Gérer l'accès à une application

La gestion de l’accès, l’évaluation de l’utilisation et la création de rapports en continu demeurent un défi quand une application vient d’être intégrée au système d’identité de votre organisation. Dans de nombreux cas, les administrateurs informatiques ou le support technique doivent en permanence jouer un rôle actif dans la gestion de l’accès à vos applications. Parfois, l’affectation est effectuée par une équipe informatique générale ou rattachée à une division. Souvent, il revient au décideur d’entreprise de décider d’une affectation, que l’équipe informatique ne pourra mettre en œuvre qu’avec son approbation.

D’autres organisations investissent dans l’intégration à un système automatisé de gestion des identités et des accès, tel que le contrôle d’accès en fonction du rôle (RBAC) ou le contrôle d’accès en fonction de l’attribut (ABAC). L’intégration et le développement de règles ont tous deux tendance à être spécialisés et coûteux. Quelle que soit la méthode de gestion, l’analyse ou la création de rapports suppose un investissement distinct, coûteux et complexe.

Comment Microsoft Entra ID aide-t-il ?

Microsoft Entra ID prend en charge une gestion complète de l’accès pour les applications configurées, permettant aux organisations d’accomplir facilement les stratégies d’accès appropriées, allant de l’affectation automatique basée sur l’attribut (scénarios ABAC ou RBAC) à la gestion des administrateurs en passant par la délégation. Grâce à Microsoft Entra ID, vous pouvez facilement accomplir des stratégies complexes, en combinant plusieurs modèles de gestion pour une application unique, et pouvez même réutiliser les règles de gestion entre les applications avec le même public.

Avec Microsoft Entra ID, la création de rapports d’utilisation et d’affectation est entièrement intégrée, permettant aux administrateurs de créer facilement des rapports sur l’état des affectations, les erreurs d’affectation et même sur l’utilisation.

Attribution d’utilisateurs et de groupes à une application

L’affectation d’applications Microsoft Entra se concentre sur deux modes d’affectation principaux :

  • Affectation individuelle : un administrateur informatique détenant des autorisations d’administrateur général de l’annuaire peut sélectionner différents comptes d’utilisateurs et leur octroyer un accès à l’application.

  • Affectation basée sur le groupe (nécessite Microsoft Entra ID P1 ou P2) : un administrateur informatique détenant des autorisations d’administrateur général de l’annuaire peut affecter un groupe à l’application. L’accès dont bénéficie un utilisateur dépend de son appartenance éventuelle au groupe au moment où il essaie d’accéder à l’application. En d’autres termes, un administrateur peut créer efficacement une règle d’affectation indiquant « tout membre actuel du groupe affecté a accès à l’application ». Avec cette option d’affectation, les administrateurs peuvent tirer parti des options de gestion de groupe Microsoft Entra, notamment des groupes dynamiques basés sur l’attribut, des groupes de systèmes externes (par exemple, Active Directory local ou Workday) ou des groupes gérés par un administrateur ou en libre-service. Un même groupe peut être facilement affecté à plusieurs applications ; de la sorte, celles qui présentent une affinité d’affectation peuvent partager des règles d’affectation, réduisant ainsi la complexité globale de la gestion.

    Notes

    Les appartenances à des groupes imbriqués ne sont pas prises en charge pour l’affectation basée sur le groupe à des applications à ce stade.

Grâce à ces deux modes d’affectation, les administrateurs peuvent mettre en œuvre toute approche de gestion d’affectation souhaitable.

Demande d’affectation d’utilisateurs pour une application

Avec certains types d’applications, vous avez la possibilité de demander que des utilisateurs soient affectés à l’application. En procédant ainsi, vous empêchez tous les utilisateurs de se connecter, à l’exception de ceux que vous affectez explicitement à l’application. Les types d’applications suivants prennent en charge cette option :

  • Les applications configurées pour l’authentification unique (SSO) fédérée avec l’authentification basée sur SAML
  • Les applications de proxy d’application qui utilisent la pré-authentification Microsoft Entra
  • Les applications, qui sont créées sur la plateforme d’application Microsoft Entra et utilisent l’authentification OAuth 2.0 / OpenID Connect après qu’un utilisateur ou administrateur a donné son consentement à l’application. Certaines applications d’entreprise offrent davantage de contrôle sur les personnes autorisées à se connecter.

Quand une affectation d’utilisateur est requise, seuls les utilisateurs que vous affectez à l’application (via une affectation directe ou une appartenance à un groupe) peuvent se connecter. Ils peuvent accéder à l’application via le portail Mes applications ou à l’aide d’un lien direct.

Lorsque l’affectation d’utilisateurs n’est pas obligatoire, les utilisateurs non affectés ne voient pas l’application dans Mes applications, mais ils peuvent quand même se connecter à l’application elle-même (procédure également appelée « authentification initiée par le fournisseur de services »). Ils peuvent aussi utiliser l’URL d’accès utilisateur de la page Propriétés de l’application (action également appelée « authentification initiée par IDP »). Pour en savoir plus sur les exigences de configuration d’affectations d’utilisateurs, consultez Configurer une application

Ce paramètre n’a pas d’incidence sur l’apparition ou non d’une application dans le volet Mes applications. Les applications apparaissent dans les panneaux d’accès Mes applications des utilisateurs une fois que vous avez affecté un utilisateur ou un groupe à l’application.

Notes

Lorsqu’une application exige une affectation, le consentement de l’utilisateur n’est pas autorisé pour cette application. Cela est vrai même si ce consentement aurait autrement été autorisé pour l’application en question. Veillez à accorder le consentement administrateur à l’échelle du locataire aux applications qui exigent une affectation.

Pour certaines applications, l’option permettant de demander l’affectation d’utilisateurs n’est pas disponible dans les propriétés de l’application. Dans ce cas, vous pouvez utiliser PowerShell pour définir la propriété appRoleAssignmentRequired sur le principal du service.

Détermination de l’expérience utilisateur pour l’accès aux applications

Microsoft Entra ID propose plusieurs méthodes personnalisables pour déployer des applications auprès des utilisateurs finaux de votre organisation :

  • Mes applications Microsoft Entra
  • Lanceur d'applications Microsoft 365
  • Authentification directe pour les applications fédérées (service-pr)
  • Liens ciblés vers des applications fédérées, avec mot de passe ou des applications existantes

Vous pouvez déterminer si les utilisateurs attribués à une application d'entreprise peuvent voir celle-ci dans le lanceur d'applications Microsoft 365.

Exemple : affectation d’applications complexe avec Microsoft Entra ID

Considérez une application comme Salesforce. Dans de nombreuses organisations, Salesforce est principalement utilisé par des équipes commerciales et marketing. Souvent, les membres de l’équipe marketing disposent d’un accès hautement privilégié à Salesforce, contrairement aux membres de l’équipe de ventes. Dans de nombreux cas, la majorité des travailleurs de l’information n’a qu’un accès limité à l’application. Les exceptions à ces règles compliquent les choses. C’est souvent la prérogative des équipes de direction marketing ou de ventes d’accorder un accès à un utilisateur ou de modifier son rôle indépendamment de ces règles génériques.

Avec Microsoft Entra ID, les applications telles que Salesforce peuvent être préconfigurées pour l’authentification unique (SSO) et l’automatisation de l’approvisionnement. Dès que l’application est configurée, un administrateur peut créer et affecter des groupes appropriés une bonne fois pour toutes. Dans cet exemple, un administrateur peut exécuter les affectations suivantes :

  • groupes dynamiques peuvent être définis pour représenter automatiquement tous les membres des équipes de ventes et de marketing à l’aide d’attributs tels que le service ou le rôle :

    • Tous les membres de groupes marketing sont affectés au rôle « marketing » dans Salesforce.
    • Tous les membres de groupes de ventes sont affectés au rôle « ventes » dans Salesforce. Pour affiner les choses, plusieurs groupes représentant des équipes de ventes régionales affectées à différents rôles Salesforce peuvent être utilisés.
  • Pour activer le mécanisme d’exception, un groupe libre-service peut être créé pour chaque rôle. Par exemple, le groupe « exception marketing dans Salesforce » peut être créé en tant que groupe libre-service. Le groupe peut être affecté au rôle marketing dans Salesforce, tandis que les membres de l’équipe de direction marketing peuvent être définis en tant que propriétaires. Les membres de l’équipe de direction marketing peuvent ajouter ou supprimer des utilisateurs, définir une stratégie de jonction ou même approuver ou refuser les demandes de jonction formulées par des utilisateurs spécifiques. Ce mécanisme repose sur une expérience de travailleur de l’information appropriée qui ne nécessite pas de formation spécialisée pour les propriétaires ou les membres.

Dans ce cas, tous les utilisateurs attribués seraient automatiquement configurés dans Salesforce. Comme ils sont ajoutés à différents groupes, leur attribution de rôle serait mise à jour dans Salesforce. Les utilisateurs peuvent découvrir Salesforce et y accéder par le biais de Mes applications, de clients web Office, ou de la page de connexion à Salesforce de leur organisation. Les administrateurs peuvent facilement afficher l’état de l’utilisation et des affectations à l’aide du signalement Microsoft Entra ID.

Les administrateurs peuvent utiliser l’accès conditionnel Microsoft Entra pour définir des stratégies d’accès pour des rôles spécifiques. Ces stratégies peuvent indiquer si l’accès est autorisé en dehors de l’environnement de l’entreprise, et même inclure des exigences authentification multifacteur ou liées aux appareils déterminant l’octroi de l’accès dans divers cas.

Accéder aux applications Microsoft

Les applications Microsoft (comme Exchange, SharePoint, Yammer, etc.) sont attribuées et gérées un peu différemment des applications SaaS tierces et des autres applications que vous intégrez à Microsoft Entra ID pour l’authentification unique.

Il existe trois méthodes principales pour se connecter à une application publiée par Microsoft.

  • Pour les applications faisant partie de Microsoft 365 ou d’autres suites payantes, les utilisateurs peuvent obtenir un accès via l’attribution de licence directement dans leur compte d’utilisateur ou via un groupe à l’aide de la fonctionnalité d’attribution de licence de groupe.

  • Pour les applications publiées et fournies gratuitement par Microsoft ou par un tiers, les utilisateurs peuvent obtenir un accès via le consentement de l’utilisateur. Les utilisateurs se connectent à l’application avec leur compte professionnel ou scolaire Microsoft Entra et lui permettent d’accéder à certaines données de leur compte.

  • Pour les applications publiées et fournies gratuitement par Microsoft ou par un tiers, les utilisateurs peuvent également obtenir un accès via le consentement de l’administrateur. Cela veut dire que l’administrateur a déterminé que l’application peut être utilisée par tous les membres de l’organisation. Dans ce cas, il se connecte à l’application avec un compte d’administrateur général et accorde l’accès à tous les membres de l’organisation.

Quelques applications combinent ces méthodes. Par exemple, certaines applications Microsoft font partie d'un abonnement Microsoft 365, mais exigent toujours le consentement.

Les utilisateurs peuvent accéder aux applications Microsoft 365 via leur portail Office 365. Vous pouvez également afficher ou masquer des applications Microsoft 365 dans Mes applications en activant/désactivant la visibilité d'Office 365 dans les Paramètres utilisateur de votre annuaire.

Comme pour les applications d'entreprise, vous pouvez attribuer des utilisateurs à certaines applications Microsoft via le centre d'administration Microsoft Entra ou à l'aide de PowerShell.

Étapes suivantes