Événements
9 avr., 15 h - 10 avr., 12 h
Codez l’avenir avec l’IA et connectez-vous avec des pairs et des experts Java à JDConf 2025.
S’inscrire maintenantSynchronisation entre clients et gouvernance
La synchronisation entre clients est une solution flexible et prête à l’emploi pour approvisionner des comptes et faciliter la collaboration transparente entre les abonnés d’une organisation. La synchronisation entre clients gère automatiquement le cycle de vie des identités utilisateur entre les abonnés. Elle configure, synchronise et supprime les privilèges d'accès des utilisateurs dans l’étendue de la synchronisation à partir d’abonnés sources.
Cet article décrit comment les clients Azure Active Directory Identity Governance peuvent utiliser la synchronisation entre clients pour gérer les cycles de vie des identités et des accès dans les organisations mutualisées.
Dans cet exemple, Contoso est une organisation mutualisée avec trois abonnés Microsoft Entra de production. Contoso déploie des fonctionnalités de synchronisation entre clients et Azure AD Identity Governance pour répondre aux scénarios suivants :
- Gérer les cycles de vie des identités des employés sur plusieurs abonnés
- Utiliser des flux de travail pour automatiser les processus de cycle de vie des employés qui proviennent d’autres abonnés
- Affecter automatiquement l’accès aux ressources aux employés qui proviennent d’autres abonnés
- Autoriser les employés à demander l’accès aux ressources dans plusieurs abonnés
- Passer en revue l’accès des utilisateurs synchronisés
Du point de vue de la synchronisation entre clients, Contoso Europe, Moyen-Orient et Afrique (Contoso EMEA) et Contoso États-Unis (Contoso US) sont des abonnés sources et Contoso est un abonné cible. Le diagramme suivant illustre la topologie.
Cette topologie prise en charge pour la synchronisation entre clients est l’une des nombreuses topologies dans Microsoft Entra ID. Les abonnés peuvent être un abonné source, un abonné cible ou les deux. Dans les sections suivantes, découvrez comment les fonctionnalités de synchronisation entre clients et Azure AD Identity Governance répondent à plusieurs scénarios.
La synchronisation entre clients dans Microsoft Entra ID automatise la création, la mise à jour et la suppression d’utilisateurs B2B Collaboration.
Lorsque les organisations créent ou configurent un utilisateur B2B Collaboration dans un abonné, l’accès utilisateur dépend en partie de la façon dont l’organisation les a configurées : type d’utilisateur Invité ou Membre. Lorsque vous sélectionnez le type d’utilisateur, tenez compte des différentes propriétés d’un utilisateur Microsoft Entra B2B Collaboration. Le type d’utilisateur Membre convient si les utilisateurs font partie de l’organisation mutualisée la plus grande et ont besoin d’un accès au niveau membre aux ressources dans les abonnés de l’organisation. Microsoft Teams nécessite le type d’utilisateur Membre dans les Organisations multilocataires.
Par défaut, la synchronisation entre clients inclut des attributs couramment utilisés sur l’objet utilisateur dans Microsoft Entra ID. Le diagramme suivant illustre ce scénario.
Les organisations utilisent les attributs pour faciliter la création des groupes d’appartenance dynamique et des packages d’accès dans le locataire source et cible. Certaines fonctionnalités de Microsoft Entra ID ont des attributs utilisateur à cibler, tels que l’étendue des utilisateurs du workflow de cycle de vie.
Pour supprimer ou supprimer les privilèges d'accès, un utilisateur B2B Collaboration d’un abonné arrête automatiquement l’accès aux ressources de cet abonné. Cette configuration est pertinente lorsque des employés quittent une organisation.
Les workflow de cycle de vie Microsoft Entra ID sont une fonctionnalité de gouvernance des identités qui permet de gérer les utilisateurs de Microsoft Entra. Les organisations peuvent automatiser les processus pour joindre, déplacer et quitter.
Avec la synchronisation entre clients, les organisations mutualisées peuvent configurer des workflows de cycle de vie afin qu’ils s’exécutent automatiquement pour les utilisateurs B2B Collaboration qu’il gère. Par exemple, configurer un flux de travail d’intégration d’utilisateur, déclenché par l’attribut createdDateTime utilisateur d’événement, afin de demander l’attribution de packages d’accès pour les nouveaux utilisateurs B2B Collaboration. Utiliser des attributs tels que userType et userPrincipalName afin de définir la portée des workflows de cycle de vie pour les utilisateurs hébergés dans d’autres abonnés appartenant à l’organisation.
Les organisations mutualisées peuvent s’assurer que les utilisateurs B2B Collaboration ont accès aux ressources partagées dans un abonné cible. Les utilisateurs peuvent demander l’accès, si nécessaire. Dans les scénarios suivants, découvrez comment la fonctionnalité de gouvernance des identités, les packages d’accès à la gestion des droits d’utilisationrégissent l’accès aux ressources.
Le terme « attribution de droit de naissance » fait référence à l’octroi automatique de l’accès aux ressources en fonction d’une ou de plusieurs propriétés utilisateur. Pour configurer l’attribution de droit de naissance, créez des stratégies d’affectation automatique pour les packages d’accès dans la gestion des droits d’utilisation et configurez les rôles de ressources pour accorder l’accès aux ressources partagées.
Les organisations gèrent la configuration de synchronisation entre abonnés dans l’abonné source. Par conséquent, les organisations peuvent déléguer la gestion de l’accès aux ressources à d’autres administrateurs abonnés sources pour les utilisateurs B2B Collaboration synchronisés :
- Dans l’abonné source, les administrateurs configurent des mappages d’attributs de synchronisation entre clients pour les utilisateurs qui nécessitent un accès entre clients aux ressources
- Dans l’abonné cible, les administrateurs utilisent des attributs dans des stratégies d’affectation automatique afin de déterminer l’appartenance au package d’accès pour les utilisateurs B2B Collaboration synchronisés
Pour générer des stratégies d’attribution automatique dans l’abonné cible, synchronisez les mappages d’attributs par défaut, tels que les extensions de répertoire de service ou de mappage, dans l’abonné source.
Avec les stratégies de package d'accès de gouvernance des identités, les organisations mutualisées peuvent autoriser les utilisateurs B2B Collaboration, créés par la synchronisation entre abonnés, à demander l’accès aux ressources partagées dans un abonné cible. Ce processus est utile si les employés ont besoin d’un accès juste-à-temps (JIT) à une ressource appartenant à un autre abonné.
Les révisions d’accès de Microsoft Entra ID permettent aux organisations de gérer les appartenances à des groupes, les accès aux applications d’entreprise et les attributions de rôles. Passez régulièrement en revue l’accès des utilisateurs pour vous assurer que l’accès est octroyé aux personnes appropriées.
Lorsque la configuration de l’accès aux ressources n’attribue pas automatiquement l’accès (par exemple avec des groupes d’appartenance dynamique ou des packages d’accès), configurez les révisions d’accès de manière à appliquer les résultats aux ressources une fois l’opération terminée. Les sections suivantes décrivent comment les organisations mutualisées peuvent configurer des révisions d’accès pour les utilisateurs entre abonnés dans les abonnés source et cible.
Les organisations mutualisées peuvent inclure des utilisateurs internes dans les révisions d’accès. Cette action permet la re-certification d’accès dans les abonnés sources qui synchronise les utilisateurs. Utilisez cette méthode pour examiner régulièrement les groupes de sécurité affectés à la synchronisation entre clients. Par conséquent, l’accès B2B Collaboration continu à d’autres abonnés a une approbation dans l’abonné de domicile de l’utilisateur.
Utilisez les révisions d’accès des utilisateurs dans les abonnés sources pour éviter les conflits potentiels entre la synchronisation entre clients et les révisions d’accès qui suppriment les utilisateurs refusés au terme de l’opération.
Les organisations peuvent inclure des utilisateurs B2B Collaboration dans les révisions d’accès, y compris les utilisateurs configurés par la synchronisation entre clients dans les abonnés cibles. Cette option permet la re-certification des ressources dans les abonnés cibles. Bien que les organisations puissent cibler tous les utilisateurs dans les révisions d’accès, les utilisateurs invités peuvent être explicitement ciblés si nécessaire.
Pour les organisations qui synchronisent les utilisateurs B2B Collaboration, Microsoft ne recommande généralement pas de supprimer automatiquement les utilisateurs invités refusés des révisions d’accès. La synchronisation entre clients re-configure les utilisateurs s’ils sont compris dans la portée de la synchronisation.
Ressources supplémentaires
Entrainement
Parcours d’apprentissage
MS-102 Implémenter la synchronisation des identités - Training
Ce parcours d’apprentissage examine comment les organisations doivent planifier et implémenter la synchronisation des identités dans un déploiement Microsoft 365 hybride. Vous découvrez comment implémenter Microsoft Entra Connect Sync et Microsoft Entra Cloud Sync, et comment gérer les identités synchronisées.
Certification
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Expliquez les fonctionnalités de Microsoft Entra ID pour moderniser des solutions d’identité, implémenter des solutions hybrides et une gouvernance des identités.