remarque
Après le droit d'accès minimal, nous vous recommandons d’utiliser le rôle Administrateur de gouvernance des identités.
Si vous révisez l’accès à une application, avant de créer la révision, consultez l’article sur la façon de préparer une révision de l’accès des utilisateurs à une application pour garantir que l’application est intégrée à Microsoft Entra ID dans votre client.
Remarque
Les révisions d’accès capturent un instantané des accès au début de chaque instance de révision. Toute modification effectuée lors du processus de révision est reflétée dans le cycle de révision suivant. En substance, avec le début de chaque nouvelle occurrence, les données pertinentes liées aux utilisateurs, les ressources évaluées et leurs réviseurs respectifs sont récupérées.
Remarque
Dans une révision de groupe, les groupes imbriqués sont automatiquement aplatis, de sorte que les utilisateurs des groupes imbriqués apparaissent en tant qu’utilisateurs individuels. Si un utilisateur est marqué pour suppression en raison de son appartenance à un groupe imbriqué, il ne sera pas automatiquement supprimé du groupe imbriqué, mais uniquement de l’appartenance directe au groupe.
Créer une révision d’accès en une seule étape
Étendue
Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur de la gouvernance des identités.
Accédez à Gouvernance des identités>Révisions d’accès.
Sélectionnez Nouvelle révision d’accès pour créer une révision d’accès.
Dans la boîte de dialogue Éléments à réviser, sélectionnez la ressource que vous souhaitez réviser.
Si vous avez sélectionné Équipes + groupes, vous avez deux options :
Tous les groupes Microsoft 365 avec des utilisateurs invités : Sélectionnez cette option si vous souhaitez créer des révisions périodiques sur tous vos utilisateurs invités dans l’ensemble des équipes Microsoft et des groupes Microsoft 365 de votre organisation. Groupes dynamiques et groupes attribuables à un rôle non inclus. Vous pouvez également choisir d’exclure des groupes individuels en cliquant sur Sélectionner le(s) groupe(s) à exclure.
Sélectionner les équipes + groupes : sélectionnez cette option si vous souhaitez spécifier un ensemble limité d’équipes et/ou de groupes à réviser. Une liste de groupes parmi lesquels choisir s’affiche à droite.
Si vous avez sélectionné Applications, sélectionnez une ou plusieurs applications.
Remarque
La sélection de plusieurs groupes ou applications entraîne la création de plusieurs révisions d’accès. Par exemple, si vous sélectionnez cinq groupes à réviser, cela donnera lieu à cinq révisions d’accès distinctes.
Désormais, vous pouvez sélectionner l’étendue de la révision. Les options disponibles sont :
- Utilisateurs invités uniquement : cette option limite la révision des accès aux seuls utilisateurs invités Microsoft Entra B2B de votre annuaire.
- Tout le monde : cette option permet d’étendre la révision d’accès à tous les objets utilisateur associés à la ressource.
Remarque
Si vous avez sélectionné Tous les groupes Microsoft 365 avec des utilisateurs invités, votre seule option est la révision sur les Utilisateurs invités uniquement.
Ou si vous effectuez une révision d’appartenance au groupe, vous pouvez créer des révisions d’accès uniquement pour les utilisateurs inactifs du groupe. Dans la section Étendue des utilisateurs, cochez la case en regard des Utilisateurs inactifs (au niveau du client). Si vous cochez la case, l’étendue de la révision se concentre uniquement sur les utilisateurs inactifs, ceux qui ne se sont pas connectés de manière interactive ou non interactive au client. Ensuite, spécifiez Jours inactifs avec de nombreux jours d’inactivité allant jusqu’à 730 jours (deux ans). Les utilisateurs du groupe inactifs pendant le nombre de jours spécifié sont les seuls utilisateurs dans la révision.
Remarque
Les utilisateurs qui viennent d’être créés ne sont pas affectés durant la configuration du délai d’inactivité. La révision d’accès vérifie si un utilisateur a été créé durant le délai d’exécution configuré, et ignore les utilisateurs qui n’existent pas depuis au moins cette période. Par exemple, si vous définissez le délai d’inactivité à 90 jours, et si un utilisateur invité est créé ou invité depuis moins de 90 jours, l’utilisateur invité n’entre pas dans l’étendue de la révision d’accès. Cela permet de garantir qu’un utilisateur peut se connecter au moins une fois avant d’être supprimé.
Sélectionnez Suivant : Révisions.
Suivant : Révisions
Vous pouvez créer une révision en une seule étape ou en plusieurs étapes. Pour créer une révision en seule étape, continuez ici. Pour créer une révision d’accès en plusieurs étapes, suivez les étapes décrites dans Créer une révision d’accès en plusieurs étapes
Dans la section Spécifier les réviseurs, dans la boîte de dialogue Sélectionner les réviseurs, sélectionnez une ou plusieurs personnes pour prendre des décisions sur les révisions d’accès. Vous pouvez choisir :
- Propriétaires de groupe : cette option est disponible uniquement lors de la révision d’une équipe ou d’un groupe.
- Utilisateur(s) ou groupe(s) sélectionné(s)
- Les utilisateurs révisent leur propre accès
- Managers des utilisateurs
Si vous choisissez Managers des utilisateurs ou Propriétaires de groupes, vous avez également la possibilité de spécifier un réviseur de secours. Les réviseurs de secours sont invités à effectuer une révision lorsque l’utilisateur n’a pas de manager spécifié dans le répertoire ou que le groupe n’a pas de propriétaire.
Remarque
Dans une révision d’accès d’équipe ou de groupe, seuls les propriétaires du groupe (au moment où débute la révision) sont considérés comme des réviseurs. Pendant une révision, si la liste des propriétaires du groupe est mise à jour, les nouveaux propriétaires du groupe ne sont pas considérés comme des réviseurs, tandis que les anciens propriétaires du groupe restent considérés comme des réviseurs. Toutefois, dans le cadre d’une révision périodique, toutes les modifications apportées à la liste des propriétaires du groupe sont prises en compte dans la prochaine instance de cette révision.
Important
Pour les révisions d’accès de PIM pour les groupes (préversion), lors de la sélection du propriétaire du groupe en tant que réviseur, il est obligatoire d’affecter au moins un réviseur de secours. La révision affecte seulement les propriétaires actifs en tant que réviseurs. Les propriétaires éligibles ne sont pas inclus. S’il n’y a pas de propriétaires actifs quand la révision commence, les réviseurs de secours seront affectés à la révision.
Dans la section Spécifier la récurrence de la révision, précisez les éléments suivants :
Durée (en jours) : pendant combien de temps une révision sera ouverte à la contribution des réviseurs.
Date de début : date de début de la série de révisions.
Date de fin : date de fin de la série de révisions. Vous pouvez spécifier qu’elle ne se termine jamais. Ou alors, vous pouvez choisir une Fin à une date spécifique ou une Fin après le nombre d’occurrences.
Sélectionnez Suivant : Paramètres.
Remarque
Lors de la création d’une révision d’accès, vous pouvez spécifier la date de début, mais l’heure de début peut varier de quelques heures en fonction du traitement du système. Par exemple, si vous créez une révision d’accès à 3h00 UTC le 09/09 qui est configurée pour s’exécuter le 12/09, la révision est planifiée pour s’exécuter à 3h00 UTC à la date de début, mais peut être retardée en raison du traitement du système.
Vous avez la possibilité de spécifier la date de début, mais l’heure de début peut varier de quelques heures en fonction du traitement du système.
Suivant : Paramètres
Dans la section Paramètres de saisie semi-automatique, vous pouvez spécifier ce qui se produit une fois la révision terminée.
Appliquer automatiquement les résultats à la ressource : cochez cette case si vous souhaitez que l’accès des utilisateurs refusés soit supprimé automatiquement une fois la durée de la révision terminée. Si l’option est désactivée, vous devez appliquer manuellement les résultats une fois la révision terminée. Pour en savoir plus sur l’application des résultats de la révision, consultez Gérer les révisions d’accès.
Si les réviseurs ne répondent pas : utilisez cette option pour spécifier ce qui se passe pour les utilisateurs dont l’accès n’a pas été vérifié par un réviseur quelconque au cours de la révision. Ce paramètre n’affecte pas les utilisateurs qui ont fait l’objet d’un examen par un réviseur. La liste déroulante affiche les options suivantes :
- Aucune modification : laisse l’accès de l’utilisateur inchangé.
- Supprimer l’accès : supprime l’accès de l’utilisateur.
- Approuver l’accès : approuve l’accès de l’utilisateur.
- Accepter les recommandations : accepte la recommandation du système sur le refus ou l’approbation de la prolongation de l’accès de l’utilisateur.
Avertissement
Si les paramètres Si les réviseurs ne répondent pas est défini sur Supprimer l’accès ou Prendre des recommandations, et Appliquer automatiquement les résultats à la ressource est activé, tout accès à cette ressource risque d’être révoqué si les réviseurs ne répondent pas.
Action à appliquer sur les utilisateurs invités refusés : cette option est disponible uniquement si la révision d’accès est limitée à inclure uniquement les utilisateurs invités, pour spécifier ce qui arrive aux utilisateurs invités s’ils sont refusés par un réviseur ou par le paramètre Si les réviseurs ne répondent pas.
- Supprimer l’appartenance de l’utilisateur à la ressource : cette option supprime l’accès de l’utilisateur invité refusé au groupe ou à l’application en cours de révision. Ils peuvent toujours se connecter au client et ne perdent aucun autre accès.
- Empêcher l’utilisateur de se connecter pendant 30 jours, puis supprimer l’utilisateur du client : cette option empêche un utilisateur invité refusé de se connecter au client, même s’il a accès à d’autres ressources. Si cette action a été effectuée par erreur, les administrateurs peuvent réactiver l’accès de l’utilisateur invité dans les 30 jours suivant la désactivation de l’utilisateur invité. Si aucune action n’est effectuée sur l’utilisateur invité désactivé après 30 jours, il est supprimé du client.
Pour en savoir plus sur les meilleures pratiques de suppression des utilisateurs invités qui n'ont plus accès aux ressources de votre organisation, consultez Utiliser Gouvernance des ID Microsoft Entra pour examiner et supprimer les utilisateurs externes qui n'ont plus accès aux ressources.
Remarque
L’Action à appliquer sur les utilisateurs invités refusés n’est pas configurable sur les révisions dont l’étendue est plus large que celle des utilisateurs invités. Elle n’est pas non plus configurable pour les révisions de Tous les groupes de Microsoft 365 avec les utilisateurs invités. Lorsque cette option n’est pas configurable, l’option par défaut de suppression de l’appartenance d’un utilisateur de la ressource est utilisée sur les utilisateurs refusés.
Utilisez l’option À la fin de la révision, envoyer une notification à pour envoyer des notifications à d’autres utilisateurs ou groupes contenant les mises à jour d’achèvement de la révision. Cette fonctionnalité permet d’informer les parties prenantes autres que le créateur de la révision de la progression de la révision. Pour utiliser cette fonctionnalité, choisissez Sélectionner un ou plusieurs utilisateurs ou groupes et ajoutez un autre utilisateur ou groupe pour lequel vous souhaitez recevoir l’état d’achèvement.
Dans la section Activer l’assistance aux décisions de révision, indiquez si vous souhaitez que votre réviseur reçoive des recommandations au cours du processus de révision :
- Si vous sélectionnez Aucune connexion en 30 jours, l’approbation est recommandée pour les utilisateurs qui se sont connectés au cours des 30 derniers jours. Les utilisateurs qui ne se sont pas connectés au cours des 30 derniers jours sont recommandés pour être refusés. Cet intervalle de 30 jours ne dépend pas du fait que les connexions étaient interactives ou non. La date de la dernière connexion de l’utilisateur spécifié s’affichera également en même temps que la recommandation.
- Si vous sélectionnez Affiliation d’utilisateurs au groupe, les réviseurs reçoivent la suggestion d’approuver ou de refuser l’accès pour les utilisateurs en fonction de la distance moyenne de l’utilisateur dans la structure de reporting de l’organisation. Les utilisateurs qui sont distants de tous les autres utilisateurs du groupe sont considérés comme ayant une « faible affiliation » et recevront une recommandation de refus dans les révisions d’accès au groupe.
Remarque
Si vous créez une révision d’accès basée sur les applications, vos recommandations seront basées sur la période d'intervalle de 30 jours en fonction de la date de la dernière connexion de l’utilisateur à l’application et non au client.
Dans la section Paramètres avancés, vous pouvez choisir les options suivantes :
Justification obligatoire : activez cette case afin d’exiger que le réviseur indique un motif d’approbation ou de refus.
Notifications par e-mail : cochez cette case pour que Microsoft Entra ID envoie des notifications par e-mail aux réviseurs lorsqu'une révision d'accès démarre et aux administrateurs lorsqu'une révision se termine.
Rappels : cochez cette case pour que Microsoft Entra ID envoie des rappels des révisions d'accès en cours à tous les réviseurs. Les réviseurs reçoivent les rappels à mi-parcours de la révision, qu’ils aient déjà terminé leur révision ou non.
Contenu supplémentaire pour l’e-mail du réviseur : le contenu de l’e-mail envoyé aux réviseurs est généré automatiquement en fonction des détails de la révision, comme le nom de la révision, le nom de la ressource, la date d’échéance, etc. Si vous avez besoin de communiquer plus d’informations, vous pouvez spécifier des informations comme des instructions ou des informations de contact dans cette zone. Les informations que vous entrez sont incluses dans les e-mails d’invitation et de rappel envoyés aux réviseurs désignés. La section mise en surbrillance dans l’image suivante montre où s’affichent ces informations.
Sélectionnez Suivant : Vérifier + créer.
Suivant : Vérifier + créer
Nommez la révision d’accès. Si vous le souhaitez, vous pouvez fournir une description de cette révision. Les réviseurs ont accès au nom et à la description de la révision.
Vérifiez les informations, puis sélectionnez Créer.
Créer une révision d’accès en plusieurs étapes
Une révision en plusieurs étapes permet à l’administrateur de définir deux ou trois ensembles de réviseurs pour effectuer une révision l’un après l’autre. Dans une révision en une seule étape, tous les réviseurs prennent une décision au cours de la même période et le dernier réviseur à prendre une décision voit sa décision appliquée. Dans un examen à plusieurs étapes, deux ou trois ensembles indépendants de réviseurs prennent chacun une décision dans leur propre étape. Les étapes sont séquentielles et l’étape suivante ne se produit pas tant qu’une décision n’est pas enregistrée dans l’étape précédente. Les révisions en plusieurs étapes peuvent être utilisées pour réduire la charge sur les réviseurs des étapes ultérieures, permettre l’escalade des réviseurs, ou avoir des groupes indépendants de réviseurs qui s’accordent sur les décisions.
Remarque
Les données des utilisateurs incluses dans les révisions d’accès en plusieurs étapes font partie de l’enregistrement d’audit au début de la révision. Les administrateurs peuvent supprimer les données à tout moment en supprimant la série de révisions d’accès en plusieurs étapes. Pour obtenir des informations générales concernant le RGPD et la protection des données, consultez la section relative au RGPD du Centre de gestion de la confidentialité de Microsoft et la section relative au RGPD du Portail d’approbation de services.
Après avoir sélectionné la ressource et l’étendue de la révision, passez à l’onglet Révisions.
Sélectionnez la case à cocher à côté de Évaluation en plusieurs phases.
Sous Révision de la première étape, sélectionnez les réviseurs dans le menu déroulant en regard de Sélectionner des réviseurs.
Si vous sélectionnez Propriétaire(s) de groupe ou Gestionnaires d’utilisateurs, vous avez la possibilité d’ajouter un réviseur de secours. Pour ajouter un réviseur de secours, sélectionnez Sélectionner les réviseurs de secours et ajoutez les utilisateurs que vous souhaitez voir comme réviseurs de secours.
Ajoutez la durée de la première étape. Pour ajouter la durée, entrez un nombre dans le champ en regard de Durée de l’étape (en jours). Il s’agit du nombre de jours pendant lesquels vous souhaitez que la première étape soit ouverte aux réviseurs de la première étape pour prendre des décisions.
Sous Révision de la deuxième étape, sélectionnez les réviseurs dans le menu déroulant en regard de Sélectionner des réviseurs. Ces réviseurs seront invités à effectuer la révision après la fin de la première étape de la révision.
Ajoutez des réviseurs de secours si nécessaire.
Ajoutez la durée de la deuxième étape.
Par défaut, vous pouvez voir deux étapes lorsque vous créez une révision en plusieurs étapes. Toutefois, vous pouvez ajouter jusqu’à trois étapes. Si vous souhaitez ajouter une troisième étape, sélectionnez + Ajouter une étape et renseignez les champs requis.
Vous pouvez décider d’autoriser les réviseurs de 2e et 3e phases pour afficher les décisions prises dans la ou les étapes précédentes. Si vous souhaitez leur permettre de voir les décisions prises auparavant, sélectionnez la case à côté de Afficher les décisions des étapes précédentes pour les réviseurs ultérieurs dans Afficher les résultats de la révision. Laissez la case désactivée pour désactiver ce paramètre si vous souhaitez que vos réviseurs effectuent les révisions indépendamment.
La durée de chaque récurrence est définie sur la somme des durées en jours que vous avez spécifiées à chaque étape.
Spécifiez la Périodicité de la révision, la Date de début et la Date de fin de la révision. Le type de périodicité doit être au moins aussi long que la durée totale de la périodicité (par exemple, la durée maximale d’une périodicité de révision hebdomadaire est de 7 jours).
Pour spécifier quels évalués continueront étape après étape, sélectionnez une ou plusieurs des options suivantes en regard de Spécifier les évalués qui accéderont à l’étape suivante :
- Évalués approuvés : seuls les évalués qui ont été approuvés passent aux étapes suivantes.
- Évalués refusés : seuls les révisés qui ont été refusés passent aux étapes suivantes.
- Évalués non révisés : seuls les révisés qui n’ont pas été révisés passent aux étapes suivantes.
- Évalués marqués comme « Ne sait pas » : seuls les évalués marqués de la mention « Ne sait pas » passent aux étapes suivantes.
- Tout : tout le monde passe à l’étape suivante si vous souhaitez que toutes les étapes de réviseurs prennent une décision.
Passez à l'onglet Paramètres, puis terminez le reste des paramètres et créez la révision. Suivez les instructions de la procédure Suivant : Paramètres.
Inclure les utilisateurs et les équipes de connexion directe B2B qui accèdent à des canaux partagés Teams dans les révisions d’accès
Vous pouvez créer des révisions d’accès pour les utilisateurs de la connexion directe B2B via des canaux partagés dans Microsoft Teams. Lorsque vous collaborez en externe, vous pouvez utiliser les révisions d'accès Microsoft Entra pour vous assurer que l'accès externe aux canaux partagés reste à jour. Les utilisateurs externes dans les canaux partagés sont appelés utilisateurs de connexion directe B2B. Pour en savoir plus sur les canaux partagés Teams et les utilisateurs de la connexion directe B2B, consultez l’article Connexion directe B2B.
Lorsque vous créez une révision d’accès pour une équipe avec des canaux partagés, vos réviseurs peuvent passer en revue les besoins continus d’accès de ces utilisateurs externes et Teams dans les canaux partagés. Vous pouvez passer en revue l’accès des utilisateurs de connexion B2B et d’autres utilisateurs de collaboration B2B et des utilisateurs non B2B internes dans la même révision.
Remarque
Actuellement, les utilisateurs et les équipes de connexion directe B2B sont uniquement inclus dans les révisions en une seule étape. Si les révisions en plusieurs étapes sont activées, les utilisateurs et les équipes de connexion directe B2B ne sont pas inclus dans la révision d’accès.
Les utilisateurs et les équipes de connexion directe B2B sont inclus dans les révisions d’accès du groupe de Microsoft 365 avec Teams dont les canaux partagés font partie. Pour créer la révision, vous devez disposer au moins du rôle Administrateur d’utilisateurs ou Administrateur de gouvernance des identités.
Utilisez les instructions suivantes pour créer une révision d’accès pour une équipe avec des canaux partagés :
Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur de la gouvernance des identités.
Accédez à Gouvernance des identités>Révisions d’accès.
Sélectionnez + Nouvelle révision d’accès.
Sélectionnez Équipes + groupes, puis sélectionnez Sélectionner équipes + groupes pour définir l’Étendue de la révision. Les utilisateurs et les équipes de connexion directe B2B ne sont pas inclus dans les révisions de Tous les groupes Microsoft 365 avec des utilisateurs invités.
Sélectionnez une équipe qui a des canaux partagés avec 1 ou plusieurs utilisateurs de connexion directe B2B ou Teams.
Définissez l’Étendue.
- Choisissez Tous les utilisateurs pour inclure :
- Tous les utilisateurs internes
- Les utilisateurs de collaboration B2B membres de l’équipe
- Utilisateurs de connexion directe B2B
- Les équipes qui accèdent aux canaux partagés
- Vous pouvez également choisir Utilisateurs invités uniquement pour inclure uniquement les utilisateurs de connexion directe B2B et les utilisateurs Teams et de collaboration B2B.
- Choisissez Tous les utilisateurs pour inclure :
Passez à l’onglet Révisions. Sélectionnez un réviseur pour terminer la révision, puis spécifiez la Durée et la Récurrence de l’évaluation.
Remarque
- Si vous définissez Sélectionner des réviseurs sur Les utilisateurs révisent leur propre accès ou Gestionnaires d’utilisateurs, les utilisateurs de la connexion directe B2B et Teams ne peuvent pas réviser leur propre accès à votre client. Le propriétaire de l’équipe faisant l’objet d’une révision recevra un e-mail lui demandant de passer en revue l’utilisateur de connexion directe B2B et Teams.
- Si vous sélectionnez Gestionnaires d’utilisateurs, un réviseur de secours sélectionné passe en revue tous les utilisateurs sans gestionnaire dans le client de base. Cela comprend les utilisateurs de la connexion directe B2B et Teams sans responsable.
Accédez à l’onglet Paramètres et configurez des paramètres supplémentaires. Accédez ensuite à l’onglet Vérifier et créer pour démarrer la révision d’accès. Pour plus d’informations sur la création de paramètres de révision et de configuration, consultez notre page Créer une révision d’accès en une seule étape.
Autoriser les propriétaires de groupes à créer et à gérer des révisions d’accès de leurs groupes
Conseil
Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.
Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur de la gouvernance des identités.
Accédez à Gouvernance des identités>Révisions d’accès>Paramètres.
Dans la page Déléguer qui peut créer et gérer des révisions d’accès, définissez Les propriétaires du groupe peuvent créer et gérer les révisions d’accès des groupes dont ils disposent sur Oui.
Remarque
Par défaut, ce paramètre est défini sur Non. Pour autoriser les propriétaires de groupes à créer et à gérer des révisions d’accès, modifiez la valeur du paramètre sur Oui.
Créer une révision d’accès par programmation
Vous pouvez également créer une révision d’accès à l’aide de Microsoft Graph ou PowerShell.
Pour créer une révision d’accès à l’aide de Graph, appelez l’API Graph pour créer une définition de planification de révision d’accès. L’appelant doit être un utilisateur dans un rôle approprié avec une application disposant de la permission AccessReview.ReadWrite.All
déléguée, ou une application disposant de l’autorisation d’application AccessReview.ReadWrite.All
. Pour plus d’informations, consultez la Vue d’ensemble des API de révision des accès et les tutoriels sur la façon d’examiner les membres d’un groupe de sécurité ou d’examiner les invités dans les groupes Microsoft 365.
Vous pouvez également créer une révision d’accès dans PowerShell avec le cmdlet New-MgIdentityGovernanceAccessReviewDefinition
issu du module cmdlets Microsoft Graph PowerShell pour la gouvernance des identités. Pour plus d’informations, voir les exemples.
Quand une révision d’accès démarre
Une fois que vous avez spécifié les paramètres d’une révision d’accès et que vous l’avez créé, la révision d’accès apparaît dans votre liste avec un indicateur de son état.
Par défaut, Microsoft Entra ID envoie un e-mail aux réviseurs peu de temps après le début d’une révision unique ou de la répétition d’une révision récurrente. Si vous choisissez de ne pas laisser Microsoft Entra ID envoyer l'e-mail, assurez-vous d'informer les réviseurs qu'une révision d'accès les attend. Vous pouvez leur montrer les instructions relatives à réviser l’accès aux groupes ou aux applications. Si votre révision s’adresse à des invités qui doivent réviser leur propre accès, donnez-leur des instructions sur la méthode à suivre pour réviser votre accès à des groupes ou à des applications.
Si vous avez attribué des invités en tant que réviseurs et qu’ils n’ont pas accepté leur invitation au client, ils ne recevront pas d’e-mail concernant les révisions d’accès. Ils doivent d’abord accepter l’invitation avant de pouvoir commencer les révisions.
Mettre à jour la révision d’accès
Après le lancement d’une ou de plusieurs révisions d’accès, vous souhaiterez peut-être modifier ou mettre à jour les paramètres de vos révisions d’accès existantes. Voici quelques scénarios courants à prendre en compte :
Mise à jour des paramètres ou des réviseurs : si une révision d’accès est récurrente, il existe des paramètres distincts sous Actuel et sous Série. La mise à jour des paramètres ou des réviseurs sous le paramètre Actuel applique uniquement les modifications apportées à la révision d’accès actuelle. La mise à jour des paramètres sous Série met à jour les paramètres pour toutes les futures récurrences.
Ajout et suppression de réviseurs : lors de la mise à jour des révisions d’accès, vous pouvez choisir d’ajouter un réviseur de secours en plus du réviseur principal. Les réviseurs principaux peuvent être supprimés lorsque vous mettez à jour une révision d’accès. Les réviseurs de secours ne peuvent, par définition, pas être supprimés.
Remarque
Les réviseurs de secours ne peuvent être ajoutés que lorsque le type de réviseur est « manager » ou « propriétaire de groupe ». Des réviseurs principaux peuvent être ajoutés lorsque le type de réviseur est l’utilisateur sélectionné.
Rappel aux réviseurs : lors de la mise à jour des révisions d’accès, vous pouvez choisir d’activer l’option de rappel sous Paramètres avancés. Les utilisateurs reçoivent ensuite une notification par e-mail à la moitié de la période de révision, qu’ils aient terminé la révision ou non.
Remarque
Une fois la révision d’accès lancée, vous pouvez utiliser l’appel d’API contactedReviewers pour afficher la liste de tous les réviseurs notifiés, ou qui le seraient si les notifications sont désactivées, par e-mail pour une révision d’accès. Horodatages pour les moments où ces utilisateurs ont été avertis sont également fournis.
Étapes suivantes
- Effectuer une révision d’accès de groupes ou d’applications
- Créez une révision d’accès PIM pour les groupes (préversion)
- Réviser l’accès à des groupes ou à des applications
- Réviser son accès à des groupes ou à des applications
- Créer une révision d’accès aux ressources Azure et aux rôles Microsoft Entra dans PIM