Modifier les paramètres de demande d'un package d'accès dans la fonctionnalité de gestion des droits d'utilisation.

Si vous êtes gestionnaire de package d’accès, vous pouvez modifier la liste des utilisateurs autorisés à demander un package d’accès à tout moment, en modifiant une stratégie existante pour les demandes d’attribution d’un package d’accès ou en ajoutant une nouvelle stratégie au package d’accès. Cet article explique comment modifier les paramètres de demande pour une stratégie d’attribution de package d’accès existante.

Choisir entre une ou plusieurs stratégies

Pour choisir les personnes autorisées à demander un package d'accès, utilisez une stratégie. Avant de créer une nouvelle stratégie ou de modifier une stratégie existante dans un package d'accès, vous devez déterminer le nombre de stratégies dont le package d'accès a besoin.

Lorsque vous créez un package d’accès, vous pouvez spécifier les paramètres de demande, d’approbation et de cycle de vie qui sont stockés sur la première stratégie du package d’accès. La plupart des packages d’accès sont associés à une seule stratégie pour les utilisateurs demandeurs d’un accès, mais un même package d’accès peut avoir plusieurs stratégies associées. Vous pouvez créer plusieurs stratégies pour un package d'accès si vous souhaitez permettre à différents groupes d'utilisateurs de se voir attribuer des affectations avec différents paramètres de requête et d’approbation.

Par exemple, une stratégie unique ne permet pas d’affecter des utilisateurs internes et externes à un même package d'accès. En revanche, vous pouvez créer deux stratégies dans un même package d'accès, une pour les utilisateurs internes et une autre pour les utilisateurs externes. Si plusieurs stratégies s’appliquent à un utilisateur ou à une requête, l’utilisateur sera invité, au moment de sa requête, à sélectionner la stratégie à laquelle il souhaite être affecté. Le diagramme suivant montre un package d’accès avec deux stratégies.

Diagram that illustrates multiple policies, along with multiple resource roles, can be contained within an access package.

Outre les stratégies permettant aux utilisateurs de demander l’accès, vous pouvez avoir des stratégies d’affectation automatique et des stratégies pour l’affectation directe par les administrateurs ou les propriétaires de catalogue.

De combien de stratégies ai-je besoin ?

Scénario Nombre de stratégies
Je souhaite que tous les utilisateurs de mon annuaire aient les mêmes paramètres de demande et d’approbation pour un package d’accès Une
Je souhaite que tous les utilisateurs de certaines organisations connectées puissent demander un package d’accès Une
Je souhaite autoriser les utilisateurs de mon annuaire et également les utilisateurs en dehors de mon annuaire à demander un package d’accès Deux
Je souhaite spécifier différents paramètres d’approbation pour certains utilisateurs Un pour chaque groupe d’utilisateurs
Je veux que certains utilisateurs accèdent aux affectations de packages d’accès qui expirent alors que d’autres utilisateurs peuvent étendre leur accès Un pour chaque groupe d’utilisateurs
Je souhaite que certains utilisateurs demandent l’accès et que d’autres utilisateurs obtiennent l’accès par un administrateur Deux
Je souhaite que certains utilisateurs de mon organisation obtiennent automatiquement l’accès, que d’autres utilisateurs de mon organisation puissent demander l’accès, et que d’autres utilisateurs se voient attribuer l’accès par un administrateur Trois

Pour plus d’informations sur la logique de priorité utilisée lorsque plusieurs stratégies s’appliquent, consultez Stratégies multiples.

Ouvrir un package d’accès existant et ajouter une nouvelle stratégie avec des paramètres de demande différents

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Si vous disposez d’un ensemble d’utilisateurs qui doivent avoir des paramètres de demande et d’approbation différents, vous devrez probablement créer une nouvelle stratégie. Suivez ces étapes pour commencer à ajouter une nouvelle stratégie à un package d'accès existant :

Rôle prérequis : administrateur général, administrateur de la gouvernance des identités, propriétaire de catalogue ou gestionnaire de package d’accès

  1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès.

  3. Dans la page Packages d’accès, ouvrez le package d’accès que vous souhaitez modifier.

  4. Sélectionnez Stratégies, puis Ajouter une stratégie.

  5. Vous commencez par l'onglet Paramètres de base. Entrez un nom et une description pour la stratégie.

    Create policy with name and description

  6. Sélectionnez Suivant pour ouvrir l’onglet Requêtes.

  7. Modifiez le paramètre Utilisateurs pouvant demander l'accès. Suivez les étapes des sections ci-dessous pour définir le paramètre sur l'une des options suivantes :

Pour les utilisateurs dans votre répertoire

Suivez ces étapes si vous souhaitez autoriser les utilisateurs de votre annuaire à demander ce package d’accès. Lors de la définition de la stratégie de demandes, vous pouvez spécifier des utilisateurs individuels ou plus souvent des groupes d’utilisateurs. Par exemple, votre organisation a peut-être déjà un groupe tel que Tous les employés. Si ce groupe est ajouté dans la stratégie pour des utilisateurs qui peuvent demander l’accès, tout membre de ce groupe peut ensuite demander l’accès.

  1. Dans la section Utilisateurs pouvant demander l’accès, cliquez sur Pour les utilisateurs dans votre annuaire.

    Quand vous sélectionnez cette option, de nouvelles options s’affichent pour vous permettre de préciser qui dans votre annuaire peut demander ce package d’accès.

    Access package - Requests - For users in your directory

  2. Sélectionnez l’une des options suivantes :

    Description
    Utilisateurs et groupes spécifiques Choisissez cette option si vous souhaitez que seuls les utilisateurs et les groupes de votre annuaire que vous spécifiez puissent demander ce package d’accès.
    Tous les membres (à l’exclusion des invités) Choisissez cette option si vous souhaitez que tous les utilisateurs membres de votre annuaire puissent demander ce package d’accès. Cette option n’inclut pas les utilisateurs que vous avez invités dans votre annuaire.
    Tous les utilisateurs (y compris les invités) Choisissez cette option si vous souhaitez que tous les utilisateurs membres et les utilisateurs invités de votre annuaire puissent demander ce package d’accès.

    Les utilisateurs invités font référence à des utilisateurs externes qui ont été invités dans votre annuaire avec Microsoft Entra B2B. Pour plus d’informations sur les différences entre les utilisateurs membres et les utilisateurs invités, consultez Quelles sont les autorisations utilisateur par défaut dans Microsoft Entra ID ?.

  3. Si vous avez sélectionné Utilisateurs et groupes spécifiques, cliquez sur Ajouter des utilisateurs et des groupes.

  4. Dans le volet Sélectionnez des utilisateurs et des groupes, sélectionnez les utilisateurs et les groupes à ajouter.

    Access package - Requests - Select users and groups

  5. Cliquez sur Sélectionner pour ajouter les utilisateurs et les groupes.

  6. Si vous souhaitez exiger une approbation, suivez les étapes décrites dans Modifier les paramètres d'approbation d'un package d'accès dans la fonctionnalité de gestion des droits d'utilisation pour configurer les paramètres d'approbation.

  7. Accédez à la section Activer les demandes.

Pour les utilisateurs qui ne sont pas dans votre répertoire

Les utilisateurs absents de votre annuaire sont des utilisateurs qui se trouvent dans un autre annuaire ou domaine Microsoft Entra. Ces utilisateurs n’ont peut-être pas encore été invités dans votre annuaire. Les annuaires Microsoft Entra doivent être configurés pour autoriser les invitations dans Restrictions de collaboration. Pour plus d’informations, consultez Configurer les paramètres de collaboration externe.

Notes

Un compte d’utilisateur invité sera créé pour un utilisateur qui n’est pas encore dans votre répertoire et dont la demande est approuvée ou approuvée automatiquement. L’invité est invité, mais ne recevra pas d’invitation par e-mail. Il recevra un e-mail une fois l’attribution au package d’accès fournie. Par défaut, quand cet utilisateur invité n’a plus aucune attribution de package d’accès (pour cause d’expiration ou d’annulation), son compte ne peut plus se connecter et est supprimé par la suite. Si vous voulez que des utilisateurs invités demeurent indéfiniment dans votre répertoire, même s’ils n’ont plus d’attribution de package d’accès, vous pouvez modifier les paramètres de votre configuration de gestion des droits d’utilisation. Pour plus d’informations sur l’objet utilisateur invité, consultez Propriétés d’un utilisateur Azure Microsoft Entra B2B Collaboration.

Suivez ces étapes si vous souhaitez autoriser les utilisateurs absents de votre annuaire à demander ce package d’accès :

  1. Dans la section Utilisateurs pouvant demander l’accès, cliquez sur Pour les utilisateurs dans votre annuaire.

    Quand vous sélectionnez cette option, de nouvelles options s’affichent.

    Access package - Requests - For users not in your directory

  2. Indiquez si les utilisateurs qui peuvent demander l’accès doivent être affiliés à une organisation connectée existante, ou s’ils peuvent être n’importe qui sur Internet. Une organisation connectée est une organisation avec laquelle vous avez une relation préexistante, qui peut avoir un annuaire Microsoft Entra externe ou un autre fournisseur d’identité. Sélectionnez l’une des options suivantes :

    Description
    Organisations connectées spécifiques Choisissez cette option si vous souhaitez sélectionner parmi une liste d’organisations que votre administrateur a ajoutées précédemment. Tous les utilisateurs des organisations sélectionnées peuvent demander ce package d’accès.
    Toutes les organisations connectées configurées Choisissez cette option si tous les utilisateurs de toutes les organisations connectées configurées peuvent demander ce package d’accès. Seuls les utilisateurs des organisations connectées configurées peuvent demander des packages d’accès. Par conséquent, si un utilisateur ne provient pas d’un locataire, d’un domaine ou d’un fournisseur d’identité Microsoft Entra associé à une organisation connectée existante, il ne pourra pas effectuer la demande.
    Tous les utilisateurs (toutes les organisations connectées + tous les nouveaux utilisateurs externes) Choisissez cette option si un utilisateur sur Internet doit être en mesure de demander ce package d’accès. Si l’utilisateur n’appartient pas à une organisation connectée dans votre annuaire, une organisation connectée est créée automatiquement quand il demande le package. L’organisation connectée créée automatiquement se trouve à l’état proposé. Pour plus d’informations sur l’état proposé, consultez Propriété d’état des organisations connectées.
  3. Si vous avez sélectionné Organisations connectées spécifiques, cliquez sur Ajouter des annuaires pour effectuer une sélection parmi une liste d’organisations connectées que votre administrateur a ajoutées précédemment.

  4. Tapez le nom ou le nom de domaine pour rechercher une organisation précédemment connectée.

    Access package - Requests - Select directories

    Si l’organisation avec laquelle vous souhaitez collaborer ne figure pas dans la liste, vous pouvez demander à votre administrateur de l’ajouter en tant qu’organisation connectée. Pour plus d’informations, voir Ajouter une organisation connectée.

  5. Une fois que vous avez sélectionné toutes les organisations connectées, cliquez sur Sélectionner.

    Notes

    Tous les utilisateurs des organisations connectées sélectionnées peuvent demander ce package d’accès. Pour une organisation connectée avec un annuaire Microsoft Entra, les utilisateurs de tous les domaines vérifiés associés à l’annuaire Microsoft Entra peuvent le demander, sauf si ces domaines sont bloqués par la liste d’autorisation ou de refus Azure B2B. Pour plus d’informations, consultez Autoriser ou bloquer des invitations aux utilisateurs B2B à partir d’organisations spécifiques.

  6. Ensuite, suivez les étapes décrites dans Modifier les paramètres d’approbation d’un package d’accès dans la fonctionnalité de gestion des droits d’utilisation pour configurer les paramètres d’approbation afin de spécifier qui doit approuver les demandes d’utilisateurs qui ne font pas partie de votre organisation.

  7. Accédez à la section Activer les demandes.

Aucune (attributions direct administrateur uniquement)

Effectuez ces étapes si vous souhaitez contourner les demandes d’accès et autoriser les administrateurs à attribuer directement des utilisateurs spécifiques à ce package d’accès. Les utilisateurs n’auront pas à demander le package d’accès. Vous pouvez toujours définir des paramètres de cycle de vie, mais il n’y a aucun paramètre de demande.

  1. Dans la section Utilisateurs pouvant demander l’accès, cliquez sur Aucune (attributions direct administrateur uniquement).

    Access package - Requests - None administrator direct assignments only

    Après avoir créé le package d’accès, vous pouvez directement attribuer des utilisateurs internes et externes spécifiques à ce package d’accès. Si vous spécifiez un utilisateur externe, un compte d’utilisateur invité est créé dans votre répertoire. Pour plus d’informations sur l’attribution directe d’un utilisateur, voir Afficher, ajouter et supprimer les attributions pour un package d’accès.

  2. Passez à la section Activer les demandes.

Notes

Lorsque vous affectez des utilisateurs à un package d’accès, les administrateurs doivent vérifier que les utilisateurs sont éligibles à ce package d’accès en fonction des exigences de stratégie existantes. Dans le cas contraire, les utilisateurs ne seront pas affectés au package d’accès. Si le package d’accès contient une stratégie qui exige que les demandes de l’utilisateur soient approuvées, les utilisateurs ne peuvent pas être directement attribués au package sans l’approbation nécessaire des approbateurs désignés.

Ouvrir et modifier les paramètres de demande d’une stratégie existante

Pour modifier les paramètres de demande et d’approbation d’un package d’accès, vous devez ouvrir la stratégie correspondante qui a ces paramètres. Effectuez ces étapes si vous souhaitez ouvrir et modifier les paramètres de demande définis pour une stratégie d’attribution d’un package d’accès :

Rôle prérequis : administrateur général, administrateur de la gouvernance des identités, propriétaire de catalogue ou gestionnaire de package d’accès

  1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès.

  3. Dans la page Packages d’accès, ouvrez le package d’accès dont vous souhaitez modifier les paramètres de demande de stratégie.

  4. Sélectionnez Stratégies, puis cliquez sur la stratégie que vous souhaitez modifier.

    Le volet Détails de la stratégie s'ouvre au bas de la page.

    Access package - Policy details pane

  5. Sélectionnez Modifier pour modifier la stratégie.

    Access package - Edit policy

  6. Sélectionnez l'onglet Demandes pour ouvrir les paramètres de demande.

  7. Suivez les étapes des sections précédentes pour modifier les paramètres de demande en fonction de vos besoins.

  8. Accédez à la section Activer les demandes.

Activer les demandes

  1. Si vous souhaitez que le package d’accès soit immédiatement disponible afin d’être demandé par les utilisateurs dans la stratégie de demandes, déplacez le bouton bascule Activer sur Oui.

    Vous pouvez toujours l’activer plus tard, après avoir créé le package d’accès.

    Si vous avez sélectionné Aucun (attributions directes d’administrateur uniquement) et que vous affectez la valeur No à Activer, les administrateurs ne pourront pas attribuer directement ce package d’accès.

    Access package - Policy- Enable policy setting

  2. Cliquez sur Suivant.

  3. Si vous souhaitez exiger que les demandeurs fournissent des informations supplémentaires lors de la demande d'accès à un package d'accès, utilisez les étapes fournies dans Modifier les paramètres d'approbation et d'informations sur le demandeur d'un package d'accès dans la fonctionnalité de gestion des droits d'utilisation pour configurer les informations du demandeur.

  4. Configurez les paramètres de cycle de vie.

  5. Si vous modifiez une stratégie, cliquez sur Mettre à jour. Si vous ajoutez une nouvelle stratégie, cliquez sur Créer.

Création d’une stratégie d’affectation de package d’accès par programmation

Il existe deux façons de créer une stratégie d’attribution de package d’accès par programme : par Microsoft Graph et par le biais des applets de commande PowerShell pour Microsoft Graph.

Création d’une stratégie d’affectation de package d’accès par Graph

Vous pouvez créer une stratégie à l’aide de Microsoft Graph. Un utilisateur ayant un rôle approprié avec une application disposant de l’autorisation déléguée EntitlementManagement.ReadWrite.All, ou une application dans un rôle de catalogue ou avec l’autorisation EntitlementManagement.ReadWrite.All, peut appeler l’API de création d’une stratégie assignmentPolicy.

Création d’une stratégie d’affectation de package d’accès par PowerShell

Vous pouvez également créer un package d’accès dans PowerShell avec les cmdlets issue du module Microsoft Graph PowerShell pour la gouvernance des identités version 2.1.x ou d’une version de module ultérieure.

Ce script ci-dessous illustre la création d’une stratégie d’affectation directe à un package d’accès. Dans cette stratégie, seul l’administrateur peut attribuer l’accès, et il n’y a pas d’approbations ou de révisions d’accès. Pour plus d’exemples, consultez la section Créer une stratégie d’affectation automatique pour obtenir un exemple de création d’une stratégie d’affectation automatique et créer une stratégie assignmentPolicy.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"

$params = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $apid
    }
}

New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params

Empêcher les demandes des utilisateurs dont l’accès est incompatible

Outre les vérifications de stratégie portant sur les personnes autorisées à effectuer des demandes, vous pouvez restreindre davantage l'accès afin d'éviter qu'un utilisateur qui dispose déjà d'un accès (par le biais d'un groupe ou d'un autre package d'accès) ne bénéficie d'un accès excessif.

Si, dans le cadre de votre configuration, vous souhaitez empêcher un utilisateur de demander un package d'accès, s'il est déjà affecté à un autre package d'accès ou s'il est membre d'un groupe, suivez la procédure décrite dans Configurer les vérifications de séparation des tâches pour un package d'accès.

Étapes suivantes