Partager via

Attribuer l'appartenance et la propriété de groupes éligibles dans les packages d'accès via Gestion des Identités Privilégiées pour les Groupes (Aperçu)

En tant que gestionnaire de package d’accès, vous pouvez attribuer le rôle que vous souhaitez fournir à un utilisateur pour un groupe au sein d’un package d’accès. En gérant des groupes avec Privileged Identity Management (PIM), vous pouvez améliorer la sécurité en désignant que l'accès de groupe se fait juste-à-temps. Cet article explique comment activer PIM pour un groupe, ajouter le groupe à un package d’accès et vérifier que les affectations éligibles sont disponibles.

Conditions préalables

Cette fonctionnalité nécessite des licences Microsoft Entra ID Governance ou Microsoft Entra Suite. Pour trouver la licence adaptée à vos besoins, consultez Principes fondamentaux des licences de gouvernance des ID Microsoft Entra.

Créer un groupe

Cette section vous guide tout au long de la création du groupe que vous activez pour être géré par PIM. Si vous avez déjà créé le groupe que vous souhaitez gérer par PIM, passez à Activer la gestion du groupe avec PIM.

Pour créer un groupe, procédez comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur d’utilisateurs.

  2. Accédez à Entra ID>Groupes>Tous les groupes.

  3. Cliquez sur Nouveau groupe.

  4. Donnez au groupe un nom et une description, puis terminez les autres options requises :

    • Type de groupe : Sécurité
    • Type d’appartenance : Sélectionnez Affecté. Image de la création du groupe pour le package d’accès.

  5. Cliquez sur Créer.

Activer la gestion du groupe avec PIM

Pour activer la gestion PIM pour le groupe, procédez comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Gouvernance des identités>Gestion des identités privilégiées>Groupes.

  3. Sélectionnez Découvrir les groupes, puis sélectionnez un groupe que vous souhaitez placer sous gestion avec PIM.

  4. Sélectionnez Gérer les groupes, puis OK.

  5. Sélectionnez Groupes pour revenir à la liste des groupes activés dans PIM pour les groupes et notez que le groupe que vous avez ajouté figure maintenant dans la liste. Capture d’écran des groupes gérés par la liste PIM.

Important

Une fois qu’un groupe est géré, il ne peut pas être supprimé de la gestion. Cela empêche tout autre administrateur de ressources de supprimer des paramètres de PIM. Si un groupe est supprimé de Microsoft Entra ID, il peut falloir jusqu'à 24 heures pour que le groupe soit supprimé de l'option PIM pour groupes.

Ajouter la ressource à un package d’accès

Une fois la ressource gérée par PIM, les rôles éligibles peuvent être ajoutés en tant qu’attribution de rôle dans un package d’accès. Pour vérifier cela, procédez comme suit :

  1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’administrateur de la gouvernance des identités au minimum.

    Conseil / Astuce

    Les autres rôles les moins privilégiés qui peuvent effectuer cette tâche incluent le propriétaire du catalogue et le gestionnaire de package Access.

  2. Accédez à Gouvernance des identifiants>Gestion des droits>Package d'accès.

  3. Dans la page Packages Access , ouvrez le package d’accès auquel vous souhaitez ajouter des rôles de ressources.

  4. Dans le menu de gauche, sélectionnez Rôles de ressource.

  5. Sélectionnez Ajouter des rôles de ressources pour ouvrir la page Ajouter des rôles de ressources pour accéder à la page du package.

  6. Dans la page rôles de ressource, sélectionnez Groupes et Teams.

  7. Sélectionnez le groupe que vous souhaitez ajouter et, sous les rôles, vérifiez que vous pouvez attribuer des rôles actifs et éligibles. Après avoir choisi le rôle, sélectionnez Suivant. Capture d’écran de la liste des rôles éligibles pour un groupe.

  8. Une fois que vous avez terminé de renseigner les informations sur les demandes requises, accédez au cycle de vie.

  9. Vérifiez que la période d’expiration du package d’accès ne dépasse pas le réglage Expire les affectations éligibles après dans le groupe géré par PIM.

Remarque

Si une période d’expiration du package d’accès dépasse le paramètre de stratégie « Expirer les affectations éligibles après » dans le groupe managé PIM, cela peut entraîner des différences entre la gestion des droits d’utilisation et Privileged Identity Management, ce qui entraîne la perte d’accès des utilisateurs pendant que EM indique qu’ils sont toujours affectés. Pour plus d’informations, consultez : Utilisation de groupes gérés par Privileged Identity Management avec référence sur les packages d’accès.

Étapes suivantes