Partager via

Effectuer une révision d’accès aux ressources Azure et aux rôles Microsoft Entra dans PIM

Les administrateurs de rôles privilégiés peuvent passer en revue l’accès privilégié une fois qu’une révision d’accès démarre. Privileged Identity Management (PIM) dans Microsoft Entra ID envoie automatiquement un e-mail qui invite les utilisateurs à réviser leur accès. Si un utilisateur ne reçoit pas d’e-mail, vous pouvez lui envoyer les instructions permettant d’effectuer une révision d’accès.

Une fois la révision créée, suivez les étapes de cet article pour terminer la révision et voir les résultats.

Terminer des révisions d’accès

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’utilisateur affecté à un ou plusieurs rôles prérequis.

  2. Accédez à ID Governance>Privileged Identity Management.

  3. Pour les rôles Microsoft Entra, sélectionnez rôles Microsoft Entra. Pour les ressources Azure, sélectionnez ressources Azure

  4. Sélectionnez la révision d’accès que vous souhaitez gérer. Vous trouverez ci-dessous un exemple de capture d’écran de la vue d’ensemble des révisions d’accès pour les ressources Azure et les rôles Microsoft Entra.

    Liste des révisions d’accès montrant le rôle, le propriétaire, la date de début, la date de fin et la capture d’écran d’état.

Dans la page de détails, les options suivantes sont disponibles pour gérer la révision des ressources Azure et des rôles Microsoft Entra :

Options de gestion d’une révision dans les ressources Azure - Arrêter, Réinitialiser, Appliquer, Supprimer capture d’écran.

Arrêter une révision d’accès

Toutes les révisions d’accès ont une date de fin, mais vous pouvez utiliser le bouton Arrêter pour le terminer tôt. Le bouton Arrêter est sélectionnable uniquement lorsque l’instance de révision est active. Vous ne pouvez pas redémarrer une révision une fois qu’elle a été arrêtée.

Rétablir une révision d’accès

Lorsque l’instance de révision est active et qu’au moins une décision a été prise par les réviseurs, vous pouvez réinitialiser la révision d’accès en sélectionnant le bouton Réinitialiser pour supprimer toutes les décisions prises dessus. Une fois la révision d’accès réinitialisée, tous les utilisateurs sont à nouveau marqués comme non révisés.

Appliquer une révision d’accès

Une fois qu’une révision d’accès est terminée, soit parce que vous avez atteint la date de fin, soit parce que vous l'avez arrêtée manuellement, le bouton Appliquer supprime l'accès des utilisateurs auxquels l'accès a été refusé au rôle. Si l’accès d’un utilisateur a été refusé lors de la révision, cette étape supprime son attribution de rôle. Si le paramètre d’application automatique est configuré lors de la création de la révision, ce bouton est toujours désactivé, car la révision est appliquée automatiquement au lieu de manuellement.

Supprimer une révision d’accès

Si vous n’êtes plus intéressé par la révision, supprimez-la. Pour supprimer la révision d’accès du service Privileged Identity Management, sélectionnez le bouton Supprimer .

Important

Vous ne serez pas obligé de confirmer cette modification destructrice, donc vérifiez que vous souhaitez supprimer cette révision.

Résultats

Dans la page Résultats , vous pouvez afficher et télécharger une liste de vos résultats de révision.

Page des résultats énumérant les utilisateurs, les résultats, la raison, examinés par, appliqués par et résultat de l'application dans la capture d'écran des rôles de Microsoft Entra.

Remarque

Les rôles Microsoft Entra ont un concept de groupes assignables de rôles, où un groupe peut être affecté au rôle. Dans ce cas, le groupe apparaîtra dans la révision au lieu de développer les membres du groupe, et un réviseur approuvera ou refusera le groupe entier.

Page des résultats répertoriant les utilisateurs, le résultat, la raison, examiné par, appliqué par et le résultat de l'application pour la capture d’écran des rôles de ressources Azure.

Remarque

Si un groupe est affecté aux rôles de ressources Azure, le réviseur du rôle de ressource Azure voit la liste développée des utilisateurs d’un groupe imbriqué. Si un réviseur refuse un membre d’un groupe imbriqué, le résultat de ce refus ne sera pas appliqué correctement, car l’utilisateur n’est pas supprimé du groupe imbriqué.

Réviseurs

Dans la page Réviseurs , vous pouvez afficher et ajouter des réviseurs à votre révision d’accès existante. Vous pouvez également rappeler aux réviseurs de terminer leurs révisions ici.

Remarque

Si le type de réviseur sélectionné est un utilisateur ou un groupe, vous pouvez à tout moment ajouter d’autres utilisateurs ou d’autres groupes comme réviseurs principaux. Vous pouvez également supprimer des réviseurs principaux à tout moment. Si le type de réviseur est Manager, vous pouvez ajouter des utilisateurs ou des groupes en tant que réviseurs de secours pour terminer les révisions des utilisateurs qui n’ont pas de manager. Les réviseurs de secours ne peuvent pas être supprimés.

Capture d’écran de l’énumération du nom et du nom principal de l'utilisateur sur la page Réviseurs des rôles de ressources Azure.

Étapes suivantes