intégration de Microsoft Graph Data Connect à PAM

Importante

L’intégration de Microsoft Graph Data Connect à Privileged Access Management (PAM) est déconseillée. Pour plus d’informations, consultez Expérience d’intégration de Microsoft Graph Data Connect.

La Connexion aux données Microsoft Graph s’appuie sur Privileged Access Management (PAM) pour permettre aux administrateurs Microsoft 365 d’approuver les demandes de déplacement des données. Les pipelines de Connexion de données doivent être approuvées par un membre du groupe approbateur de demande d’accès aux données spécifié par l’administrateur Microsoft 365 pendant l’activation. Pour configurer le groupe d’approbation, voir Configurer votre client Microsoft 365 et activer Connexion aux données Microsoft Graph.

Les messages de demande d’approbation seront envoyés à chaque membre du groupe approbateur pour les informer quand les activités de copie demandent l’accès pour extraire les données Microsoft 365. Les approbateurs peuvent approuver ou refuser ces demandes, spécifier un groupe d’utilisateurs devant être nettoyé de données extraites, ou révoquer un accès précédemment approuvé. Les approbations sont conservées pendant six mois, et une approbation est nécessaire par activité de copie dans le pipeline Azure Synapse ou Azure Data Factory.

Chaque demande inclut toujours les informations suivantes sur le jeu de données et les utilisateurs sur lesquels les données sont extraites :

• Demandeur: l’utilisateur qui a demandé le pipeline.
• Durée : s’il est approuvé, la durée de conservation de l’approbation, qui est toujours de 4 320 heures (6 mois).
• Raison: raison de la demande, généralement « une application installée pour votre organisation nécessite une approbation pour l’accès aux données Office 365. »
• Demandé à: le DateTime de la demande.
• Id de demande: l’ID de la demande utilisée à des fins d’approbation.
• Table de données: le jeu de données en cours d’extraction (par exemple, éléments envoyés).
• Colonnes: la liste des colonnes extraite de la table de données (par exemple, SentDateTime).
• AllowedGroups: le ou les groupes d’utilisateurs par rapport auquel le pipeline extrait des données. Si la liste des groupes est vide, le pipeline demande l’accès aux données de tous les utilisateurs dans le client.
• Requête étendue Utilisateur: prédicat utilisé pour filtrer les utilisateurs. Cela s’applique uniquement si la demande est pour tous les utilisateurs dans le client. Si c’est vide, aucun filtre n’est appliqué.
• OutputUri : le chemin d’accès de sortie dans lequel seront stockées les données extraites.
• SourceTenantId: l’ID de client à partir duquel les données sont extraites.
• InstallerIdentity: l’identité du programme d’installation de l’application.

Les champs suivants dans la demande seront disponibles uniquement dans certains cas :

• Nom de l’application et l’URI Marketplace (disponible uniquement pour les applications installées à partir d’Azure marketplace).
• Liens vers la politique de confidentialité de l’application et conditions d’utilisation du service (disponible uniquement si l’application les fournit).
• Stratégies de conformité appliquée par l’application, par exemple, le chiffrement des données au repos dans l’emplacement de stockage de sortie (disponible uniquement si l’application le fournit et si l’application est installée à partir de la Place de marché Azure).
• Liste d’exclusion : le groupe d’utilisateurs duquel les données extraites peuvent être nettoyées. Ce champ est vide dans le cadre de la demande de jeux de données qui prennent en charge la confidentialité de nettoyage de données extraites. Il peut être rempli par un membre du groupe approbateur qui approuve la demande au moment de l’approbation.

Approbation des demandes

Les pipelines de Connexion des données Microsoft Graph doivent être approuvés par un membre d’un groupe d’approbateur demande d’accès de données. Les approbateurs peuvent approuver, refuser ou révoquer les pipelines à l’aide du module Exchange Online PowerShell ou l’expérience utilisateur PAM.

Approuver, refuser et révoquer des demandes à l’aide de PowerShell

Pour interagir avec une demande de l’utilisation du module Exchange Online PowerShell, procédez comme suit :

1. Installer le module Exchange Online PowerShell. Pour plus d’informations sur l’installation, voir Connexion à Exchange Online PowerShell avec l’authentification à plusieurs facteurs.

2. Connexion à Exchange Online PowerShell avec l’authentification multifacteur Pour plus d’informations, voir Connexion à Exchange Online PowerShell avec l’authentification à plusieurs facteurs.

   Remarque

   Remarque: vous n’avez pas besoin d’activer l’authentification multifacteurs pour que votre organisation puisse utiliser ces étapes lors de la connexion à Exchange Online PowerShell. La connexion avec l’authentification multifacteurs crée un jeton OAuth utilisé par PAM pour la connexion de vos demandes.

3. Connectez-vous à votre compte. Vous devez faire partie du groupe d’approbateurs d’accès aux données configuré pour pouvoir approuver, refuser ou révoquer des demandes. Les utilisateurs invités ne peuvent pas approuver les demandes, même s’ils figurent dans le groupe approbateur.

   Connect-EXOPSSession
   

4. Afficher les demandes en attente.

   Remarque

   La valeur de la propriété Identity est utilisée pour identifier et approuver ou refuser la demande. Notez cette valeur et utilisez la dans le paramètre -RequestId.

   Get-ElevatedAccessRequest | ?{$_.RequestStatus -eq 'Pending'}
   

5. Observez le champcontextede la demande qui vous intéresse.

   Remarque

   Le champ contexte de la demande d’accès aux données décrit les paramètres et les propriétés de l’activité de copie.

   Get-ElevatedAccessRequest -RequestId ($requestId).Context | ConvertFrom-Json
   

   Vous obtenez une réponse similaire à ce qui suit :

   Key                          Value
   ---                          -----
   ApplicationName
   ComplianceStatus             [{"Timestamp":"2018-05-02T18:29:21.5705664Z","RequirementName":"adlsEncryption","PolicyComplianceState":"Compliant","Violations":0},{"Timestamp":"2018-05-02T...
   ApplicationMarketPlaceUri
   OutputUri                    adl://myadlserumvrroyspmq.azuredatalakestore.net/targetFolder/Event
   ApplicationPrivacyPolicyUri  http://www.wkw.com/privacy
   ApplicationTermsOfServiceUri http://www.wkw.com/tos
   InstallerIdentity            a89885c3-4b0e-499e-86ed-14d7ed9147c2@942229f8-4656-4fb0-828b-e938dad4019a
   SourceTenantId               942229f8-4656-4fb0-828b-e938dad4019a
   UserScopeQuery               tenant in (942229f8-4656-4fb0-828b-e938dad4019a)
   ApplicationId
   DataTable                    Calendar Events
   DestinationTenantId          942229f8-4656-4fb0-828b-e938dad4019a
   Columns                      Subject:string, HasAttachments:bool, End:DateTime, Start:DateTime, ResponseStatus:string, Organizer:Object, Attendees:string, Importance:string, Sensitivity:...
   

6. Approuver/rejeter la demande à l’aide de la valeur de Identité pour le paramètre -RequestId.

   Approve-ElevatedAccessRequest -RequestId $requestId -Comment "Yay!!"
   Deny-ElevatedAccessRequest -RequestId $requestId -Comment "Nay!!"
   

Vous pouvez également approuver la demande avec une liste d’exclusion pour vous assurer que les données de certains utilisateurs ne sont pas incluses. Pour ce faire, vous devez modifier le contexte de la demande pour ajouter le object Id du groupe que vous voulez omettre puis approuver la demande.

$request = Get-ElevatedAccessRequest -RequestId
$hash = $request.Context
$hash["DenyList"] = <Object ID of denied user group>;
Approve-ElevatedAccessRequest -RequestId $requestId -Comment "Yay!!" -RequestContext $hash
Deny-ElevatedAccessRequest -RequestId $requestId -Comment "Nay!!"

Vous pouvez également révoquer les demandes qui ont été précédemment approuvées. Similaire à l’approbation des demandes, la valeur de identité est ce qui est requis dans le paramètre -RequestId.

Revoke-ElevatedAccessAuthorization -Comment "Revoking this request!" -RequestId $requestId

Vous obtenez une réponse similaire à ce qui suit :

AuthorizedBy          : user@contoso.com
Type                  : Task
AuthorizedAccess      : Data Access Request
StartTimeUtc          : 7/24/2018 6:02:42 PM
EndTimeUtc            : 10/22/2018 6:02:42 PM
Revoked               : True
RevocationDateTimeUtc : 7/24/2018 9:12:55 PM
RevokedBy             : NAMPR00A001.prod.outlook.com/Microsoft Exchange Hosted  Organizations/contoso.com/user
RevocationComment     : Revoking this request!
Identity              : bda75607-0d87-43cb-bdf1-284b18446b34
DateCreatedUtc        : 1/1/0001 12:00:00 AM
DateUpdatedUtc        : 7/24/2018 9:12:55 PM

Approuver, refuser et révoquer des demandes à l’aide de l’expérience utilisateur PAM

Utilisez les étapes suivantes pour interagir avec une demande à l’aide de l’expérience utilisateur PAM :

1. Connectez-vous au portail d’administration Microsoft 365 à l’aide des informations d’identification de l’administrateur, puis accédez à la page Expérience utilisateur d’approbation Privileged Access Management . Cette page affiche toutes les demandes d’accès (en attente/approuvé/expiré/refusé).

2. Dans la page obtenue, sélectionnez la demande qui vous intéresse. Pour sélectionner une liste d’exclusion pour le nettoyage de confidentialité, cliquez sur le menu déroulant Liste d’exclusion, sélectionnez le groupe qui doit être nettoyé, puis sélectionnez Approuver.

3. Pour révoquer une demande approuvée précédemment, sélectionnez la demande approuvée qui doit être révoquée, puis sélectionnez Révoquer. La tentative suivante de déplacement des données à l’aide de cette approbation échoue.

Comportement d’approbation

Microsoft Graph demandes d’approbation Data Connect présentent des caractéristiques particulières que vous devez connaître :

• Les demandes d’approbation sont basées sur les noms des Azure Synapse ou Azure Data Factory, du pipeline et de l’activité de copie. Chaque exécution de l’activité de copie vérifie que l’administrateur Microsoft 365 a approuvé la demande d’accès aux données Office de l’activité de copie et valide les paramètres importants de l’exécution de l’activité de copie par rapport aux paramètres de l’approbation.
• Dans certaines conditions, une nouvelle demande d’approbation est déclenchée automatiquement. Un approbateur de Connexion de données doit approuver la nouvelle demande avant que l’activité de copie ne puisse accéder aux données Microsoft 365.
• Si les paramètres de l’activité de copie exécutent des modifications, une nouvelle demande d’approbation est déclenchée.
• Une nouvelle demande d’approbation est déclenchée si le Azure Synapse ou Azure Data Factory pipeline ou l’activité de copie change de nom. Par exemple, une nouvelle approbation est requise si la table de données ou l’ensemble de colonnes auxquels l’activité de copie accède change.
• Les activités de copie doivent être approuvées une fois tous les six mois. Si l’approbation d’origine a été approuvée il y a six mois, une nouvelle demande d’approbation est automatiquement déclenchée.
• Si un approbateur d’accès aux données Microsoft 365 a refusé une demande d’approbation ou révoqué une demande précédemment approuvée, l’activité de copie échoue continuellement. Travaillez avec l’approbateur pour comprendre la raison des refus ou révocation et corriger les paramètres de l’activité de copie en conséquence. Pour déclencher une nouvelle demande d’approbation, une nouvelle activité de copie doit être déployée ou le nom de l’activité de copie existante doit être modifié.
• Une demande d’approbation expire au bout de 24 heures, sauf si un approbateur de données Microsoft 365 réagit à la demande. Une nouvelle demande est envoyée une fois toutes les 24 heures pour approbation. Si vous voyez votre activité de copie en attente d’approbation (à l’étape Consentement en attente), utilisez un approbateur d’accès aux données Microsoft 365 pour obtenir votre demande approuvée.

Nettoyage de confidentialité

Le membre du groupe approbateur qui approuve la demande peut spécifier le nom du groupe d’utilisateurs dont les données doivent être nettoyées des données extraites. Les lignes contenant des adresses de messagerie correspondant aux membres du groupe refusé sont nettoyées de données extraites. Les groupes imbriqués dans le groupe refusé sont développés et seuls les utilisateurs sont nettoyés. Reportez-vous à la section approuver les demandes de cet article pour plus d’informations sur l’application de la liste de refus lors de l’approbation via PowerShell ou l’expérience utilisateur PAM.

Le tableau suivant indique les noms des jeux de données et de colonnes dont le contenu est recherché pour le nettoyage de confidentialité.

Nom du jeu de données	Colonnes utilisées pour le nettoyage de listes de refus
BasicDataSet_v0.Message_v0 BasicDataSet_v0.Message_v1	Expéditeur, De, À, CcRecipients, BccRecipients
BasicDataSet_v0.SentItem_v0 BasicDataSet_v0.SentItem_v1	Expéditeur, De, À, CcRecipients, BccRecipients
BasicDataSet_v0.Event_v0 BasicDataSet_v0.Event_v1	Organisateur, Participants
BasicDataSet_v0.Contact_v0 BasicDataSet_v0.Contact_v1	EmailAddresses
BasicDataSet_v0.CalendarView_v0	Organisateur, Participants

Contenu connexe

• Forum aux questions sur la Connexion aux données