Prendre des mesures en réponse aux résultats avec l’onglet Correction de Gestion des autorisations

  • 6 minutes

Gestion des autorisations Microsoft Entra procure non seulement des informations sur ce qui se passe dans vos environnements cloud, mais vous donne également les outils nécessaires pour agir sur ces derniers. Gestion des autorisations offre une multitude de fonctionnalités de correction qui vous permettent de dimensionner et gérer facilement les autorisations dans vos environnements multiclouds.

Remarque

Vous devez activer le contrôleur dans votre environnement pour tirer parti des capacités de correction dans Gestion des autorisations.

Création de rôles personnalisés en fonction de l’activité passée

Le premier outil de correction offert par Gestion des autorisations simplifie le dimensionnement correct des rôles en vous permettant de créer des rôles personnalisés en fonction de l’historique des activités d’utilisation des utilisateurs, des groupes et des applications dans votre environnement.

Screenshot of the Permissions Management Creating Custom Roles view.

Gestion des autorisations vous permet de créer des rôles de taille appropriée contenant uniquement les autorisations que les utilisateurs, groupes ou applications doivent utiliser durant un laps de temps spécifié.

Screenshot of the Permissions Management Creating Custom Roles task tab.

La création de rôles personnalisés est utile pour dimensionner correctement les autorisations et, dans les situations d’intégration, pour créer des rôles pour les nouveaux employés en fonction de l’activité des utilisateurs de la même équipe ou des utilisateurs effectuant une fonction de travail similaire.

Si vous souhaitez davantage de contrôle lors de la création de rôles personnalisés, Gestion des autorisations offre la capacité à créer des rôles à partir de rôles existants dans votre environnement et de les personnaliser en sélectionnant manuellement les autorisations que vous souhaitez inclure.

Screenshot of the Permissions Management Roles and Policies tab.

Les rôles personnalisés existants dans votre environnement peuvent également être clonés, modifiés ou supprimés directement dans le produit Gestion des autorisations.

Dimensionnement correct des accès en un seul clic

Le deuxième outil de correction fourni par Gestion des autorisations est peut-être le plus utile de tous : il s’agit d’actions rapides qui vous permettent de dimensionner correctement l’accès utilisateur en un seul clic.

Screenshot of the Permissions Management Quick Actions to manage users.

Quatre actions rapides peuvent être utilisées pour gérer les utilisateurs :

  • Révoquer les tâches inutilisées
  • Révoquer les tâches à haut risque
  • Révoquer les tâches supprimées
  • Attribuer l’état en lecture seule

Pour comprendre comment fonctionnent ces actions, nous allons nous concentrer sur l’action Révoquer les tâches inutilisées. Si nous voulons effectuer cette action rapide, nous commençons d’abord par sélectionner l’utilisateur sur lequel nous voulons effectuer l’action. Ensuite, nous sélectionnons Révoquer les tâches inutilisées. Les actions suivantes se produisent en arrière-plan :

  • Gestion des autorisations examine l’historique d’utilisation de l’utilisateur sélectionné, et crée un rôle personnalisé contenant uniquement les autorisations qu’il a utilisées au cours des 90 derniers jours.
  • Ce rôle personnalisé est attribué à l’utilisateur et toutes les autres attributions sont supprimées, ce qui laisse l’utilisateur avec une attribution de rôle parfaitement adaptée basée sur son historique de 90 jours.

Ce processus de création d’une attribution de rôle personnalisée et de révocation de toutes les autres attributions s’applique aux quatre options d’action rapide.

Si vous souhaitez apporter de plus petits ajustements à l’un de vos utilisateurs, vous pouvez ajouter et supprimer des rôles et des tâches spécifiques par utilisateur à l’aide des boutons Ajouter un rôle, Supprimer un rôle, Ajouter des tâches, Supprimer des tâches situés juste au-dessus des actions rapides.

Options de correction automatisées avec Autopilot

Le troisième outil de correction fourni par Gestion des autorisations est Autopilot, un ensemble de règles prédéfinies ayant pour objectif de vous aider à activer la correction automatisée dans votre environnement.

Screenshot of the Permissions Management automating remediation tasks.

L’activation d’une règle Autopilot vous permet d’effectuer ces actions en quelques clics :

  • Générer des recommandations : fournit une liste d’actions de correction recommandées qui doivent être effectuées en fonction des critères de la règle.
  • Appliquer les recommandations : permet d’appliquer automatiquement les actions de correction recommandées.
  • Annuler l’application des recommandations : permet de revenir en arrière et d’annuler l’une des actions de correction recommandées qui ont été appliquées.

Autoriser les utilisateurs à demander des autorisations temporaires

Autorisations à la demande est un système qui gère la demande et l’octroi temporaire d’autorisations. Pour mieux comprendre l’expérience Autorisations à la demande, nous allons la décomposer en expérience utilisateur et en expérience administrateur/approbateur.

Demander des autorisations en tant qu’utilisateur

Lors de la demande d’autorisations supplémentaires, les utilisateurs spécifient l’environnement cloud, le système d’autorisation et l’étendue pour lesquels ils souhaitent demander des autorisations. Ils spécifient ensuite les rôles ou tâches supplémentaires qu’ils souhaitent se voir accorder, et demandent l’utilisation d’un modèle.

Screenshot of the Permissions Management request roles as a user.

  • Demander rôle(s) : cette option permet aux utilisateurs de sélectionner davantage de rôles qu’ils souhaitent se voir accorder.
  • Demander tâche(s) : cette option permet aux utilisateurs de sélectionner des autorisations spécifiques qu’ils souhaitent se voir accorder. Elle est utile pour les utilisateurs qui savent exactement de quelles autorisations ils ont besoin pour effectuer les tâches souhaitées.
  • Demander à l’aide d’un modèle : cette option permet aux utilisateurs de sélectionner un modèle d’autorisation qu’ils souhaitent se voir accorder. Les modèles peuvent être considérés comme des ensembles prédéfinis d’autorisations créés par les administrateurs.

Après avoir spécifié les autorisations à accorder, les utilisateurs spécifient le moment où ils souhaitent que certaines autorisations entrent en vigueur. Les autorisations peuvent être accordées immédiatement ou en fonction d’une planification.

Screenshot of the Permissions Management schedule permissions for a user immediately.

Screenshot of the Permissions Management schedule permissions for varying timeframes.

Lorsqu’ils demandent à ce que les autorisations soient accordées selon une planification, les utilisateurs sélectionnent les jours et heures exacts d’octroi des autorisations. Par exemple, dans l’écran ci-dessus, nous demandons que les autorisations souhaitées soient accordées à 8h00 pendant huit heures chaque lundi et vendredi.

Octroi d’autorisations en tant qu’administrateur

L’onglet Demandes dans Gestion des autorisations est l’emplacement où vous trouverez toutes les demandes d’autorisations effectuées par les utilisateurs. Chaque demande fournit des détails tels que les autorisations demandées et quand elles seront accordées. Les administrateurs peuvent approuver ou rejeter la demande directement dans le produit.

Screenshot of the Permissions Management request tab details.

Autorisations à la demande héberge de nombreux outils d’administration pour rendre le processus plus configurable, notamment la configuration de l’approbation automatique (disponible pour les environnements AWS) de certaines autorisations à faible risque, avec spécification exacte des rôles que vos utilisateurs peuvent demander et configuration des limites de durée des demandes.