Créer une révision d’accès des rôles de ressources Azure et des rôles Microsoft Entra dans PIM

La nécessité pour vos utilisateurs d’accéder aux ressources Azure privilégiées et aux rôles Microsoft Entra évolue au fil du temps. Pour réduire les risques associés aux attributions de rôles obsolètes, vous devez vérifier les accès régulièrement. Vous pouvez utiliser Microsoft Entra Privileged Identity Management (PIM) pour créer des révisions d’accès pour l’accès privilégié aux rôles de ressources Azure et Microsoft Entra. Vous pouvez également configurer des révisions d’accès périodiques qui interviennent automatiquement. Cet article explique comment créer une ou plusieurs révisions d’accès.

Prerequisites

L’utilisation de Privileged Identity Management nécessite des licences. Pour plus d’informations sur les licences, consultez les principes de base de la gouvernance des ID Microsoft Entra .

Pour plus d’informations sur les licences pour PIM, consultez la configuration requise pour utiliser Privileged Identity Management.

Pour créer des révisions d’accès pour les ressources Azure, vous devez être affecté au rôle Propriétaire ou Administrateur d’accès utilisateur pour les ressources Azure. Pour créer des révisions d’accès pour les rôles Microsoft Entra, vous devez disposer au moins du rôle Administrateur de rôle privilégié .

L’utilisation des révisions d’accès pour les principaux de service nécessite un plan Microsoft Entra Workload ID Premium en plus d’une licence Microsoft Entra ID P2 ou Microsoft Entra ID Governance.

• Licences d’identités de charge de travail Premium : vous pouvez voir les licences et en acquérir dans le panneau Identités de charge de travail du centre d'administration Microsoft Entra.

Note

Les révisions d’accès capturent un instantané des accès au début de chaque instance de révision. Toute modification effectuée lors du processus de révision est reflété dans le cycle de révision suivant. En substance, avec le début de chaque nouvelle occurrence, les données pertinentes liées aux utilisateurs, les ressources évaluées et leurs réviseurs respectifs sont récupérées.

Créer des révisions d’accès

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’utilisateur affecté à l’un des rôles requis.

2. Accédez à ID Governance>Privileged Identity Management.

3. Pour les rôles Microsoft Entra, sélectionnez rôles Microsoft Entra. Pour les ressources Azure, sélectionnez ressources Azure

   

4. Pour les rôles Microsoft Entra, sélectionnez à nouveau les rôles Microsoft Entra sous Gérer. Pour les ressources Azure, sélectionnez l’abonnement que vous souhaitez gérer.

5. Sous Gérer, sélectionnez Révisions d’accès, puis Sélectionnez Nouveau pour créer une révision d’accès.

   

6. Nommez la révision d’accès. Si vous le souhaitez, vous pouvez fournir une description de cette révision. Les réviseurs ont accès au nom et à la description de la révision.

   

7. Définissez la date de début . Par défaut, une révision d’accès se produit une seule fois. Elle commence lors de la création et se termine en un mois. Vous pouvez modifier les dates de début et de fin pour que la révision d’accès démarre ultérieurement et dure le nombre de jours souhaité.

   

8. Pour rendre la révision d’accès périodique, modifiez le paramètre Fréquence de Une fois à Hebdomadaire, Mensuelle, Trimestrielle, Annuellement ou Semi-annuellement. Utilisez le curseur de durée ou la zone de texte pour spécifier la durée de révision. Par exemple, la durée maximale d’une révision mensuelle est de 27 jours, ce qui permet d’éviter le chevauchement des révisions.

9. Utilisez le paramètre De fin pour spécifier comment mettre fin à la série de révision d’accès périodique. Les séries accès récurrentes peuvent se terminer de trois façons : elles peuvent s’exécuter de façon continue pour démarrer des révisions indéfiniment, s’exécuter jusqu’à une date spécifique ou s’exécuter jusqu’à ce qu’un nombre défini d’occurrences se soient produites. Vous ou un autre administrateur qui peut gérer les révisions, peut arrêter la série après sa création en modifiant la date dans Paramètres afin qu’elle se termine à cette date.

10. Dans la section Étendue des utilisateurs , sélectionnez l’étendue de la révision. Pour les rôles Microsoft Entra, la première option d’étendue est Utilisateurs et groupes. Les utilisateurs affectés directement et les groupes assignables aux rôles sont inclus dans cette sélection. Pour les rôles de ressources Azure, la première étendue est Utilisateurs. Les groupes affectés aux rôles de ressources Azure sont développés pour afficher les attributions transitives d’utilisateurs dans la révision avec cette sélection. Vous pouvez également sélectionner des « Service Principals » pour examiner les comptes d’ordinateur ayant un accès direct à la ressource Azure ou au rôle Microsoft Entra.

    

11. Vous pouvez également créer des révisions d’accès uniquement pour les utilisateurs inactifs. Dans la section Étendue des utilisateurs, définissez Utilisateurs inactifs (au niveau du locataire) uniquement sur true. Si le bouton bascule est défini sur true, l’étendue de la révision se concentre uniquement sur les utilisateurs inactifs. Ensuite, spécifiez Jours inactifs. Vous pouvez spécifier jusqu’à 730 jours (deux ans). Les utilisateurs inactifs depuis le nombre de jours spécifié sont les seuls pris en compte dans la révision.

12. Sous Passer en revue l’appartenance au rôle, sélectionnez la ressource Azure privilégiée ou les rôles Microsoft Entra à examiner.

    Note

    La sélection de plusieurs rôles crée plusieurs révisions d’accès. Par exemple, en sélectionnant cinq rôles, vous créez cinq révisions d’accès distinctes.

    

13. Dans le type d’affectation, limitez la révision par la façon dont le principal a été affecté au rôle. Choisissez les affectations éligibles uniquement pour passer en revue les affectations éligibles (quel que soit l’état d’activation lorsque la révision est créée) ou les affectations actives uniquement pour passer en revue les affectations actives. Choisissez toutes les affectations actives et éligibles pour passer en revue toutes les affectations quel que soit le type.

    

14. Dans la section Réviseurs , sélectionnez une ou plusieurs personnes pour passer en revue tous les utilisateurs. Sinon, vous pouvez choisir de faire en sorte que les membres vérifient leur propre accès.

    

    • Utilisateurs sélectionnés : utilisez cette option pour désigner un utilisateur spécifique pour terminer la révision. Cette option est disponible quelle que soit l’étendue de la révision, et les réviseurs sélectionnés peuvent réviser des utilisateurs, des groupes et des principaux du service.
    • Membres (soi-même) : utilisez cette option pour permettre aux utilisateurs de revoir leurs propres attributions de rôles. Cette option est disponible uniquement si la révision est limitée aux utilisateurs et groupes ou utilisateurs. Pour les rôles Microsoft Entra, les groupes assignables aux rôles ne font pas partie de la révision lorsque cette option est sélectionnée.
    • Gestionnaire : utilisez cette option pour que le responsable de l’utilisateur examine son attribution de rôle. Cette option est disponible uniquement si la révision est limitée aux utilisateurs et groupes ou utilisateurs. En sélectionnant Manager, vous pouvez également indiquer un réviseur de secours. Les réviseurs de secours sont invités à réviser un utilisateur lorsque celui-ci n’a aucun manager spécifié dans le répertoire. Pour Rôles Microsoft Entra, les groupes assignables à un rôle sont examinés par le réviseur de secours, le cas échéant.

Paramètres de saisie semi-automatique

1. Pour spécifier ce qui se passe une fois qu’une révision est terminée, développez la section Paramètres à l'achèvement.

   

2. Si vous souhaitez supprimer automatiquement l’accès pour les utilisateurs qui ont été refusés, définissez l’application automatique des résultats à la ressource pour activer. Si vous souhaitez appliquer manuellement les résultats à la fin de la révision, définissez le commutateur sur Désactiver.

3. Utilisez la liste Si le réviseur ne répond pas pour spécifier ce qui se passe pour les utilisateurs qui ne sont pas examinés par le réviseur au cours de la période de révision. Ce paramètre n’a pas d’impact sur les utilisateurs qui ont déjà été vérifiés.

   • Aucune modification - Laisser l’accès de l’utilisateur inchangé
   • Supprimer l’accès - Supprimer l’accès de l’utilisateur
   • Approuver l’accès - Approuver l’accès de l’utilisateur
   • Accepter les recommandations : accepter la recommandation du système sur le refus ou l’approbation de la prolongation de l’accès de l’utilisateur

4. Utilisez l’action pour s’appliquer à la liste des utilisateurs invités refusés pour spécifier ce qui se passe pour les utilisateurs invités qui sont refusés. Ce paramètre n’est pas modifiable pour le moment pour les révisions de rôles de ressources Microsoft Entra ID et Azure ; les utilisateurs invités, comme tous les utilisateurs, perdront toujours l'accès à la ressource s'ils sont refusés.

   

5. Vous pouvez envoyer des notifications à d'autres utilisateurs ou groupes pour recevoir des mises à jour sur l'achèvement des révisions. Cette fonctionnalité permet d’informer les parties prenantes autres que le créateur de la révision de la progression de la révision. Pour utiliser cette fonctionnalité, sélectionnez Sélectionner des utilisateurs ou des groupes et ajoutez tous les utilisateurs ou groupes que vous souhaitez recevoir des notifications d’état d’achèvement.

   

Paramètres avancés

1. Pour configurer d’autres paramètres, développez la section Paramètres avancés .

   

2. Définissez Afficher les recommandations pour activer pour afficher les réviseurs les recommandations système en fonction des informations d’accès de l’utilisateur. Les recommandations sont basées sur une période de 30 jours. Les utilisateurs qui se sont connectés au cours des 30 derniers jours sont affichés avec une approbation d’accès recommandée, tandis que les utilisateurs qui ne se sont pas connectés sont affichés avec un refus d’accès recommandé. Peu importe si ces connexions étaient interactives. La dernière connexion de l’utilisateur s’affiche également avec la recommandation.

3. Définissez la raison de l’approbation pour permettre au réviseur de fournir une raison d’approbation.

4. Définissez les notifications par courrier pour permettre à Microsoft Entra ID d’envoyer des notifications par e-mail aux réviseurs au démarrage d’une révision d’accès et aux administrateurs lorsqu’une révision est terminée.

5. Définissez les rappels pour permettre à Microsoft Entra ID d’envoyer des rappels des révisions d’accès en cours aux réviseurs qui n’ont pas terminé leur révision.

6. Le contenu de l'e-mail envoyé aux réviseurs est généré automatiquement en fonction des détails de la révision, comme le nom de la révision, le nom de la ressource, la date d'échéance, etc. Si vous avez besoin d’un moyen de communiquer des informations supplémentaires telles que des instructions supplémentaires ou des informations de contact, vous pouvez spécifier ces détails dans le contenu supplémentaire de l’e-mail du réviseur sont inclus dans les e-mails d’invitation et de rappel envoyés aux réviseurs affectés. La section mise en surbrillance est l’emplacement où ces informations sont affichées.

   

Gestion de la révision d’accès

Vous pouvez suivre la progression à mesure que les réviseurs terminent leurs révisions sur la page Vue d’ensemble de la révision d’accès. Aucun droit d’accès n’est modifié dans le répertoire avant que la révision ne soit terminée.

Après la révision d’accès, suivez les étapes décrites dans Effectuer une révision d’accès des rôles Azure Resource et Microsoft Entra pour afficher et appliquer les résultats.

Si vous gérez une série de révisions d’accès, accédez à la révision d’accès et vous y voyez les occurrences à venir dans les révisions planifiées, pour lesquelles vous pouvez modifier la date de fin, ou ajouter/supprimer des réviseurs en conséquence.

En fonction de vos sélections dans les paramètres d'achèvement, l'application automatique sera exécutée après la date de fin de la révision ou lorsque vous arrêtez manuellement la révision. L’état de la révision passe de Terminé à des états intermédiaires tels que l’application et enfin l’état Appliqué. Les utilisateurs dont l’accès est refusé doivent perdre leurs rôles au bout de quelques minutes.

Impact des groupes affectés à des rôles Microsoft Entra et à des rôles de ressources Azure dans les révisions d’accès

• Pour les rôles Microsoft Entra, les groupes assignables de rôles peuvent être affectés au rôle à l’aide de groupes assignables de rôles. Lorsqu’une révision est créée sur un rôle Microsoft Entra auquel des groupes affectables aux rôles sont affectés, le nom du groupe s’affiche dans la révision sans développer l’appartenance au groupe. Le réviseur peut approuver ou refuser l’accès de l’ensemble du groupe au rôle. Les groupes refusés perdent leur affectation au rôle lorsque les résultats de révision sont appliqués.

• Pour les rôles de ressources Azure, n’importe quel groupe de sécurité peut être affecté au rôle. Lorsqu’une révision est créée sur un rôle de ressource Azure avec un groupe de sécurité affecté, les réviseurs de rôles peuvent obtenir une vue entièrement étendue de l’appartenance à un groupe. Lorsqu’un réviseur refuse un utilisateur qui a été affecté au rôle via le groupe de sécurité, l’utilisateur n’est pas supprimé du groupe. La raison est qu'un groupe peut être partagé avec d'autres ressources Azure ou non Azure. Les administrateurs doivent implémenter les modifications résultant d’un refus d’accès.

Note

Il est possible que d’autres groupes soient affectés à un groupe de sécurité. Dans ce cas, seuls les utilisateurs affectés directement au groupe de sécurité affecté au rôle apparaissent dans la révision du rôle.

Mettre à jour la révision d’accès

Après le lancement d’une ou de plusieurs révisions d’accès, vous souhaiterez peut-être modifier ou mettre à jour les paramètres de vos révisions d’accès existantes. Voici quelques scénarios courants que vous pouvez envisager :

• Ajout et suppression de réviseurs : lors de la mise à jour des révisions d’accès, vous pouvez choisir d’ajouter un réviseur de secours en plus du réviseur principal. Les réviseurs principaux peuvent être supprimés lors de la mise à jour d’une révision d’accès. Cependant, les réviseurs de secours ne peuvent, par définition, pas être supprimés.

  Note

  Les réviseurs de secours ne peuvent être ajoutés que lorsque le type de réviseur est Manager. Les réviseurs principaux peuvent être ajoutés lorsque le type de réviseur est un utilisateur sélectionné.

• Rappel des réviseurs : lors de la mise à jour des révisions d’accès, vous pouvez choisir d’activer l’option de rappel sous Paramètres avancés. Une fois activé, les utilisateurs reçoivent au milieu de la période de révision une notification par e-mail. Les réviseurs reçoivent des notifications, qu’ils aient terminé la révision ou non.

  

• Mise à jour des paramètres - Si une révision d’accès est périodique, il existe des paramètres distincts sous « Actuel » et sous « Série ». La mise à jour des paramètres sous « Actuel » appliquera uniquement les modifications apportées à la révision d’accès actuelle, tandis que la mise à jour des paramètres sous « Série » mettra à jour le paramètre pour toutes les futures révisions.

  

Étapes suivantes

• Effectuer une révision d’accès des ressources Azure et des rôles Microsoft Entra dans PIM
• Effectuer une révision d’accès des ressources Azure et des rôles Microsoft Entra dans PIM