Partager via

Utilisation de groupes gérés par Privileged Identity Management avec des packages d’accès

Cet article contient des informations sur le comportement de l’ID Microsoft Entra dans les scénarios où un groupe géré par PIM et les périodes d’expiration du package d’accès diffèrent. En affectant un groupe géré par PIM à un package d’accès, vous pouvez attribuer des rôles éligibles lorsqu’un package d’accès est demandé. Si vous recherchez un guide pratique sur la configuration d’un groupe afin d'attribuer des rôles admissibles via des packages d’accès, consultez : Affecter l’appartenance et la propriété de groupe admissibles dans les packages d’accès via Privileged Identity Management for Groups (Préversion).

Expiration du package d’accès plus court

Lorsque la date d'expiration d'un lot d'accès est plus courte que la durée indiquée par PIM pour « Expirer les affectations éligibles après », l'affectation PIM expire lorsque le lot d'accès expire.

Exemple :

Expiration de l'affectation de la stratégie d'ensemble d'accès Durée maximale d’affectation de la politique PIM Comportement de Microsoft Entra ID
30 jours 365 jours La gestion des droits d’utilisation définit une expiration de 365 jours sur l’affectation PIM lorsque l’attribution de stratégie d’accès est créée, mais supprime l’attribution PIM après l’expiration de l’attribution de stratégie d’accès après 30 jours.

Durée PIM plus courte

Lorsque la durée PIM « Expirer les affectations éligibles après » expire avant l’attribution du package d’accès, l’accès est révoqué à l’expiration de l’affectation PIM, indépendamment de la date d’expiration du package d’accès.

Exemple :

Expiration de l'affectation de la stratégie d'ensemble d'accès Durée maximale d’affectation de la politique PIM Comportement de Microsoft Entra ID
180 jours 40 jours La gestion des droits d’utilisation fixe une expiration de 40 jours pour l’affectation PIM lors de la création de l'attribution de politique d’accès. Le jour 41, bien que le package d’accès soit toujours affecté, l’accès est révoqué.

Affectation permanente du package d’accès

Si l’attribution de package Access est permanente, l’accès est révoqué en fonction de l’expiration de l’affectation PIM « Expirer les affectations éligibles après ».

Exemple :

Expiration de l'affectation de la stratégie d'ensemble d'accès Durée maximale de l’affectation de politique PIM Comportement de Microsoft Entra ID
Aucun (autorisation permanente) 40 jours La gestion des droits d’utilisation fixe une expiration de 40 jours pour l’affectation PIM lors de la création de l'attribution de politique d’accès. Le jour 41, bien que le package d’accès soit toujours affecté, l’accès est révoqué.

Affectation PIM permanente

Lorsque l’affectation PIM « Expirer les affectations éligibles après » est permanente, elle est supprimée uniquement lorsque l’attribution de package d’accès expire.

Exemple :

Expiration de l'affectation de la stratégie d'ensemble d'accès Durée maximale de l’affectation de politique PIM Comportement de Microsoft Entra ID
60 jours Aucun (autorisation permanente) La gestion des droits d’utilisation crée l’attribution PIM et la définit de façon permanente sur l’attribution de stratégie de package d’accès. L'accès est révoqué le 61ème jour après l'expiration de l'attribution de la politique de paquet d'accès.

Package d’accès permanent et affectation PIM

Si le package d’accès et les affectations PIM "Expirer les affectations éligibles après" sont tous deux permanents, l’affectation PIM demeure tant que l’affectation du package d'accès.

Exemple :

Expiration de l'affectation de la stratégie d'ensemble d'accès Durée maximale de l’affectation de politique PIM Comportement de Microsoft Entra ID
Aucun (autorisation permanente) Aucun (autorisation permanente) La gestion des droits d’utilisation crée et configure l’affectation PIM de manière permanente. L’attribution PIM est supprimée uniquement si l’attribution de package d’accès est supprimée par d’autres méthodes, telles qu’une demande de suppression.

Contenu connexe