Découvrir les groupes et les droits d’accès dans Microsoft Entra ID

Microsoft Entra ID fournit plusieurs façons de gérer l’accès aux ressources, aux applications et aux tâches. Avec les groupes Microsoft Entra, vous pouvez accorder l’accès et les autorisations à un groupe d’utilisateurs au lieu de chaque utilisateur individuel. Limiter l’accès aux ressources Microsoft Entra aux seuls utilisateurs qui ont besoin d’un accès est l’un des principes de sécurité clés de la Confiance Zéro.

Cet article fournit une vue d’ensemble de la façon dont les groupes et les droits d’accès peuvent être utilisés ensemble pour faciliter la gestion de vos utilisateurs Microsoft Entra tout en appliquant également les meilleures pratiques de sécurité.

Microsoft Entra ID vous permet d’utiliser des groupes pour gérer l’accès aux applications, aux données et aux ressources. Les ressources peuvent être :

  • Partie de l’organisation Microsoft Entra, telle que les autorisations de gestion des objets par le biais de rôles dans Microsoft Entra ID
  • Externe à l’organisation, par exemple pour les applications SaaS (Software as a Service)
  • Services Azure
  • Sites SharePoint
  • Ressources locales

Certains groupes ne peuvent pas être gérés dans le portail Azure :

  • Les groupes synchronisés à partir d’Active Directory local ne peuvent être gérés que dans Active Directory local.
  • Les listes de distribution et groupes de sécurité à extension messagerie sont gérés uniquement dans le Centre d’administration Exchange ou le Centre d’administration Microsoft 365. Vous devez vous connecter au Centre d’administration Exchange ou au Centre d’administration Microsoft 365 pour gérer ces groupes.

Ce qu’il faut savoir avant de créer un groupe

Il existe deux types de groupes et trois types d’appartenance au groupe. Passez en revue les options pour trouver la combinaison appropriée pour votre scénario.

Types de groupe :

Sécurité : utilisé pour gérer l’accès des utilisateurs et des ordinateurs à des ressources partagées.

Par exemple, vous pouvez créer un groupe de sécurité afin que tous les membres du groupe aient le même ensemble d’autorisations de sécurité. Les membres d’un groupe de sécurité peuvent inclure des utilisateurs, des appareils, d’autres groupes et des principaux de service, qui définissent la stratégie d’accès et les autorisations. Les propriétaires d’un groupe de sécurité peuvent inclure des utilisateurs et des principaux de service.

Remarque

Lors de l’imbrication d’un groupe de sécurité existant dans un autre groupe de sécurité, seuls les membres du groupe parent ont accès aux ressources et applications partagées. Les membres de groupe imbriqués n’ont pas la même appartenance affectée que les membres du groupe parent. Pour plus d’informations sur la gestion des propriétaires de groupes, consultez l’article Gérer des groupes.

Microsoft 365 : fournit des opportunités de collaboration en donnant aux membres du groupe l’accès à des éléments partagés : une boîte aux lettres, un calendrier, des fichiers, des sites SharePoint, etc.

Cette option vous permet également de donner à des personnes extérieures à votre organisation un accès au groupe. Les membres d’un groupe Microsoft 365 peuvent uniquement inclure des utilisateurs. Les propriétaires d’un groupe Microsoft 365 peuvent inclure des utilisateurs et des principaux de service. Pour plus d’informations sur les groupes Microsoft 365, consultez En savoir plus sur les groupes Microsoft 365.

Types d’appartenance :

  • Groupe affecté : vous permet d’ajouter des utilisateurs spécifiques comme membres d’un groupe et d’avoir des autorisations uniques.

  • Groupe d’appartenance dynamique pour les utilisateurs : vous permet d’utiliser des règles pour les utilisateurs afin d’ajouter et de supprimer automatiquement des utilisateurs en tant que membres. Si les attributs d’un membre changent, le système examine vos règles relatives aux groupes d’appartenance dynamique pour le répertoire. Le système vérifie si le membre répond aux exigences des règles (il est ajouté) ou ne répond plus aux exigences des règles (il est supprimé).

  • Groupe d’appartenance dynamique pour les appareils : vous permet d’utiliser des règles pour les appareils afin d’ajouter et de supprimer automatiquement des appareils en tant que membres. Si les attributs d’un appareil changent, le système examine vos règles de groupes d’appartenance dynamique par rapport au répertoire pour voir si l’appareil répond aux exigences des règles (il est ajouté) ou s’il ne répond plus aux exigences des règles (il est supprimé).

    Important

    Vous pouvez créer un groupe dynamique pour des appareils ou pour des utilisateurs, mais pas pour les deux. Vous ne pouvez pas créer un groupe d’appareils basé sur des attributs des propriétaires d’appareils. Les règles d’appartenance d’appareil peuvent référencer uniquement des attributions d’appareils. Pour plus d’informations sur la création d’un groupe dynamique d’utilisateurs ou d’appareils, consultez Créer un groupe dynamique et vérifier l’état.

Que savoir avant d’ajouter des droits d’accès à un groupe

Après avoir créé un groupe Microsoft Entra, vous devez lui accorder l’accès approprié. Chaque application, ressource et service qui nécessite des autorisations d’accès doit être gérée séparément, car les autorisations pour une application pourraient ne pas être identiques à celles d’une autre. Accordez l’accès à l’aide du principe du moindre privilège pour réduire le risque d’attaque ou de violation de sécurité.

Fonctionnement de la gestion des accès dans Microsoft Entra ID

Microsoft Entra ID vous permet d’accorder des accès aux ressources de votre organisation en fournissant des droits d’accès à un utilisateur individuel ou à la totalité d’un groupe Microsoft Entra. L’utilisation de groupes permet au propriétaire de ressources ou propriétaire de répertoires Microsoft Entra d’attribuer un ensemble d’autorisations d’accès à tous les membres du groupe. Le propriétaire de ressources ou de répertoires peut également accorder des droits de gestion à quelqu’un d’autre, comme un responsable de service ou un administrateur du support technique, pour permettre à cette personne d’ajouter et de supprimer des membres. Pour plus d’informations sur la gestion des propriétaires de groupes, consultez l’article Gérer des groupes.

Capture d’écran d’un diagramme de gestion des accès avec Microsoft Entra ID.

Méthodes d’assignation des droits d’accès

Après avoir créé un groupe, vous devez décider comment attribuer des droits d’accès. Explorez les façons d’attribuer des droits d’accès pour déterminer le meilleur processus pour votre scénario.

  • Assignation directe. Le propriétaire de la ressource assigne directement l’utilisateur à la ressource.

  • Assignation de groupe. Le propriétaire de la ressource attribue un groupe Microsoft Entra à la ressource, ce qui accorde automatiquement l’accès à la ressource à tous les membres du groupe. L’appartenance au groupe est gérée par le propriétaire du groupe et le propriétaire de la ressource, ce qui leur permet d’ajouter ou de supprimer des membres du groupe. Pour plus d’informations sur la gestion des appartenances à des groupes, consultez l’article Groupes gérés.

  • Assignation basée sur des règles. Le propriétaire de la ressource crée un groupe et utilise une règle pour définir quels sont les utilisateurs assignés à une ressource spécifique. La règle est basée sur des attributs qui sont assignés à des utilisateurs individuels. Le propriétaire de la ressource gère la règle, en déterminant les attributs et les valeurs nécessaires pour autoriser l’accès à la ressource. Pour plus d’informations, consultez Créer un groupe dynamique et vérifier l’état.

  • Assignation d’autorité externe. L’accès provient d’une source externe, comme un répertoire local ou une application SaaS. Dans cette situation, le propriétaire de la ressource assigne un groupe pour fournir l’accès à la ressource, puis la source externe gère les membres du groupe.

    Capture d’écran d’un diagramme de présentation de la gestion des accès.

Les utilisateurs peuvent-ils rejoindre des groupes sans assignation ?

Le propriétaire de groupes peut autoriser les utilisateurs à chercher le groupe qu’ils souhaitent rejoindre plutôt que de les assigner à un groupe. En outre, le propriétaire peut configurer le groupe pour qu’il accepte automatiquement tous les utilisateurs qui veulent le rejoindre ou pour qu’il demande une approbation.

Après qu’un utilisateur a demandé à rejoindre un groupe, la requête est transférée au propriétaire du groupe. Si nécessaire, le propriétaire peut approuver la requête, et l’utilisateur reçoit une notification l’informant de son appartenance au groupe. Si vous avez plusieurs propriétaires et si l’un d’eux refuse la requête, l’utilisateur en est informé et n’est pas ajouté au groupe. Pour obtenir plus d’informations et d’instructions sur la façon dont vous pouvez autoriser vos utilisateurs à demander à rejoindre des groupes, consultez Configurer Microsoft Entra ID pour la gestion de groupes en libre-service.

Étapes suivantes