Créer et configurer des programmes de révision d’accès
Les révisions d'accès Microsoft Entra sont une caractéristique de la gouvernance des ID Microsoft Entra. Les révisions d’accès permettent de s’assurer que les bonnes identités ont les droits d’accès pour les ressources appropriées dans l’organisation. Les révisions d'accès peuvent être implémentées par programme à l'aide de l'API des révisions d'accès dans Microsoft Graph.
Modèle de données de la révision d’accès Microsoft Entra
La fonctionnalité des révisions d’accès Microsoft Entra ajoute les types de ressources suivants :
| Type de ressource | Description |
|---|---|
| accessReview | Le conteneur représente une révision d’accès. Il peut s’agir d’une révision ponctuelle, d’une série de révisions périodiques, ou d’une instance de révision périodique. |
| businessFlowTemplate | Le modèle de flux d’entreprise détermine la ressource de type sur laquelle une révision d’accès doit être effectuée. L’identificateur d’un modèle, par exemple la révision des membres invités d’un groupe, est fourni par l’appelant lors de la création d’une révision d’accès. (Les objets d’un modèle de flux d’entreprise sont uniquement lus, ils sont générés automatiquement lorsque l’administrateur général intègre le locataire pour utiliser la fonctionnalité de révisions d’accès. Aucun autre modèle de flux d’entreprise ne peut être créé.) |
| programme | représente un programme de révision d’accès Microsoft Entra. Un programme est un conteneur qui inclut des contrôles de programme. Un locataire peut avoir un ou plusieurs programmes. Chaque contrôle lie une révision d’accès à un programme pour faciliter la localisation des révisions d’accès associées. Chaque locataire qui a intégré des révisions d’accès Microsoft Entra dispose d’un programme Default program. Un administrateur général peut créer d’autres programmes, par exemple pour représenter des initiatives de conformité. |
| programControl | représente un contrôle, qui lie une révision d’accès à un programme particulier |
| programControlType | le type de contrôle de programme est utilisé lors de l’association d’un contrôle à un programme, pour indiquer le type de révision d’accès pour lequel le contrôle est utilisé. (Les objets d’un type de contrôle de programme sont uniquement lus, ils sont générés automatiquement lorsque l’administrateur général intègre le locataire pour utiliser la fonctionnalité de révisions d’accès. Aucun autre type de contrôle de programme ne peut être créé.) |
Inscrire une application Microsoft Entra ID qui dispose d'autorisations pour appeler l'API des révisions d'accès dans Graph
Le modèle d’autorisation Graph nécessite qu’une application soit autorisée par un utilisateur ou un administrateur avant d’accéder aux données d’une organisation.
Ouvrez le portail Azure en tant qu’administrateur général.
Accédez à l'extension Microsoft Entra ID, puis sélectionnez Inscriptions d'applications dans la section Gérer pour accéder à la page d'inscriptions d'applications
Sélectionnez le bouton Nouvelle inscription d’application en haut de la page.
Choisissez un nom pour l’application différent de n’importe quel autre nom d’application dans le répertoire de votre locataire (exemple =
graphsample).Définissez le type d’application sur Natif et fournissez les éléments suivants en tant qu’URI de redirection :
urn:ietf:wg:oauth:2.0:oobSélectionnez « Créer ».
Lorsque l’application est inscrite, copiez la valeur ID d’application et enregistrez la valeur pour une utilisation ultérieure.
Sélectionnez Paramètres, puis Autorisations requises.
Sélectionnez Ajouter. Choisissez Sélectionner une API, Microsoft Graph, puis Sélectionner.
Les révisions d'accès Microsoft Entra utilisent les autorisations déléguées suivantes :
- Lire toutes les révisions d'accès auxquelles l'utilisateur a accès
- Gérer toutes les révisions d'accès auxquelles l'utilisateur a accès
- Lire tous les programmes auxquels l'utilisateur a accès
- Gérer tous les programmes auxquels l'utilisateur a accès. Cet exemple d’application nécessite uniquement les autorisations : Lire toutes les révisions d'accès auxquelles l'utilisateur a accès et Lire tous les programmes auxquels l'utilisateur a accès
Cochez la case de ces deux autorisations, puis choisissez Sélectionner.
Sélectionnez « Terminé ».
Blocs de construction de l’API des révisions d’accès
L’API des révisions d’accès est structurée logiquement et se compose des blocs de construction suivants.
Définition de la planification des révisions d’accès
Il s’agit du blueprint logique qui contient les paramètres d’une révision d’accès et de ses instances. Il s’agit notamment des paramètres suivants :
- Les ressources utilisées.
- Les principaux qui accèdent à la ressource.
- Les réviseurs qui confirment la nécessité pour les principaux de maintenir l’accès aux ressources.
- La fréquence de la révision d’accès.
- Les étapes de la révision d’accès (pour une révision d’accès à plusieurs étapes).
Instance de révision d’accès
- Représente une activité de révision unique ou une occurrence à partir de laquelle les réviseurs prennent des décisions. Une définition de révision d'accès peut avoir plusieurs instances, comme c'est le cas dans les révisions périodiques. Les révisions ponctuelles ont exactement une instance. Pour une révision d’accès à plusieurs étapes, chaque instance contient jusqu’à trois étapes.
Élément de décision consigné pour un examen
- Représente une décision prise par un réviseur sur une instance, y compris l’horodatage et la justification de la décision. Chaque instance de révision a autant de décisions que le nombre de principaux en cours de révision. S’il n’y a aucune décision prise, autrement dit, les réviseurs n’ont pas répondu à la révision, il n’y aura aucun objet de décision pour l’instance.