Planifier des révisions d’accès
Qu’est-ce qu’une révision d’accès ?
Une révision d’accès est, comme son nom l’indique, une révision planifiée des besoins d’accès, des droits et de l’historique de l’accès utilisateur. Les révisions d’accès permettent aux utilisateurs de s’assurer que les bonnes personnes ont les droits d’accès pour les ressources appropriées. Elles permettent de limiter les risques d’accès en protégeant, en surveillant et en auditant l’accès aux ressources critiques tout en garantissant la productivité des employés et des partenaires. Enfin, la révision d’accès est effectuée dans Gouvernance des ID Microsoft Entra. Une licence Microsoft Entra ID premium P2 est requise.
Tenez compte des besoins de votre organisation pour déterminer la stratégie de déploiement des révisions d’accès dans votre environnement.
Impliquer les parties prenantes appropriées
Lorsque des projets technologiques échouent, cela est généralement dû à des attentes qui ne correspondent pas, aux résultats et aux responsabilités réels. Pour éviter un tel cas de figure, prenez soin de faire appel aux bonnes parties prenantes et à clarifier les rôles du projet. Pour les révisions d’accès, vous inclurez probablement des représentants des équipes suivantes au sein de votre organisation :
L’administration informatique gère votre infrastructure informatique et administre vos investissements cloud et vos applications SaaS (Software as a service).
Les équipes de développement créent et entretiennent des applications pour votre organisation.
Les unités commerciales gèrent des projets et possèdent des applications.
La gouvernance d’entreprise garantit que l’organisation suit la stratégie interne et respecte les réglementations.
Notes
Pour les révisions nécessitant des évaluations manuelles, veillez à planifier les réviseurs et cycles de révision adéquats qui répondent à vos besoins en matière de stratégie et de conformité. Si les cycles de révision sont trop fréquents ou qu’il y a trop peu de réviseurs, la qualité est perdue et trop ou trop peu de personnes y ont accès.
Qu’est-ce que Microsoft Entra ID Governance ?
La Gouvernance des identités Microsoft Entra vous permet de bénéficier de la visibilité et des processus appropriés pour répondre aux besoins de votre organisation en termes de sécurité et de productivité des employés. Il offre des fonctionnalités permettant de faire en sorte que chacun dispose de droits d’accès aux ressources adaptés. Ces fonctionnalités et celles liées à Microsoft Entra ID et à Enterprise Mobility + Security permettent de limiter les risques d’accès en protégeant, en surveillant et en auditant l’accès aux ressources critiques, tout en garantissant la productivité des employés et des partenaires.
Identity Governance offre aux organisations la possibilité d’effectuer des tâches complètes vis-à-vis des employés, des partenaires et des fournisseurs, pour différents services et applications en local comme dans le cloud. Plus précisément, ce service vise à aider les organisations à répondre à ces quatre questions clés :
- Quels utilisateurs doivent pouvoir accéder à quelles ressources ?
- Que font les utilisateurs de cet accès ?
- Des contrôles organisationnels efficaces sont-ils disponibles pour gérer l’accès ?
- Des auditeurs peuvent-ils vérifier que les contrôles fonctionnent ?
Prévoir un pilote
Nous encourageons les clients à tester initialement les révisions d’accès avec un petit groupe et à cibler des ressources non critiques. Cette phase pilote peut vous aider à ajuster les processus et les communications en fonction des besoins et à augmenter la capacité des utilisateurs et des réviseurs à répondre aux exigences de conformité et de sécurité.
Dans votre pilote, nous vous recommandons d’effectuer les tâches suivantes :
- Commencez par les révisions dont les résultats ne sont pas appliqués automatiquement, et vous pourrez en contrôler les implications.
- Assurez-vous que tous les utilisateurs disposent d’adresses e-mail valides figurant dans Microsoft Entra ID et qu’ils reçoivent des communications par e-mail pour prendre les mesures appropriées.
- Documentez tout accès supprimé dans le cadre du pilote au cas où vous devriez le restaurer rapidement.
- Analysez les journaux d’audit pour vous assurer que tous les événements sont correctement audités.
Quels types de ressources peuvent être révisés ?
Une fois que vous avez intégré les ressources de votre organisation à Microsoft Entra ID (telles que les utilisateurs, les applications et les groupes), elles peuvent être gérées et révisées.
Les cibles classiques à réviser sont les suivantes :
- Accès utilisateur aux applications intégrées à Microsoft Entra ID pour l’authentification unique (par exemple, SaaS, cœur de métier).
- Appartenances aux groupes (synchronisées avec Microsoft Entra ID ou créées dans Microsoft Entra ID / Microsoft 365, notamment Microsoft Teams).
- Package d’accès qui regroupe les ressources (groupes, applications et sites) en un seul package pour gérer l’accès.
- Rôles Microsoft Entra et rôles ressource Azure tels que définis dans Privileged Identity Management (PIM).
Qui va créer et gérer les révisions d’accès ?
Le rôle administratif requis pour créer, gérer ou lire une révision d’accès dépend du type de ressource examiné.
| Type de ressource | Création et gestion des révisions d’accès (créateurs) | Lecture des résultats de la révision d’accès |
|---|---|---|
| Groupe ou application | Administrateur général | Administrateur général |
| Administrateur d'utilisateurs | Lecteur général | |
| Administrateur Identity Governance | Administrateur d’utilisateurs | |
| Administrateur de rôle privilégié (n’effectue la révision que pour les groupes Microsoft Entra assignables) | Administrateur Identity Governance | |
| Propriétaire de groupe | Administrateur de rôle privilégié | |
| Lecteur de sécurité | ||
| Propriétaire de groupe | ||
| Rôle Microsoft Entra | Administrateur général | |
| Administrateur de rôle privilégié | Administrateur général | |
| Lecteur général | ||
| Administrateur d’utilisateurs | ||
| Administrateur de rôle privilégié | ||
| Lecteur de sécurité | ||
| Rôles de ressources Azure | Administrateur général | Administrateur général |
| Administrateur de l'accès utilisateur | Administrateur de l'accès utilisateur | |
| Propriétaire de la ressource | Propriétaire de la ressource | |
| Lecteur (pour la ressource) | ||
| Package d’accès | Administrateur général | Administrateur général |
| Administrateur d'utilisateurs | ||
| Administrateur Identity Governance | Lecteur général | |
| Administrateur d’utilisateurs | ||
| Administrateur Identity Governance | ||
| Lecteur de sécurité |
Qui va réviser l’accès à la ressource ?
Le créateur de la révision d’accès détermine au moment de la création qui effectuera la révision. Ce paramètre ne peut pas être modifié une fois la révision démarrée. Les réviseurs sont représentés par trois personnages :
- Les propriétaires de la ressource, qui sont les propriétaires d’entreprise de la ressource.
- Un ensemble de délégués sélectionnés individuellement, tels que choisis par l’administrateur des révisions d’accès.
- Les utilisateurs finaux qui attestent eux-mêmes leurs besoins en matière d’accès continu.
Lorsque l’administrateur crée une révision d’accès, les administrateurs peuvent choisir un ou plusieurs réviseurs. Tous les réviseurs peuvent démarrer et effectuer une révision, en choisissant d’octroyer aux utilisateurs un accès continu à une ressource ou en les supprimant.
Composants d’une révision d’accès
Avant d’implémenter vos révisions d’accès, vous devez planifier les types de révisions pertinents pour votre organisation. Pour ce faire, vous devez prendre des décisions commerciales sur ce que vous souhaitez examiner et les actions à entreprendre en fonction de ces révisions.
Pour créer une stratégie de révision d’accès, vous devez disposer des informations suivantes :
- Quelles ressources doivent être consultées ?
- Quel est l’utilisateur dont l’accès est examiné ?
- Quelle est la fréquence de la révision ?
- Qui effectuera la révision ?
- Comment ces personnes seront-elles informées de la révision ?
- Quels sont les délais à respecter pour la révision ?
- Quelles actions automatiques doivent être appliquées en fonction de la révision ?
- Que se passe-t-il si le réviseur ne répond pas à temps ?
- Quelles actions manuelles seront exécutées en fonction de la révision ?
- Quelles communications doivent être envoyées en fonction des actions effectuées ?
Exemple de plan de révision d’accès
| Composant | Valeur |
|---|---|
| Ressources à réviser | Accès à Microsoft Dynamics |
| Fréquence de révision | Mensuelle |
| Qui effectue la révision | Responsables de programme du groupe d’entreprise Dynamics |
| Notification | E-mail envoyé 24 heures avant la révision à l’alias Dynamics-Pms |
| Inclure un message personnalisé encourageant les réviseurs pour obtenir leur adhésion | |
| Durée | 48 heures à partir de la notification |
| Actions automatiques | Supprimer l’accès d’un compte sans aucune connexion interactive pendant 90 jours en supprimant l’accès Dynamics du groupe de sécurité de l’utilisateur |
| Exécuter des actions si la révision n’est pas effectuée dans les temps | |
| Actions manuelles | Si vous le souhaitez, les réviseurs procèdent à l’approbation des suppressions avant l’action automatisée |
| Communications | Envoyer aux utilisateurs (membres) internes qui sont supprimés un e-mail expliquant qu’ils sont supprimés et comment récupérer l’accès |
Planifier des révisions d’accès pour les packages d’accès
Les packages d’accès peuvent considérablement simplifier votre stratégie de gouvernance et de révision d’accès. Un package d’accès regroupe toutes les ressources avec l’accès dont un utilisateur a besoin pour travailler sur un projet ou accomplir sa tâche. Par exemple, vous pouvez créer un package d’accès qui comprend toutes les applications dont les développeurs de votre organisation ont besoin, ou toutes les applications auxquelles les utilisateurs externes doivent avoir accès. Un administrateur ou un gestionnaire délégué de package d’accès regroupe ensuite les ressources (groupes ou applications) et les rôles dont les utilisateurs ont besoin pour ces ressources.
Lors de la création d’un package d’accès, vous pouvez créer une ou plusieurs stratégies d’accès qui définissent les conditions auxquelles les utilisateurs peuvent demander un package d’accès, le processus d’approbation et la fréquence à laquelle une personne doit redemander l’accès. Les révisions d’accès sont configurées lors de la création ou de la modification d’une stratégie de package d’accès.
Planifier des révisions d’accès pour les groupes
Outre les packages d’accès, la révision de l’appartenance à un groupe est la méthode la plus efficace pour régir l’accès. Nous vous recommandons d’attribuer l’accès aux ressources via des groupes de sécurité ou des groupes Microsoft 365, et d’ajouter des utilisateurs à ces groupes pour qu’ils en obtiennent l’accès.
Un groupe peut se voir accorder l’accès à toutes les ressources appropriées. Vous pouvez attribuer au groupe un accès à des ressources individuelles ou à un package d’accès qui regroupe des applications et d’autres ressources. Grâce à cette méthode, vous pouvez réviser l’accès au groupe plutôt que l’accès d’un individu à chaque application.
L’appartenance au groupe peut être révisée par :
- Administrateurs
- Propriétaires de groupe
- Certains utilisateurs, capacité de révision déléguée lors de la création de la révision
- Membres du groupe, en attestant d’eux-mêmes
Propriété de groupe
Nous recommandons aux propriétaires de groupes de réviser leur appartenance, car ils sont les mieux placés pour savoir qui a besoin d’un accès. La propriété des groupes diffère selon le type de groupe.
Les groupes créés dans Microsoft 365 et Microsoft Entra ID ont un ou plusieurs propriétaires bien définis. Dans la plupart des cas, ces propriétaires font de parfaits réviseurs pour leurs propres groupes, car ils savent qui doit y avoir accès. Par exemple, Microsoft Teams utilise les groupes Microsoft 365 comme modèle d’autorisation sous-jacent pour accorder aux utilisateurs l’accès aux ressources qui se trouvent dans SharePoint, Exchange, OneNote ou d’autres services Microsoft 365. Le créateur de l’équipe devient automatiquement propriétaire et doit être responsable d’attester l’appartenance de ce groupe.
Les groupes créés manuellement dans le portail du centre d’administration Microsoft Entra ou par le biais d’un script via Microsoft Graph peuvent ne pas nécessairement avoir des propriétaires définis. Nous vous recommandons de les définir par le biais du portail d’administration dans la section « Propriétaires » du groupe ou par le biais de Graph.
Les groupes, synchronisés à partir du service Active Directory local, ne peuvent pas avoir de propriétaire dans Microsoft Entra ID. Lors de la création d’une révision d’accès, vous devez sélectionner les personnes qui sont les plus aptes à décider de leur appartenance.
Notes
Nous vous recommandons de définir des stratégies d’entreprise qui définissent la façon dont les groupes sont créés afin de garantir la propriété et la responsabilité claires du groupe pour une révision régulière de ses membres.
Examiner l’appartenance des groupes d’exclusion dans les stratégies d’accès conditionnel
Il peut arriver que les stratégies d’accès conditionnel conçues pour sécuriser votre réseau ne s’appliquent pas à tous les utilisateurs. Par exemple, une stratégie d’accès conditionnel qui autorise uniquement les utilisateurs à se connecter à partir du réseau de l’entreprise ne peut pas s’appliquer à l’équipe de vente, qui voyage beaucoup. Dans ce cas, les membres de l’équipe de vente seraient placés dans un groupe, et ce groupe serait exclu de la stratégie d’accès conditionnel.
Réviser les appartenances aux groupes des utilisateurs externes
Pour minimiser le travail manuel et les erreurs potentielles associées, envisagez d’utiliser des groupes dynamiques pour attribuer l’appartenance à un groupe en fonction des attributs d’un utilisateur. Vous souhaitez créer un ou plusieurs groupes dynamiques pour les utilisateurs externes. Le commanditaire interne peut agir en tant que réviseur pour l’appartenance au groupe.
Réviser l’accès aux groupes locaux
Les révisions d'accès ne peuvent pas modifier l'appartenance des groupes que vous synchronisez à partir de votre site local avec Microsoft Entra Connect. Cela est dû au fait que la source d’autorité est locale. Vous pouvez toujours utiliser les révisions d’accès pour planifier et gérer régulièrement des révisions de groupes locaux. Les réviseurs effectuent ensuite des actions dans le groupe local. Cette stratégie permet de garder les révisions d’accès comme outil pour toutes les révisions. Vous pouvez utiliser les résultats d’une révision d’accès sur les groupes locaux et les traiter plus avant. Les données sont disponibles dans un fichier CSV ou dans Microsoft Graph.
Planifier des révisions d’accès pour les applications
Lorsque vous révisez l’accès à une application, vous révisez l’accès des employés et des identités externes aux informations et aux données contenues dans l’application. Choisissez de réviser une application lorsque vous avez besoin de savoir qui a accès à une application spécifique, plutôt qu’à un package d’accès ou à un groupe.
Nous vous recommandons de planifier des révisions d’applications dans les scénarios suivants :
- Les utilisateurs bénéficient d’un accès direct à l’application (en dehors d’un groupe ou d’un package d’accès).
- L’application expose des informations critiques ou sensibles.
- L’application a des exigences de conformité spécifiques dont vous devez attester.
- Vous soupçonnez un accès inapproprié.
Réviseurs pour une application
Les révisions d’accès peuvent porter sur les membres d’un groupe ou sur les utilisateurs qui ont été assignés à une application. Les applications dans Microsoft Entra ID n'ont pas nécessairement de propriétaire. Par conséquent, l'option de sélection du propriétaire de l'application en tant que réviseur n'est pas possible. Vous pouvez en outre étendre la portée d’une révision pour n’examiner que les utilisateurs invités affectés à l’application, plutôt que d’examiner tous les accès.
Planifier l'évaluation des rôles de ressources Microsoft Entra ID et Azure
Privileged Identity Management (PIM) simplifie la gestion (par les entreprises) des accès privilégiés aux ressources dans Microsoft Entra ID. Cela permet de réduire considérablement la liste des rôles privilégiés, aussi bien dans Microsoft Entra ID que dans les ressources Azure, et d’accroître la sécurité globale du répertoire.
Les révisions d’accès permettent aux réviseurs d’attester si les utilisateurs doivent toujours appartenir à un rôle. Tout comme les révisions d’accès pour les packages d’accès, les révisions des rôles Microsoft Entra et des ressources Azure sont intégrées à l’expérience de l’utilisateur administrateur PIM. Nous vous recommandons de réviser régulièrement les attributions de rôle suivantes :
- Administrateur général
- Administrateur d'utilisateurs
- Administrateur d’authentification privilégié
- Administrateur de l’accès conditionnel
- Security Administrator
- Tous les rôles Administration de service Microsoft 365 et Dynamics
Déployer des révisions d’accès
Une fois une stratégie et un plan préparés pour réviser l’accès aux ressources intégrées à Microsoft Entra ID, déployez et gérez les révisions à l’aide des ressources ci-dessous.
Réviser des packages d’accès
Pour réduire le risque d’un accès obsolète, les administrateurs peuvent activer les révisions périodiques des utilisateurs qui ont des affectations actives à un package d’accès. Vous pouvez créer des révisions d’accès, effectuer des révisions d’accès pour d’autres personnes affectées à un package d’accès ou effectuer une auto-révision des packages d’accès affectés.
Réviser des groupes et des applications
L’accès employés et invités requiert que les groupes et applications évoluent dans le temps. Afin de réduire les risques associés aux attributions d’accès obsolètes, les administrateurs peuvent créer des révisions d’accès pour les membres de groupes ou pour l’accès aux applications.
Vous pouvez créer des révisions d’accès pour les membres d’un groupe ou un accès aux applications, effectuer des révisions d’accès pour les membres d’un groupe ou les utilisateurs ayant accès à une application, autoriser les membres à réviser leur propre accès à un groupe ou à une application, afficher les révisions d’accès et prendre des mesures pour les groupes locaux avec PowerShell.
Réviser les rôles de Microsoft Entra
Pour réduire les risques associés aux attributions de rôles obsolètes, vous devez régulièrement réviser l’accès aux rôles privilégiés Microsoft Entra.
Réviser les rôles Ressource Azure
Pour réduire les risques associés aux attributions de rôles obsolètes, vous devez régulièrement réviser l’accès aux rôles Ressource Azure.
Utiliser l’API des révisions d’accès
Les méthodes de révision d’accès dans l’API Microsoft Graph sont disponibles à la fois pour les applications et les utilisateurs. Lors de l’exécution de scripts dans le contexte de l’application, le compte utilisé pour exécuter l’API (le principal du service) doit obtenir l’autorisation « AccessReview.Read.All » pour interroger les informations de révision d’accès.
Les tâches les plus courantes à automatiser à l’aide de l’API Graph pour les révisions d’accès sont les suivantes :
Créer et démarrer une révision d’accès.
Terminer manuellement une révision d’accès avant sa fin planifiée.
Répertorier toutes les révisions d’accès en cours d’exécution et leur état.
Consulter l’historique d’une série de révisions et les décisions et actions prises à chaque révision
Collecter les décisions d’une révision d’accès.
Collecter les décisions des révisions terminées où le réviseur a pris une décision différente de celle recommandée par le système
Notes
Lorsque vous créez de nouvelles requêtes de l’API Graph pour l’automatisation, nous vous recommandons d’utiliser Graph Explorer. Vous pouvez générer et explorer vos requêtes Graph avant de les placer dans des scripts et du code. Cela peut vous aider à itérer rapidement votre requête afin d’obtenir exactement les résultats que vous recherchez, sans changer le code de votre script.
Surveiller les révisions d’accès
Les activités de révisions d'accès sont enregistrées et disponibles dans les journaux d'audit de Microsoft Entra. Vous pouvez filtrer les données d’audit par catégorie, type d’activité et plage de dates. Voici un exemple de requête :
| Catégorie | Stratégie |
|---|---|
| Type d’activité | Créer une révision d’accès |
| Mettre à jour une révision d’accès | |
| Révision d’accès terminée | |
| Supprimer une révision d’accès | |
| Approuver la décision | |
| Refuser la décision | |
| Réinitialiser la décision | |
| Appliquer la décision | |
| Plage de dates | Sept jours |
Pour les requêtes plus avancées et l’analyse des révisions d’accès, ainsi que le suivi des modifications et l’achèvement des révisions, nous vous recommandons d’exporter vos journaux d’audit Microsoft Entra vers Azure Log Analytics ou Azure Event Hubs. Lorsque les journaux sont stockés dans Azure Log Analytics, vous pouvez utiliser le puissant langage d’analytique et créer vos propres tableaux de bord.
Planifier les communications
La communication est essentielle à la réussite de tout nouveau processus métier. Communiquez de manière proactive avec les utilisateurs sur la façon dont leur expérience va changer, à quel moment cela va se faire et comment il est possible d’obtenir de l’aide en cas de problème.
Communiquez les changements selon la responsabilité: les révisions d’accès prennent en charge le transfert de responsabilité de la révision et l’action sur l’accès continu aux propriétaires d’entreprise. Le découplage des décisions d’accès de l’équipe informatique permet de prendre des décisions plus précises en matière d’accès. Il s’agit d’un changement culturel dans l’obligation de rendre des comptes et la responsabilité du propriétaire des ressources. Communiquez cette modification de manière proactive et assurez-vous que les propriétaires des ressources sont formés et en mesure d’utiliser les informations pour prendre de bonnes décisions.
Il est clair que l’équipe informatique souhaite garder le contrôle de toutes les décisions d’accès relatives à l’infrastructure et des attributions de rôles privilégiés.
Personnalisez la communication par e-mail : lorsque vous planifiez une révision, vous désignez les utilisateurs qui effectuent cette révision. Ces réviseurs reçoivent ensuite une notification par e-mail concernant les nouvelles révisions qui leur sont attribuées, ainsi que des rappels avant l’expiration d’une de ces révisions.
Les administrateurs peuvent choisir d’envoyer cette notification soit à mi-chemin avant l’expiration de la révision, soit un jour avant son expiration.
L’e-mail envoyé aux réviseurs peut être personnalisé de façon à inclure un message bref personnalisé qui les encourage à agir sur la révision. Nous vous recommandons d’utiliser le texte supplémentaire pour :
- Inclure un message personnel adressé aux réviseurs, afin qu’ils sachent qu’il est envoyé par votre service informatique ou de conformité.
- Inclure un lien hypertexte ou une référence à des informations internes sur les attentes de la révision et des documents de référence ou de formation supplémentaires.
- Inclure un lien vers des instructions sur la façon d’effectuer une auto-révision de l’accès.
Lors de la sélection de l’option Démarrer la révision, les réviseurs sont dirigés vers le portail MyAccess pour les révisions d’accès aux groupes et aux applications. Le portail leur donne une vue d’ensemble de tous les utilisateurs qui ont accès à la ressource qu’ils révisent, ainsi que des recommandations système basées sur les dernières informations de connexion et d’accès.
De combien de licences avez-vous besoin ?
Votre répertoire a besoin d’au moins autant de licences Microsoft Entra ID Premium P2 que d’employés effectuant les tâches suivantes :
- Utilisateurs membres auxquels le rôle de réviseur a été attribué
- Utilisateurs membres qui effectuent une révision indépendante
- Utilisateurs membres en tant que propriétaires de groupes qui effectuent une révision d’accès
- Utilisateurs membres en tant que propriétaires d’applications qui effectuent une révision d’accès
Pour les utilisateurs invités, les besoins en licences dépendent du modèle de licence que vous utilisez. Les activités des utilisateurs invités ci-dessous sont toutefois considérées comme une utilisation de Microsoft Entra ID Premium P2 :
- Utilisateurs invités auxquels le rôle de réviseur a été attribué
- Utilisateurs invités qui effectuent une révision indépendante
- Utilisateurs invités en tant que propriétaires de groupes qui effectuent une révision d’accès
- Utilisateurs invités en tant que propriétaires d’applications qui effectuent une révision d’accès
Les licences Microsoft Entra ID Premium P2 ne sont pas requises pour les utilisateurs disposant des rôles Administrateur général ou Administrateur d’utilisateurs qui configurent des révisions d’accès ou des paramètres, ou qui appliquent les décisions provenant de révisions.