Effectuer une révision d’accès aux ressources Azure et aux rôles Microsoft Entra dans PIM
Les Administrateurs de rôle privilégié peuvent réviser l’accès privilégié une fois qu’une révision d’accès a commencé. Privileged Identity Management (PIM) dans Microsoft Entra ID envoie automatiquement un e-mail qui invite les utilisateurs à réviser leur accès. Si un utilisateur ne reçoit pas d’e-mail, vous pouvez lui envoyer les instructions relatives à l’exécution d’une révision d’accès.
Une fois la révision créée, suivez les étapes de cet article pour terminer la révision et voir les résultats.
Terminer des révisions d’accès
Conseil
Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’utilisateur affecté à l’un des rôles prérequis.
Accédez à Gouvernance des identités>Privileged Identity Management.
Pour les rôles Microsoft Entra, sélectionnez Rôles Microsoft Entra. Pour les ressources Azure, sélectionnez Ressources Azure
Sélectionnez la révision d’accès que vous souhaitez gérer. Vous trouverez ci-dessous un exemple de capture d’écran de la vue d’ensemble Révisions d’accès pour les ressources Azure et les rôles Microsoft Entra.
Sur la page de détails, les options suivantes sont disponibles pour la gestion de la révision des ressources Azure et des rôles Microsoft Entra :
Arrêter une révision d’accès
Toutes les révisions d’accès ont une date de fin, mais vous pouvez utiliser le bouton Arrêter pour les terminer plus tôt. Le bouton Arrêter est sélectionnable uniquement lorsque l’instance de révision est active. Vous ne pouvez pas redémarrer une révision une fois qu’elle a été arrêtée.
Rétablir une révision d’accès
Lorsque l’instance de révision est active et qu’au moins une décision a été prise par les réviseurs, vous pouvez rétablir la révision d’accès en sélectionnant le bouton Rétablir pour supprimer toutes les décisions qui ont été prises à son sujet. Une fois la révision d’accès réinitialisée, tous les utilisateurs sont à nouveau marqués comme non révisés.
Appliquer une révision d’accès
Lorsqu’une révision d’accès est terminée, soit parce que vous avez atteint la date de fin, soit parce que vous l’avez arrêtée manuellement, le bouton Appliquer supprime l’accès des utilisateurs auxquels l’accès au rôle a été refusé. Si l’accès d’un utilisateur a été refusé lors de la révision, cette étape supprime son attribution de rôle. Si le paramètre Application automatique est configuré lors de la création de la révision, ce bouton sera toujours désactivé, car la révision sera appliquée automatiquement et non manuellement.
Supprimer une révision d’accès
Si vous n’êtes plus intéressé par la révision, supprimez-la. Pour supprimer la révision d’accès du service Privileged Identity Management, sélectionnez le bouton Supprimer.
Important
Vous ne serez pas obligé de confirmer cette modification destructrice, donc vérifiez que vous souhaitez supprimer cette révision.
Résultats
Sur la page Résultats, vous pouvez afficher et télécharger la liste des résultats de votre révision.
Remarque
Les rôles Microsoft Entra ont un concept de groupes assignables à un rôle, où un groupe peut être affecté au rôle. Dans ce cas, le groupe apparaîtra dans la révision au lieu de développer les membres du groupe, et un réviseur approuvera ou refusera le groupe entier.
Notes
Si un groupe est affecté à des rôles de ressources Azure, le réviseur du rôle de ressources Azure verra la liste développée des utilisateurs d’un groupe imbriqué. Si un réviseur refuse un membre d’un groupe imbriqué, le résultat de ce refus ne sera pas appliqué correctement, car l’utilisateur n’est pas supprimé du groupe imbriqué.
Réviseurs
Sur la page Réviseurs, vous pouvez visualiser et ajouter des réviseurs à votre révision d’accès existante. Vous pouvez également rappeler aux réviseurs de terminer leurs révisions ici.
Notes
Si le type de réviseur sélectionné est un utilisateur ou un groupe, vous pouvez à tout moment ajouter d’autres utilisateurs ou d’autres groupes comme réviseurs principaux. Vous pouvez également supprimer des réviseurs principaux à tout moment. Si le type de réviseur est Manager, vous pouvez ajouter des utilisateurs ou des groupes en tant que réviseurs de secours pour terminer les révisions des utilisateurs qui n’ont pas de manager. Les réviseurs de secours ne peuvent pas être supprimés.