Définir des packages d’accès
Pourquoi utiliser la gestion des droits d’utilisation ?
Les entreprises souvent font face à des défis lorsqu’il leur faut gérer l’accès des employés aux ressources, notamment :
- Les utilisateurs ne connaissent pas l’accès dont ils ont besoin et même s’ils le connaissent, ils peuvent rencontrer des difficultés pour trouver les personnes habilitées à approuver leur accès
- Après avoir localisé une ressource et obtenu l'accès correspondant, les utilisateurs y ont accès plus longtemps que nécessaire à des fins professionnelles
Ces problèmes sont complexes pour les utilisateurs qui ont besoin d'un accès à partir d'une autre organisation, tels que les utilisateurs externes issus d'organisations de la chaîne logistique ou d'autres partenaires commerciaux. Par exemple, la gestion des droits d’utilisation Microsoft Entra peut aider les organisations à s’assurer que tout le monde a accès aux répertoires appropriés et que tous les accès utilisateur sont gérés de manière cohérente.
Cette vidéo fournit une vue d’ensemble de la gestion des droits d’utilisation et de son intérêt :
Regardez cette vidéo pour en savoir plus sur la gestion des droits d’utilisation Microsoft Entra
À quoi sert la gestion des droits d'utilisation ?
Les fonctionnalités de gestion des droits d’utilisation sont les suivantes :
| Fonctionnalité de gestion des droits d’utilisation | Description et valeur |
|---|---|
| Déléguer à des non-administrateurs la possibilité de créer des packages d’accès. | Ces packages d’accès contiennent des ressources que les utilisateurs peuvent demander ; les gestionnaires délégués de package d’accès ont la possibilité de définir des stratégies avec des règles pour lesquelles les utilisateurs peuvent demander quelles personnes doivent approuver leur accès et quand l’accès expire. |
| Sélectionner les organisations connectées dont les utilisateurs peuvent demander l’accès. | Lorsqu’un utilisateur, qui n’est pas encore dans votre annuaire demande l’accès, et qu’il est approuvé, il est automatiquement invité dans votre annuaire, et l’accès lui est affecté. Lorsque son accès expire, s’il n’a pas d’autres affectations de package d’accès, son compte B2B dans votre annuaire peut être automatiquement supprimé. |
Abrégé de terminologie
Avant d’explorer la gestion des droits d’utilisation et sa documentation en détail, vous devez connaître les termes ci-dessous. N’hésitez pas à nous faire référence à cette liste à tout moment au cours de ce cours.
| Terme | Description |
|---|---|
| package d'accès | Bundle de ressources dont une équipe ou un projet a besoin et qui est régi par des stratégies. Un package d’accès est toujours contenu dans un catalogue. Vous créez un package d’accès pour un scénario dans lequel les utilisateurs doivent demander l’accès. |
| demande d’accès | Demande d’accès aux ressources dans un package d’accès. Cette demande transite généralement par un flux d’approbation. Si elle est approuvée, l’utilisateur demandeur reçoit une affectation de package d’accès. |
| affectation | L’affectation d’un package d’accès à un utilisateur garantit que l’utilisateur dispose de tous les rôles de ressources de ce package d’accès. Les affectations de package d’accès ont généralement une durée limite avant leur expiration. |
| catalogue | Conteneur de ressources connexes et de packages d’accès. Les catalogues sont utilisés pour la délégation, si bien que les non-administrateurs peuvent créer leurs propres packages d’accès. Les propriétaires de catalogue peuvent ajouter les ressources qu’ils possèdent à un catalogue. |
| créateur de catalogue | Regroupement d’utilisateurs autorisés à créer des catalogues. Lorsqu’un utilisateur non-administrateur, autorisé à être créateur de catalogue, crée un catalogue, il devient automatiquement le propriétaire de ce catalogue. |
| organisation connectée | Un répertoire ou un domaine Microsoft Entra externe avec lequel vous entretenez une relation. Les utilisateurs provenant d’une organisation connectée peuvent être spécifiés dans une stratégie comme étant autorisés à demander l’accès. |
| policy | Ensemble de règles définissant le cycle de vie d’un accès, telles que le mode d’accès des utilisateurs, les approbateurs et la durée d’accès par le biais d’une affectation. Une stratégie est liée à un package d’accès. Par exemple, un package d’accès peut avoir deux stratégies de demande d’accès : l’une pour les employés, l’autre pour les utilisateurs externes. |
| resource | Ressource (un groupe Office, un groupe de sécurité, une application ou un site SharePoint Online, par exemple) dotée d’un rôle pour lequel un utilisateur peut obtenir des autorisations. |
| répertoire de ressources | Répertoire comprenant une ou plusieurs ressources à partager. |
| rôle de ressource | Collection d’autorisations associées à une ressource et définies par elle. Un groupe a deux rôles : membre et propriétaire. Les sites SharePoint ont généralement trois rôles, mais peuvent avoir des rôles personnalisés supplémentaires. Les applications peuvent avoir plusieurs rôles personnalisés. |
Que sont les packages d’accès et quelles ressources gérer avec eux ?
La gestion des droits d’utilisation introduit, dans Microsoft Entra ID, le concept de package d’accès. Un package d’accès regroupe toutes les ressources avec l’accès dont un utilisateur a besoin pour travailler sur un projet ou accomplir sa tâche. Les packages d’accès permettent de régir l’accès de vos employés et utilisateurs internes en dehors de votre organisation. Vous pouvez gérer l’accès des utilisateurs aux ressources suivantes avec la gestion des droits d’utilisation :
- Appartenance à des groupes de sécurité Microsoft Entra.
- Appartenance des groupes et équipes Microsoft 365.
- Affectation aux applications d’entreprise Microsoft Entra, y compris aux applications SaaS et aux applications à intégration personnalisée qui prennent en charge la fédération/l’authentification unique et/ou le provisionnement.
- Appartenance des sites SharePoint Online.
Vous pouvez également contrôler l'accès à d'autres ressources qui dépendent des groupes de sécurité Microsoft Entra ou des groupes Microsoft 365. Par exemple, vous pouvez accorder :
- Des licences pour Microsoft 365 en utilisant un groupe de sécurité dans un package d’accès et en configurant la Gestion des licences par groupe pour ce groupe.
- Un accès pour gérer des ressources Azure en utilisant un groupe de sécurité dans un package d’accès et en créant une attribution de rôle Azure pour ce groupe.
- Un accès pour gérer des rôles Microsoft Entra en utilisant des groupes attribuables à des rôles dans un package d’accès et en attribuant un rôle à ce groupe.
Comment contrôler qui a accès ?
Avec un package d’accès, un administrateur ou un gestionnaire délégué de package d’accès liste les ressources (groupes, applications et sites) et les rôles dont les utilisateurs ont besoin pour ces ressources.
Les packages d’accès incluent également une ou plusieurs stratégies. Une stratégie définit les règles ou barrières mises en place pour l’affectation d’un package d’accès. Chaque stratégie peut être utilisée pour s’assurer que seuls les utilisateurs appropriés sont en mesure de demander l’accès, qu’il existe des approbateurs pour leur requête, et que leur accès à ces ressources est limité dans le temps et qu’il expirera s’il n’est pas renouvelé.
Dans chaque stratégie, un administrateur ou un gestionnaire de package d’accès définit les utilisateurs existants qui sont éligibles à la demande d’accès, le processus d’approbation ou de refus d’accès et la durée de l’accès d’un utilisateur.
Quand utiliser des packages d’accès ?
Les packages d’accès ne remplacent pas d’autres mécanismes d’attribution d’accès. Ils sont particulièrement indiqués dans les cas suivants :
- Les employés ont besoin d’un accès limité dans le temps pour une tâche particulière. Par exemple, vous pouvez utiliser la gestion de licences par groupe et un groupe dynamique pour vérifier que tous les employés disposent d’une boîte aux lettres Exchange Online, puis utiliser des packages d’accès pour les situations où les employés ont besoin d’un accès supplémentaire, par exemple pour lire les ressources d’un service à partir d’un autre service.
- Accès qui nécessite l’approbation du responsable d’un employé ou d’autres personnes désignées.
- Les services souhaitent gérer leurs propres stratégies d’accès à leurs ressources sans implication informatique.
- Deux organisations ou plus collaborent sur un projet et, par conséquent, plusieurs utilisateurs d'une organisation devront être amenés via Microsoft Entra B2B pour accéder aux ressources d'une autre organisation.
Le diagramme suivant montre un exemple des différents éléments en matière de gestion des droits d'utilisation :
Dans le package d'accès 1, il n’y a qu’un seul groupe en tant que ressource. L’accès est défini par une stratégie qui autorise un ensemble d’utilisateurs du répertoire à demander un accès. Le package d’accès 2 comprend un groupe, une application et un site SharePoint Online en tant que ressources. L’accès est défini par deux stratégies différentes. La première stratégie autorise un ensemble d’utilisateurs du répertoire à demander un accès. La seconde stratégie permet aux utilisateurs d'un répertoire externe de demander un accès.