Créer une révision d'accès des groupes et des applications dans Microsoft Entra ID

L’accès aux groupes et aux applications pour les employés et les invités change au fil du temps. Pour réduire le risque associé aux attributions d'accès obsolètes, les administrateurs peuvent utiliser Microsoft Entra ID pour créer des révisions d'accès pour les membres du groupe ou l'accès aux applications.

Les propriétaires de groupes de sécurité et Microsoft 365 peuvent également utiliser l’ID Microsoft Entra pour créer des révisions d’accès pour les membres du groupe tant qu’un utilisateur disposant au moins du rôle Administrateur de gouvernance des identités active le paramètre via le volet Paramètres des révisions d’accès . Pour plus d’informations sur ces scénarios, consultez Gérer les révisions d’accès.

Regardez une brève vidéo à propos de l’activation des révisions d’accès.

Cet article explique comment créer une ou plusieurs révisions d’accès pour les membres de groupes ou pour l’accès aux applications.

• Pour passer en revue les affectations de package d’accès, consultez configurer une révision d’accès dans la gestion des droits d’utilisation.
• Pour passer en revue les rôles de ressources Azure ou Microsoft Entra, consultez Créer un examen d'accès pour les rôles de ressources Azure et Microsoft Entra dans Privileged Identity Management.
• Pour connaître les révisions de PIM pour les groupes, consultez créer une révision d’accès de PIM pour les groupes.

Prérequis

Cette fonctionnalité nécessite des licences Microsoft Entra ID Governance ou Microsoft Entra Suite. Pour trouver la licence appropriée pour vos besoins, consultez les principes de base de la gouvernance de l’ID Microsoft Entra.

Si vous examinez l’accès à une application, avant de créer l'examen, consultez l’article sur la préparation d'un examen des accès des utilisateurs à une application pour vous assurer que l’application est intégrée à Microsoft Entra ID dans votre client.

Remarque

Les révisions d’accès capturent un instantané des accès au début de chaque instance de révision. Toute modification effectuée lors du processus de révision est reflété dans le cycle de révision suivant. En substance, avec le début de chaque nouvelle occurrence, les données pertinentes liées aux utilisateurs, les ressources évaluées et leurs réviseurs respectifs sont récupérées.

Remarque

Dans une révision de groupe, les groupes imbriqués sont automatiquement aplaties, de sorte que les utilisateurs des groupes imbriqués apparaissent en tant qu’utilisateurs individuels. Si un utilisateur est marqué pour suppression en raison de son appartenance à un groupe imbriqué, il ne sera pas automatiquement supprimé du groupe imbriqué, mais uniquement de l’appartenance directe au groupe.

Créer une révision d’accès en une seule étape

Étendue

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de gouvernance des identités au moins.

2. Accédez à la gouvernance des identités>Examens d'accès.

3. Sélectionnez Nouvelle révision d’accès pour créer une révision d’accès.

   

4. Dans la zone Sélectionner les éléments à réviser , sélectionnez la ressource que vous souhaitez examiner.

   

5. Si vous avez sélectionné Teams + Groupes, vous avez deux options :

   • Tous les groupes Microsoft 365 avec utilisateurs invités : sélectionnez cette option si vous souhaitez créer des révisions périodiques sur tous vos utilisateurs invités sur tous vos groupes Microsoft Teams et Microsoft 365 dans votre organisation. Groupes dynamiques et groupes attribuables à un rôle non inclus. Vous pouvez également choisir d’exclure des groupes individuels en sélectionnant Sélectionner des groupes à exclure.

   • Sélectionnez Teams + groupes : sélectionnez cette option si vous souhaitez spécifier un ensemble fini d’équipes ou de groupes à examiner. Une liste de groupes parmi lesquels choisir s’affiche à droite.

     

6. Si vous avez sélectionné Applications, sélectionnez une ou plusieurs applications.

   

Remarque

La sélection de plusieurs groupes ou applications entraîne la création de plusieurs révisions d’accès. Par exemple, si vous sélectionnez cinq groupes à réviser, cela donnera lieu à cinq révisions d’accès distinctes.

7. Désormais, vous pouvez sélectionner l’étendue de la révision. Les options disponibles sont :

   • Utilisateurs invités uniquement : cette option limite la révision d’accès aux seuls utilisateurs invités Microsoft Entra B2B dans votre annuaire.
   • Tout le monde : cette option étend la révision d’accès à tous les objets utilisateur associés à la ressource.

   Remarque

   Si vous avez sélectionné tous les groupes Microsoft 365 avec des utilisateurs invités, votre seule option consiste à passer en revue les utilisateurs invités uniquement.

8. Ou si vous effectuez une révision d’appartenance au groupe, vous pouvez créer des révisions d’accès uniquement pour les utilisateurs inactifs du groupe. Dans la section Scope Utilisateurs, cochez la case en regard des utilisateurs inactifs (au niveau du locataire). Si vous cochez la case, l’étendue de la révision se concentre uniquement sur les utilisateurs inactifs, ceux qui ne se sont pas connectés de manière interactive ou non interactive au locataire. Ensuite, spécifiez Jours inactifs avec de nombreux jours inactifs jusqu’à 730 jours (deux ans). Les utilisateurs du groupe inactifs pendant le nombre de jours spécifié sont les seuls utilisateurs dans la révision.

   Remarque

   Les utilisateurs récemment créés ne sont pas affectés lors de la configuration du temps d’inactivité. La révision d’accès vérifie si un utilisateur a été créé dans le délai configuré et ignore les utilisateurs qui n’ont pas existé pendant au moins cette durée. Par exemple, si vous définissez la durée d’inactivité sur 90 jours et qu’un utilisateur invité a été créé ou invité il y a moins de 90 jours, l’utilisateur invité ne sera pas dans l’étendue de la révision d’accès. Cela permet de garantir qu’un utilisateur peut se connecter au moins une fois avant d’être supprimé.

9. Sélectionnez Suivant : Révisions.

Suivant : Révisions

1. Vous pouvez créer une révision en une seule étape ou en plusieurs étapes. Pour créer une révision en seule étape, continuez ici. Pour créer une révision d’accès à plusieurs étapes, suivez les étapes décrites dans Créer une révision d’accès à plusieurs étapes

2. Dans la section Spécifier les réviseurs , dans la zone Sélectionner les réviseurs , sélectionnez une ou plusieurs personnes pour prendre des décisions dans les révisions d’accès. Vous pouvez choisir :

   • Propriétaire(s) du groupe : cette option est disponible uniquement lorsque vous effectuez une révision sur une équipe ou un groupe.
   • Utilisateurs ou groupes sélectionnés
   • Les utilisateurs passent en revue leur propre accès
   • Gestionnaires d’utilisateurs

   Si vous choisissez gestionnaires d’utilisateurs ou propriétaires de groupe, vous pouvez également spécifier un réviseur de secours. Les réviseurs de secours sont invités à effectuer une révision lorsque l’utilisateur n’a pas de manager spécifié dans le répertoire ou que le groupe n’a pas de propriétaire.

   Remarque

   Dans une révision d’accès d’équipe ou de groupe, seuls les propriétaires du groupe (au moment où débute la révision) sont considérés comme des réviseurs. Pendant une révision, si la liste des propriétaires de groupe est mise à jour, les nouveaux propriétaires de groupe ne seront pas considérés comme réviseurs et les anciens propriétaires de groupe seront toujours considérés comme réviseurs. Toutefois, dans le cadre d’une révision périodique, toutes les modifications apportées à la liste des propriétaires du groupe sont prises en compte dans la prochaine instance de cette révision.

   Importante

   Pour les révisions d’accès de PIM pour les groupes (préversion), lors de la sélection du propriétaire du groupe en tant que réviseur, il est obligatoire d’attribuer au moins un réviseur de secours. La révision affecte seulement les propriétaires actifs en tant que réviseurs. Les propriétaires éligibles ne sont pas inclus. S’il n’y a pas de propriétaires actifs quand la révision commence, le ou les réviseurs de secours seront affectés à la révision.

   

3. Dans la section Spécifier la périodicité de la révision , spécifiez les sélections suivantes :

   • Durée (en jours) : durée pendant laquelle une révision est ouverte pour l’entrée des réviseurs.

   • Date de début : lorsque la série de révisions commence.

   • Date de fin : lorsque la série de révisions se termine. Vous pouvez spécifier qu’il ne se termine jamais . Vous pouvez également sélectionner Fin à une date spécifique ou Fin après un certain nombre d'occurrences.

     

4. Sélectionnez Suivant : Paramètres.

Remarque

Lors de la création d’une révision d’accès, vous pouvez spécifier la date de début, mais l’heure de début peut varier de quelques heures en fonction du traitement du système. Par exemple, si vous créez une révision d’accès à 03:00 UTC le 09/09 qui est définie pour s’exécuter le 12/09, la révision est planifiée pour s’exécuter à 03:00 UTC à la date de début, mais peut être retardée en raison du traitement système.

Vous pouvez spécifier la date de début, mais l’heure de début peut varier de quelques heures en fonction du traitement du système.

Suivant : Paramètres

1. Dans la section Paramètres à l'achèvement, vous pouvez spécifier ce qui se passe une fois la révision terminée.

   

   • Appliquer automatiquement les résultats à la ressource : cochez cette case si vous souhaitez que l’accès aux utilisateurs refusés soit supprimé automatiquement une fois la durée de révision terminée. Si l’option est désactivée, vous devez appliquer manuellement les résultats une fois la révision terminée. Pour en savoir plus sur l’application des résultats de la révision, consultez Gérer les révisions d’accès.

   • Si les réviseurs ne répondent pas : utilisez cette option pour spécifier ce qui se passe pour les utilisateurs qui ne sont pas examinés par un réviseur au cours de la période de révision. Ce paramètre n’affecte pas les utilisateurs qui ont fait l’objet d’un examen par un réviseur. La liste déroulante affiche les options suivantes :

     • Aucune modification : laisse l’accès d’un utilisateur inchangé.
     • Supprimer l’accès : supprime l’accès d’un utilisateur.
     • Approuver l’accès : approuve l’accès d’un utilisateur.
     • Suivre les recommandations : suit la recommandation du système de refuser ou d'approuver l'accès continu de l'utilisateur.

     Avertissement

     Si les paramètres si les réviseurs ne répondent pas sont définis pour supprimer l’accès ou prendre des recommandations et appliquer automatiquement les résultats à la ressource est activé, tous les accès à cette ressource peuvent potentiellement être révoqués si les réviseurs ne répondent pas.

   • Action à appliquer sur les utilisateurs invités refusés : cette option n'est disponible que si la révision d'accès est définie pour inclure uniquement les utilisateurs invités afin de spécifier ce qui arrive aux utilisateurs invités s'ils sont refusés soit par un réviseur, soit par le paramètre Si les réviseurs ne répondent pas.

     • Supprimer l’appartenance de l’utilisateur à la ressource : cette option supprime l’accès d’un utilisateur invité refusé au groupe ou à l’application en cours de révision. Ils peuvent toujours se connecter au locataire et ne perdent aucun autre accès.
     • Bloquer la connexion de l’utilisateur pendant 30 jours, puis supprimer l’utilisateur du locataire : cette option empêche un utilisateur invité refusé de se connecter au locataire, peu importe s’il a accès à d’autres ressources. Si cette action a été effectuée par erreur, les administrateurs peuvent réactiver l’accès de l’utilisateur invité dans les 30 jours suivant la désactivation de l’utilisateur invité. Si aucune action n’est effectuée sur l’utilisateur invité désactivé après 30 jours, il est supprimé du locataire.

   Pour en savoir plus sur les bonnes pratiques pour supprimer les utilisateurs invités qui n’ont plus accès aux ressources de votre organisation, consultez Utiliser Microsoft Entra ID Governance pour passer en revue et supprimer des utilisateurs externes qui n’ont plus accès aux ressources.

   Remarque

   L’action à appliquer sur les utilisateurs invités refusés n’est pas configurable dans les révisions concernant plus que des utilisateurs invités. Il n’est pas non plus configurable pour les révisions de tous les groupes Microsoft 365 avec des utilisateurs invités. Lorsqu’il n’est pas configurable, l’option par défaut de suppression de l’appartenance d’un utilisateur à la ressource est utilisée sur les utilisateurs refusés.

2. Utilisez l'option À la fin de l'examen, envoyer une notification à pour envoyer des notifications à d'autres utilisateurs ou groupes avec des mises à jour de l'achèvement. Cette fonctionnalité permet d’informer les parties prenantes autres que le créateur de la révision de la progression de la révision. Pour utiliser cette fonctionnalité, choisissez Sélectionner des utilisateurs ou des groupes , puis ajoutez un autre utilisateur ou groupe pour lequel vous souhaitez recevoir l’état de fin.

3. Dans la section Activer les décideurs de révision , choisissez si vous souhaitez que votre réviseur reçoive des recommandations pendant le processus de révision :

   1. Si vous sélectionnez Aucune connexion dans les 30 jours, les utilisateurs qui se sont connectés au cours de la période précédente de 30 jours sont recommandés pour approbation. Les utilisateurs qui ne se sont pas connectés au cours des 30 derniers jours sont recommandés pour être refusés. Cet intervalle de 30 jours ne dépend pas du fait que les connexions étaient interactives ou non. La date de la dernière connexion de l’utilisateur spécifié s’affichera également en même temps que la recommandation.
   2. Si vous sélectionnez Affiliation utilisateur à groupe, les réviseurs reçoivent la recommandation d’approuver ou de refuser l’accès pour les utilisateurs en fonction de la distance moyenne de l’utilisateur dans la structure de création de rapports de l’organisation. Les utilisateurs qui sont distants de tous les autres utilisateurs du groupe sont considérés comme ayant une « faible affiliation » et recevront une recommandation de refus dans les révisions d’accès au groupe.

   Remarque

   Si vous créez une révision d’accès basée sur les applications, vos recommandations seront basées sur la période d'intervalle de 30 jours en fonction de la date de la dernière connexion de l’utilisateur à l’application et non au locataire.

   

4. Dans la section Paramètres avancés , vous pouvez choisir les éléments suivants :

   • Justification requise : cochez cette case pour exiger que le réviseur fournisse une raison d’approbation ou de refus.

   • Notifications par e-mail : cochez cette case pour que l’ID Microsoft Entra envoie des notifications par e-mail aux réviseurs lorsqu’une révision d’accès démarre et aux administrateurs lorsqu’une révision se termine.

   • Rappels : cochez cette case pour que l’ID Microsoft Entra envoie des rappels des révisions d’accès en cours à tous les réviseurs. Les réviseurs reçoivent les rappels à mi-parcours de la révision, qu’ils aient déjà terminé leur révision ou non.

   • Contenu supplémentaire pour l’e-mail du réviseur : le contenu de l’e-mail envoyé aux réviseurs est généré automatiquement en fonction des détails de révision, tels que le nom de révision, le nom de la ressource et la date d’échéance. Si vous avez besoin de communiquer plus d’informations, vous pouvez spécifier des informations comme des instructions ou des informations de contact dans cette zone. Les informations que vous entrez sont incluses dans les e-mails d’invitation et de rappel envoyés aux réviseurs désignés. La section mise en surbrillance dans l’image suivante montre où s’affichent ces informations.

     

5. Sélectionnez Suivant : Vérifier + Créer.

   

Suivant : Vérifier + créer

1. Nommez la révision d’accès. Si vous le souhaitez, vous pouvez fournir une description de cette révision. Les réviseurs ont accès au nom et à la description de la révision.

2. Passez en revue les informations et sélectionnez Créer.

Créer une révision d’accès en plusieurs étapes

Une révision en plusieurs étapes permet à l’administrateur de définir deux ou trois ensembles de réviseurs pour effectuer une révision l’un après l’autre. Dans une révision en une seule étape, tous les réviseurs prennent une décision au cours de la même période et le dernier réviseur à prendre une décision voit sa décision appliquée. Dans un examen à plusieurs étapes, deux ou trois ensembles indépendants de réviseurs prennent chacun une décision dans leur propre étape. Les étapes sont séquentielles et l’étape suivante ne se produit pas tant qu’une décision n’est pas enregistrée dans l’étape précédente. Les révisions en plusieurs étapes peuvent être utilisées pour réduire la charge sur les réviseurs des étapes ultérieures, permettre l’escalade des réviseurs, ou avoir des groupes indépendants de réviseurs qui s’accordent sur les décisions.

Remarque

Les données des utilisateurs incluses dans les révisions d’accès en plusieurs étapes font partie de l’enregistrement d’audit au début de la révision. Les administrateurs peuvent supprimer les données à tout moment en supprimant la série de révision d’accès en plusieurs étapes. Pour obtenir des informations générales sur le RGPD et la protection des données utilisateur, consultez la section RGPD du Centre de gestion de la confidentialité Microsoft et la section RGPD du portail d’approbation de services.

1. Une fois que vous avez sélectionné la ressource et l’étendue de votre révision, accédez à l’onglet Révisions .

2. Cochez la case à côté de la révision à plusieurs étapes.

3. Sous Première étape, sélectionnez les réviseurs dans le menu déroulant en regard de Sélectionner les réviseurs.

4. Si vous sélectionnez propriétaire(s) de groupe ou Gestionnaires d’utilisateurs, vous avez la possibilité d’ajouter un réviseur de secours. Pour ajouter des réviseurs de secours, sélectionnez Sélectionner les réviseurs de secours et ajoutez les utilisateurs que vous souhaitez désigner comme réviseurs de secours.

   

5. Ajoutez la durée de la première étape. Pour ajouter la durée, entrez un nombre dans le champ en regard de la durée de l’étape (en jours). Il s’agit du nombre de jours pendant lesquels vous souhaitez que la première étape soit ouverte aux réviseurs de la première étape pour prendre des décisions.

6. Sous Deuxième étape, sélectionnez les réviseurs dans le menu déroulant en regard de Sélectionner les réviseurs. Ces réviseurs seront invités à effectuer la révision après la fin de la première étape de la révision.

7. Ajoutez des réviseurs de secours si nécessaire.

8. Ajoutez la durée de la deuxième étape.

9. Par défaut, vous pouvez voir deux étapes lorsque vous créez une révision en plusieurs étapes. Toutefois, vous pouvez ajouter jusqu’à trois étapes. Si vous souhaitez ajouter une troisième étape, sélectionnez + Ajouter une étape et complétez les champs requis.

10. Vous pouvez décider d’autoriser les réviseurs de 2e et 3e phases pour afficher les décisions prises dans la ou les étapes précédentes. Si vous souhaitez les autoriser à voir les décisions prises aux étapes précédentes, sélectionnez la case à côté de Afficher les décisions des étapes précédentes aux réviseurs des étapes suivantes sous Révéler les résultats de l'examen. Laissez la case désactivée pour désactiver ce paramètre si vous souhaitez que vos réviseurs effectuent les révisions indépendamment.

    

11. La durée de chaque récurrence est définie sur la somme des durées en jours que vous avez spécifiées à chaque étape.

12. Spécifiez la périodicité de révision, la date de début et la date de fin de la révision. Le type de périodicité doit être au moins aussi long que la durée totale de la périodicité (par exemple, la durée maximale d’une périodicité de révision hebdomadaire est de 7 jours).

13. Pour spécifier les candidats qui continueront d'une étape à l'autre, sélectionnez une ou plusieurs des options suivantes à côté de Spécifier les candidats pour passer à l'étape suivante :

    1. Évalués approuvés : seuls les évalués approuvés passent à la ou les étapes suivantes.
    2. Révisions refusées : seuls les révisions qui ont été refusées passent à la ou les étapes suivantes.
    3. Candidats non examinés - Seuls les candidats qui n'ont pas encore été évalués passeront à l'étape ou aux étapes suivantes.
    4. Évalués marqués comme « Don't Know » - Seuls les évalués marqués comme « Don't Know » passent à la ou les phases suivantes.
    5. Tout le monde passe à la phase suivante si vous souhaitez que toutes les étapes des réviseurs fassent une décision.

14. Passez à l’onglet Paramètres et terminez le reste des paramètres et créez la révision. Suivez les instructions dans Suivant : Paramètres.

Inclure les utilisateurs et les équipes de connexion directe B2B qui accèdent à des canaux partagés Teams dans les révisions d’accès

Vous pouvez créer des révisions d’accès pour les utilisateurs de la connexion directe B2B via des canaux partagés dans Microsoft Teams. Lorsque vous collaborez en externe, vous pouvez utiliser les révisions d'accès Microsoft Entra pour vous assurer que l'accès externe aux canaux partagés reste à jour. Les utilisateurs externes dans les canaux partagés sont appelés utilisateurs de connexion directe B2B. Pour en savoir plus sur les canaux partagés Teams et les utilisateurs de connexion directe B2B, lisez l’article sur la connexion directe B2B .

Lorsque vous créez une révision d’accès pour une équipe avec des canaux partagés, vos réviseurs peuvent passer en revue les besoins continus d’accès de ces utilisateurs externes et Teams dans les canaux partagés. Vous pouvez passer en revue l’accès des utilisateurs de connexion B2B et d’autres utilisateurs de collaboration B2B et des utilisateurs non B2B internes dans la même révision.

Remarque

Actuellement, les utilisateurs et les équipes de connexion directe B2B sont uniquement inclus dans les révisions en une seule étape. Si les révisions en plusieurs étapes sont activées, les utilisateurs et les équipes de connexion directe B2B ne sont pas inclus dans la révision d’accès.

Les utilisateurs et les équipes de connexion directe B2B sont inclus dans les révisions d’accès du groupe de Microsoft 365 avec Teams dont les canaux partagés font partie. Pour créer la révision, vous devez disposer au moins du rôle Administrateur d’utilisateurs ou Administrateur de gouvernance des identités.

Utilisez les instructions suivantes pour créer une révision d’accès pour une équipe avec des canaux partagés :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de gouvernance des identités au moins.

2. Accédez à la gouvernance des identités>Examens d'accès.

3. Sélectionnez + Nouvelle révision d’accès.

4. Sélectionnez Teams + Groupes , puis sélectionnez Sélectionner des équipes + groupes pour définir l’étendue révision. Les utilisateurs et les équipes de connexion directe B2B ne sont pas inclus dans les révisions de tous les groupes Microsoft 365 avec des utilisateurs invités.

5. Sélectionnez une équipe qui a des canaux partagés avec 1 ou plusieurs utilisateurs de connexion directe B2B ou Teams.

6. Définissez l’étendue.

   

   • Choisissez tous les utilisateurs à inclure :
     • Tous les utilisateurs internes
     • Les utilisateurs de collaboration B2B membres de l’équipe
     • Utilisateurs de connexion directe B2B
     • Les équipes qui accèdent aux canaux partagés
   • Vous pouvez également choisir uniquement les utilisateurs invités pour inclure uniquement les utilisateurs de connexion directe B2B et les utilisateurs Teams et B2B Collaboration.

7. Passez à l’onglet Révisions . Sélectionnez un réviseur pour terminer la révision, puis spécifiez la durée et la périodicité de révision.

   Remarque

   • Si vous définissez Sélectionner des réviseurs sur Les utilisateurs passent en revue leur propre accès ou Gestionnaires d’utilisateurs, les utilisateurs B2B direct connect et Teams ne pourront pas passer en revue leur propre accès dans votre tenant. Le propriétaire de l’équipe en cours d’examen reçoit un e-mail qui demande au propriétaire de passer en revue l’utilisateur de connexion directe B2B et Teams.
   • Si vous sélectionnez Gestionnaires d’utilisateurs, un réviseur de secours sélectionné passe en revue un utilisateur sans responsable dans le locataire domestique. Cela comprend les utilisateurs de la connexion directe B2B et Teams sans responsable.

8. Accédez à l’onglet Paramètres et configurez des paramètres supplémentaires. Accédez ensuite à l’onglet Révision et Créer pour démarrer votre révision d’accès. Pour plus d’informations sur la création d’une révision et des paramètres de configuration, consultez notre article Créer une révision d’accès en une seule étape.

Autoriser les propriétaires de groupes à créer et à gérer des révisions d’accès de leurs groupes

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de gouvernance des identités au moins.

2. Accédez à la gouvernance d’ID>les révisions d’accès>paramètres.

3. Sur la page Délégué qui peut créer et gérer des révisions d’accès, réglez Les propriétaires de groupes peuvent créer et gérer des révisions d’accès pour les groupes qu'ils possèdent sur Oui.

   

   Remarque

   Par défaut, le paramètre est défini sur Non. Pour permettre aux propriétaires de groupe de créer et de gérer les révisions d’accès, remplacez le paramètre par Oui.

Créer une révision d’accès par programmation

Vous pouvez également créer une révision d’accès à l’aide de Microsoft Graph ou PowerShell.

Pour créer une révision d’accès à l’aide de Graph, appelez l’API Graph pour créer une définition de planification de révision d’accès. L’appelant doit être un utilisateur dans un rôle approprié avec une application disposant de la permission AccessReview.ReadWrite.All déléguée, ou une application disposant de l’autorisation d’application AccessReview.ReadWrite.All. Pour plus d’informations, consultez la vue d’ensemble des API de révision d’accès et les didacticiels sur la façon de passer en revue les membres d’un groupe de sécurité ou de passer en revue les invités dans les groupes Microsoft 365.

Vous pouvez également créer une révision d’accès dans PowerShell avec l’applet de commande New-MgIdentityGovernanceAccessReviewDefinition du module Microsoft Graph PowerShell cmdlets pour Identity Governance. Pour plus d’informations, consultez les exemples.

Quand une révision d’accès démarre

Une fois que vous avez spécifié les paramètres d’une révision d’accès et que vous l’avez créé, la révision d’accès apparaît dans votre liste avec un indicateur de son état.

Par défaut, Microsoft Entra ID envoie un e-mail aux réviseurs peu de temps après le début d’une révision unique ou de la répétition d’une révision récurrente. Si vous choisissez de ne pas laisser Microsoft Entra ID envoyer l'e-mail, assurez-vous d'informer les réviseurs qu'une révision d'accès les attend. Vous pouvez leur montrer les instructions permettant de passer en revue l’accès aux groupes ou aux applications. Si votre avis est destiné aux invités à passer en revue leur propre accès, affichez-leur les instructions permettant de passer en revue l’accès pour vous-même aux groupes ou aux applications.

Si vous avez attribué des invités en tant que réviseurs et qu’ils n’ont pas accepté leur invitation au locataire, ils ne recevront pas d’e-mail concernant les révisions d’accès. Ils doivent d’abord accepter l’invitation avant de pouvoir commencer les révisions.

Mettre à jour la révision d’accès

Après le lancement d’une ou de plusieurs révisions d’accès, vous souhaiterez peut-être modifier ou mettre à jour les paramètres de vos révisions d’accès existantes. Voici quelques scénarios courants à prendre en compte :

• Mettez à jour les paramètres ou les réviseurs : Si une révision d’accès est périodique, il existe des paramètres distincts sous Current et under Series. La mise à jour des paramètres ou des réviseurs sous Current applique uniquement les modifications apportées à la révision d’accès actuelle. La mise à jour des paramètres sous Série met à jour les paramètres pour toutes les périodicités futures.

  

• Ajoutez et supprimez des réviseurs : Lorsque vous mettez à jour les révisions d’accès, vous pouvez choisir d’ajouter un réviseur de secours en plus du réviseur principal. Les réviseurs principaux peuvent être supprimés lorsque vous mettez à jour une révision d’accès. Les réviseurs de secours ne peuvent, par définition, pas être supprimés.

  Remarque

  Les réviseurs de secours ne peuvent être ajoutés que lorsque le type de réviseur est « manager » ou « propriétaire de groupe ». Des réviseurs principaux peuvent être ajoutés lorsque le type de réviseur est « utilisateur sélectionné ».

• Rappelez aux réviseurs : Lorsque vous mettez à jour les révisions d’accès, vous pouvez choisir d’activer l’option Rappels sous Paramètres avancés. Les utilisateurs reçoivent ensuite une notification par e-mail à la moitié de la période de révision, qu’ils aient terminé la révision ou non.

  

Remarque

Une fois la révision d’accès lancée, vous pouvez utiliser l’appel d’API contactedReviewers pour afficher la liste de tous les réviseurs avertis, ou qui seraient si les notifications sont désactivées, par e-mail pour une révision d’accès. Horodatages pour les moments où ces utilisateurs ont été avertis sont également fournis.

Remarque

Les groupes et les utilisateurs d’une unité administrative de gestion restreinte ne peuvent pas être gérés avec les fonctionnalités de gouvernance d’ID Microsoft Entra, telles que les révisions d’accès.

Étapes suivantes

• Effectuer une révision d’accès des groupes ou des applications
• Créer un examen d'accès de PIM pour les groupes (aperçu)
• Passer en revue l’accès aux groupes ou aux applications
• Passer en revue l’accès pour vous-même aux groupes ou aux applications
• Créer une révision d’accès des ressources Azure et des rôles Microsoft Entra dans PIM