Découvrir, corriger et surveiller les autorisations dans les infrastructures multiclouds à l’aide des API de gestion des autorisations (préversion)

Gestion des autorisations Microsoft Entra offre une visibilité complète des autorisations attribuées à toutes les identités dans plusieurs infrastructures cloud telles que Microsoft Azure, Amazon Web Services (AWS) et Google Cloud Platform (GCP). Les API de gestion des autorisations dans Microsoft Graph permettent de découvrir, de gérer et de surveiller par programmation ces autorisations dans votre infrastructure multicloud.

Cet article présente les fonctionnalités de gestion des autorisations que vous pouvez gérer par programmation via Microsoft Graph.

Pour plus d’informations sur Permissions Management, consultez Qu’est-ce que Gestion des autorisations Microsoft Entra.

Principaux cas d’usage des API de gestion des autorisations

En vous offrant une visibilité complète des autorisations attribuées à toutes les identités dans plusieurs clouds, les API de gestion des autorisations vous permettent de traiter trois cas d’usage clés de Gestion des autorisations Microsoft Entra : découvrir, corriger et surveiller.

Systèmes d’autorisation

Un système d’autorisation est une plateforme qui contient des identités et des ressources. Il expose des autorisations qui contrôlent les ressources auxquelles une identité a accès et les actions qu’elle peut effectuer.

Utilisez le type de ressource authorizationSystem et ses méthodes associées pour découvrir les systèmes d’autorisation intégrés à Permissions Management et leurs détails. Actuellement, Permissions Management prend en charge Microsoft Azure, AWS et GCP.

Les scénarios d’API clés suivants vous permettent de récupérer des détails pour les systèmes d’autorisation.

Description	API
Récupérer les systèmes d’autorisation	Lister les systèmes d’autorisation
Obtenir les détails d’un système d’autorisation AWS	Répertorier awsAuthorizationSystems
Obtenir les détails d’un système d’autorisation Azure	Répertorier azureAuthorizationSystems
Obtenir les détails d’un système d’autorisation GCP	Répertorier gcpAuthorizationSystems

Découvrez la référence rapide des opérations d’API pour les systèmes d’autorisation AWS, les systèmes d’autorisation Azure et les systèmes d’autorisation GCP.

Inventaire du système d’autorisation

Chaque système d’autorisation a un ensemble défini d’objets qui forment les fonctionnalités du système d’autorisation. Par exemple, des identités telles que des utilisateurs et des comptes de service, ou des actions et des ressources.

Les scénarios d’API clés suivants vous permettent de récupérer l’inventaire des systèmes d’autorisation.

Description	API
Lister toutes les identités dans un système d’autorisation	Répertorier toutes les identités AWS Répertorier toutes les identités Azure Répertorier toutes les identités GCP
Répertorier les types d’identité dans des systèmes d’autorisation spécifiques	Répertorier les rôles et les utilisateurs dans AWS Répertorier les identités managées, les utilisateurs et les principaux de service dans Azure Répertorier les utilisateurs et les comptes de service dans GCP
Autre inventaire	Répertorier les actions, les stratégies, les ressources et les services dans AWS Répertorier les actions, les ressources, les définitions de rôle et les services dans Azure Répertorier les actions, les ressources, les rôles et les services dans GCP

Demandes d’autorisations

Les identités peuvent demander des autorisations sur des actions et des ressources dans un système d’autorisation. Les fonctionnalités de demandes d’autorisations permettent aux appelants de demander des autorisations pour eux-mêmes ou pour le compte d’une autre identité, et d’autres identités pour approuver, rejeter ou annuler les demandes.

Les scénarios d’API clés suivants vous permettent d’implémenter des fonctionnalités d’autorisations à la demande.

Scénarios	API
Demander des autorisations ; accorder ou rejeter une demande	Créer scheduledPermissionsRequest
Annuler une demande d’autorisations	scheduledPermissionsRequest : cancelAll
Suivre les demandes d’autorisations et leurs status	Répertorier les autorisationsRequestChanges

Analytique des autorisations

Grâce aux API d’analyse des autorisations, Permissions Management vous aide à détecter les risques liés aux autorisations dans les identités et les ressources de vos systèmes d’autorisation. Vous pouvez utiliser ces résultats pour automatiser des cas d’usage tels que :

• Création de tableaux de bord
• Déclencher une révision des risques
• Hiérarchiser la correction
• Générer des tickets

Les exemples de résultats suivants sont disponibles via les API :

Trouver	API exemples de scénarios
Identités inactives : identités qui n’ont utilisé aucune des autorisations accordées au cours des 90 derniers jours.	Utilisateurs inactifs sur plusieurs systèmes d’autorisation Fonctions serverless inactives sur plusieurs systèmes d’autorisation Principaux de service Azure inactifs Comptes de service GCP inactifs Rôles AWS inactifs Ressources AWS inactives, telles que ec2
Groupes inactifs : aucune identité n’a utilisé les autorisations attribuées via le groupe au cours des 90 derniers jours.	Groupes inactifs sur plusieurs systèmes d’autorisation
Super identités : autorisations au niveau de l’administrateur sur le système d’autorisation. Ces identités peuvent gérer toutes les ressources sous le système d’autorisation.	Super utilisateurs sur plusieurs systèmes d’autorisation Fonctions super serverless sur plusieurs systèmes d’autorisation Principaux de service Super Azure Comptes de service Super GCP Rôles Super AWS Ressources Super AWS, telles que ec2

Voici d’autres résultats :

• Résultats basés sur les ressources : par exemple, les conteneurs d’objets blob Azure, les compartiments S3 et les compartiments de stockage accessibles publiquement ; ouvrir des groupes de sécurité réseau ; et identités qui peuvent accéder aux informations secrètes ou utiliser des outils de sécurité
• Utilisateurs, rôles, ressources, principaux de service et comptes de service surprovisionnés
• Utilisateurs avec une authentification multifacteur non appliquée dans AWS
• Opportunités d’escalade de privilèges
• Ancienneté et utilisation de la clé d’accès AWS

---

Confiance Zéro

Cette fonctionnalité permet aux organisations d’aligner leurs identités sur les trois principes directeurs d’une architecture Confiance nulle :

• Vérifiez explicitement.
• Utiliser le privilège minimum
• Supposez une violation.

Pour en savoir plus sur Confiance nulle et d’autres façons d’aligner vos organization sur les principes directeurs, consultez le Centre d’aide Confiance nulle.

---

Autorisations et privilèges

Pour appeler les API de gestion des autorisations, l’appelant n’a pas besoin d’autorisations Microsoft Graph. Toutefois, ils doivent disposer des privilèges appropriés dans le locataire Microsoft Entra et dans le système externe.

Pour plus d’informations, consultez Rôles et niveaux d’autorisations de gestion des autorisations.

Contenu connexe

• Qu’est-ce que Gestion des autorisations Microsoft Entra
• Guide de démarrage rapide pour Gestion des autorisations Microsoft Entra
• Informations de référence sur les opérations Gestion des autorisations Microsoft Entra
• Informations de référence rapides sur les opérations de l’API de gestion des autorisations Microsoft Entra :
  • Pour les systèmes d’autorisation AWS
  • Pour les systèmes d’autorisation Azure
  • Pour les systèmes d’autorisation GCP