Que sont les révisions d’accès ?
Les révisions d'accès dans Microsoft Entra ID, qui fait partie de Microsoft Entra, permettent aux organisations de gérer efficacement les adhésions aux groupes, l'accès aux applications d'entreprise et les attributions de rôles. L’accès utilisateur peut être révisé régulièrement pour vérifier que seules les personnes appropriées continuent de bénéficier de l’accès.
Voici une vidéo qui donne une vue d’ensemble rapide des révisions d’accès :
Pourquoi les révisions d’accès sont-elles importantes ?
Microsoft Entra ID vous permet de collaborer avec des utilisateurs internes à votre organisation ainsi qu’avec des utilisateurs externes. Les utilisateurs peuvent se joindre à des groupes, inviter des personnes, se connecter à des applications cloud et travailler à distance à partir de leurs appareils personnels ou professionnels. L’intérêt d’utiliser le libre-service a conduit à la nécessité d’avoir de meilleures fonctionnalités de gestion des accès.
- Quand de nouveaux employés arrivent, comment vérifier qu’ils disposent des accès dont ils ont besoin pour être productifs ?
- Quand des personnes changent d’équipe ou quittent l’entreprise, comment vérifier que leur ancien accès est bien supprimé ?
- Des droits d’accès excessifs peuvent entraîner des compromissions.
- Des droits d’accès excessifs peuvent également amener à auditer les résultats, car ils indiquent un manque de contrôle des accès.
- Vous devez inviter de façon proactive les propriétaires des ressources à vérifier régulièrement les utilisateurs qui ont accès à leurs ressources.
Quand utiliser les révisions d’accès ?
- Trop d’utilisateurs dans des rôles privilégiés : Il est judicieux de vérifier combien d’utilisateurs ont un accès d’administration, combien d’entre eux ont le rôle Administrateur général, et s’il existe des invités ou des partenaires qui n’ont pas été supprimés après qu’une tâche d’administration leur a été attribuée. Vous pouvez recertifier les utilisateurs d'attribution de rôle dans les rôles Microsoft Entra tels que les administrateurs généraux ou les rôles de ressources Azure tels que l'administrateur des accès utilisateur dans l'expérience Microsoft Entra Privileged Identity Management (PIM).
- Lorsque l'automatisation n'est pas possible : vous pouvez créer des règles d'adhésion dynamique aux groupes de sécurité ou aux groupes Microsoft 365, mais que se passe-t-il si les données RH ne sont pas dans Microsoft Entra ID ou si les utilisateurs ont encore besoin d'y accéder après avoir quitté le groupe pour former leur remplaçant ? Vous pouvez alors créer une révision sur ce groupe pour que ceux qui ont encore besoin d’un accès puissent encore en bénéficier.
- Lorsqu’un groupe est utilisé dans un nouveau but : si vous disposez d’un groupe qui va être synchronisé avec Microsoft Entra ID, ou si vous envisagez d’activer l’application Salesforce pour tous les membres du groupe de l’équipe Sales, il serait utile de demander au propriétaire du groupe d’évaluer l’appartenance au groupe avant que le groupe ne soit utilisé dans un contenu à risque différent.
- Accès aux données vitales pour l’entreprise : pour certaines ressources, telles que les applications vitales pour l’entreprise, il peut être nécessaire dans le cadre des processus de conformité de demander aux personnes de reconfirmer régulièrement et de justifier la raison pour laquelle elles ont besoin d’un accès continu.
- Pour gérer la liste d’exceptions d’une stratégie : Dans l’idéal, tous les utilisateurs doivent respecter les stratégies d’accès pour sécuriser l’accès aux ressources de votre organisation. Toutefois, certains scénarios métiers nécessitent que vous fassiez des exceptions. En tant qu’administrateur informatique, vous pouvez gérer cette tâche, éviter d’oublier les exceptions à la stratégie et fournir aux auditeurs la preuve que ces exceptions sont révisées régulièrement.
- Demandez aux propriétaires de groupe de confirmer qu’ils ont toujours besoin d’invités dans leurs groupes : l’accès des employés peut être automatisé avec d’autres fonctionnalités de gestion des identités et des accès, telles que les flux de travail de cycle de vie basés sur les données d’une source RH, mais pas les invités. Si un groupe donne à des invités l’accès à du contenu sensible de l’entreprise, il est de la responsabilité du propriétaire du groupe de confirmer que les invités ont encore un besoin métier légitime de cet accès.
- Procédez régulièrement à des révisions d’accès : vous pouvez configurer des révisions d’accès des utilisateurs récurrentes à des fréquences définies (hebdomadaires, mensuelles, trimestrielles ou annuelles, par exemple), les réviseurs étant alors informés au début de chaque révision. Les réviseurs peuvent approuver ou refuser l’accès avec une interface conviviale et avec l’aide de recommandations intelligentes.
Notes
Si vous êtes prêts à essayer la révision d’accès, consultez Créer une révision d’accès des groupes ou applications
Où créer des révisions ?
En fonction de ce que vous souhaitez vérifier, vous créez votre révision d’accès dans les révisions d’accès, dans les applications d’entreprise Microsoft Entra, dans PIM ou dans la gestion des droits d’utilisation.
| Droits d’accès des utilisateurs | Les réviseurs peuvent être | Révision créée dans | Expérience des réviseurs |
|---|---|---|---|
| Membres des groupes de sécuritéMembres du groupe Office | Réviseurs spécifiésPropriétaires de groupeAuto-révision | accéder aux avis desgroupes Microsoft Entra | Panneau d’accès |
| Affecté à une application connectée | Réviseurs spécifiésAuto-révision | Accédez aux avis sur les applications d’entreprise Microsoft Entra | Panneau d’accès |
| Rôle Microsoft Entra | Réviseurs spécifiésAuto-révision | PIM | Centre d’administration Microsoft Entra |
| Rôle de ressource Azure | Réviseurs spécifiésAuto-révision | PIM | Centre d’administration Microsoft Entra |
| Attributions de package d’accès | Réviseurs désignésMembres du groupeRévision indépendante | gestion des droits d’utilisation | Panneau d’accès |
Conditions de licence :
Les utilisateurs de votre organisation doivent disposer d’abonnements Microsoft Entra ID Governance pour utiliser cette fonctionnalité. Certains composants de cette fonctionnalité peuvent fonctionner avec un abonnement Microsoft Entra ID P2. Pour plus d’informations, consultez les articles relatifs à chaque composant. Pour trouver la licence adaptée à vos besoins, consultez Notions de base sur les licences Gouvernances des ID Microsoft Entra.
Remarque
La création d’une révision sur un utilisateur inactif et avec des recommandations d’affiliation d’utilisateurs au groupe nécessite une licence Microsoft Entra ID Governance.
Étapes suivantes
- Préparer une révision d’accès de l’accès à une application
- Créer une révision d’accès de groupes ou d’applications
- Créer une révision d'accès des utilisateurs dans un rôle administratif Microsoft Entra
- Réviser l’accès à des groupes ou à des applications
- Effectuer une révision d’accès de groupes ou révisions d’accès des applications dans Azure AD