Délégation et rôles dans la gestion des droits d’utilisation

Dans Microsoft Entra ID, vous pouvez utiliser des modèles de rôle pour gérer l’accès à grande échelle grâce à la gouvernance des identités.

  • Vous pouvez utiliser des packages d’accès pour représenter des rôles organisationnels dans votre organisation, comme « représentant commercial ». Un package d’accès représentant ce rôle organisationnel inclut tous les droits d’accès dont un représentant commercial peut généralement avoir besoin, sur plusieurs ressources.
  • Les applications peuvent définir leurs propres rôles. Par exemple, si vous avez une application commerciale et que cette application a le rôle d’application « salesperson » dans son manifeste, vous pouvez inclure ce rôle à partir du manifeste de l’application dans un package d’accès. Les applications peuvent également utiliser des groupes de sécurité dans des scénarios où un utilisateur peut avoir simultanément plusieurs rôles propres à l’application.
  • Vous pouvez utiliser des rôles pour déléguer l’accès administratif. Si vous disposez d’un catalogue pour tous les packages d’accès nécessaires aux ventes, vous pouvez affecter une personne responsable de ce catalogue, en lui attribuant un rôle spécifique au catalogue.

Cet article explique comment utiliser des rôles pour gérer les aspects de la gestion des droits d’utilisation Microsoft Entra, afin de contrôler l’accès aux ressources de gestion des droits d’utilisation.

Par défaut, les utilisateurs ayant le rôle d'administrateur général ou d'administrateur de la gouvernance des identités peuvent créer et gérer tous les aspects de la gestion des droits d’utilisation. Toutefois, les utilisateurs de ces rôles sont susceptibles de ne pas connaître toutes les situations dans lesquelles des packages d’accès sont exigés. D’ordinaire, il s’agit d’utilisateurs au sein des services, équipes ou projets respectifs qui savent avec qui ils collaborent, en utilisant quelles ressources et pendant combien de temps. Plutôt que d’accorder des autorisations illimitées aux non-administrateurs, vous pouvez accorder aux utilisateurs les autorisations minimales dont ils ont besoin pour effectuer leur travail et éviter de créer des conflits ou des droits d’accès inappropriés.

Cette vidéo fournit une vue d’ensemble de la délégation de la gouvernance des accès de l’administrateur informatique aux utilisateurs qui ne sont pas administrateurs.

Exemple de délégué

Pour comprendre comment déléguer la gouvernance des accès dans le cadre de la gestion des droits d’utilisation, prenons un exemple. Supposons que votre organisation emploie l’administrateur et les chefs de service suivants.

Déléguer de l’administrateur informatique aux chefs

En tant qu’administratrice informatique, Hana a des contacts au sein de chaque service—Mamta du service marketing, Mark du service financier et Joe du service juridique, chacun étant responsable des ressources et du contenu vital pour l’entreprise de son service.

Avec la gestion des droits d’utilisation, vous pouvez déléguer la gouvernance des accès à ces non-administrateurs, car il s’agit des personnes qui savent quels utilisateurs ont besoin d’un accès, pendant combien de temps et à quelles ressources. Cette délégation à des non-administrateurs garantit que ce sont les bonnes personnes qui gèrent les accès pour leurs services.

Voici une façon pour Hana de déléguer la gouvernance des accès aux services marketing, financier et juridique.

  1. Hana crée un nouveau groupe de sécurité Microsoft Entra et ajoute Mamta, Mark et Joe en tant que membres du groupe.

  2. Hana ajoute ce groupe au rôle de créateur de catalogue.

    Mamta, Mark et Joe peuvent désormais créer des catalogues pour leurs services, ajouter les ressources dont leurs services ont besoin et effectuer d’autres actions de délégation au sein de leur catalogue. Ils ne peuvent pas voir les catalogues des autres.

  3. Mamta crée un catalogue Marketing, qui est un conteneur de ressources.

  4. Mamta ajoute les ressources que possède son service marketing à ce catalogue.

  5. Mamta peut ajouter d’autres personnes de ce service comme propriétaires de ce catalogue, ce qui permet de partager les responsabilités de la gestion du catalogue.

  6. Mamta peut également déléguer la création et la gestion des packages d’accès dans le catalogue Marketing aux chefs de projet du service marketing. Ils peuvent le faire en leur attribuant le rôle de gestionnaire de packages d’accès sur un catalogue. Un gestionnaire de package d’accès peut créer et gérer des packages d’accès, tout comme les stratégies, les requêtes et des affectations dans ce catalogue. Si le catalogue le permet, le gestionnaire de package d’accès peut configurer des stratégies pour attirer des utilisateurs à partir d’organisations connectées.

Le diagramme suivant montre les catalogues contenant les ressources des services marketing, financier et juridique. Lors de l’utilisation de ces catalogues, les chefs de projet peuvent créer des packages d’accès pour leurs équipes ou projets.

Exemple de délégation de la gestion des droits d’utilisation

À l’issue de la délégation, le service marketing peut avoir des rôles similaires à ceux indiqués dans le tableau suivant.

Utilisateur Rôle organisationnel Rôle Microsoft Entra Rôle de gestion des droits d’utilisation
Hana Administrateur informatique Administrateur(-trice) général(e) ou administrateur(-trice) de la gouvernance des identités
Mamta Directrice marketing Utilisateur Créateur du catalogue et propriétaire du catalogue
Bob Responsable marketing Utilisateur Propriétaire de catalogue
Jessica Chef de projet marketing Utilisateur Gestionnaire de package d’accès

Rôles de gestion des droits d’utilisation

La gestion des droits d’utilisation a les rôles suivants, avec des autorisations d’administration de la gestion des droits d’utilisation proprement dite, qui s’appliquent à tous les catalogues.

Rôle de gestion des droits d’utilisation un ID de définition de rôle ; Description
Créateur de catalogue ba92d953-d8e0-4e39-a797-0cbedb0a89e8 Crée et gère des catalogues. Il s’agit, en général, d’un(e) administrateur(-trice) informatique qui n’est ni administrateur(-trice) d’entreprise, ni propriétaire de ressource pour une collection de ressources. La personne qui crée un catalogue devient automatiquement le premier propriétaire du catalogue et peut ajouter des propriétaires de catalogues. Un créateur de catalogue ne peut ni gérer ni voir les catalogues dont il n’est pas propriétaire, et ne peut pas ajouter à un catalogue les ressources dont il n’est pas propriétaire. Si le créateur de catalogue doit gérer un autre catalogue ou ajouter des ressources dont il n’est pas propriétaire, il peut demander à être copropriétaire de ce catalogue ou de cette ressource.

La gestion des droits d’utilisation a les rôles suivants qui sont définis pour chaque catalogue particulier, pour l’administration des packages d’accès et d’autres configurations au sein d’un catalogue. Un administrateur ou un propriétaire de catalogue peut ajouter des utilisateurs, des groupes d’utilisateurs ou des principaux de service à ces rôles.

Rôle de gestion des droits d’utilisation un ID de définition de rôle ; Description
Propriétaire de catalogue ae79f266-94d4-4dab-b730-feca7e132178 Modifiez et gérez des packages d’accès et d’autres ressources dans un catalogue. Il s’agit, en général, d’un administrateur informatique, d’un propriétaire de ressource ou d’un utilisateur désigné par le propriétaire du catalogue.
Lecteur du catalogue 44272f93-9762-48e8-af59-1b5351b1d6b3 Affichez les packages d’accès existants dans un catalogue.
Gestionnaire de package d’accès 7f480852-ebdc-47d4-87de-0d8498384a83 Modifie et gère tous les packages d’accès existants au sein d’un catalogue.
Gestionnaire d'attribution de package d'accès e2182095-804a-4656-ae11-64734e9b7ae5 Modifie et gère toutes les affectations de packages d’accès existantes.

De plus, l’approbateur choisi et un demandeur d’un package d’accès ont des droits, bien qu’il ne s’agisse pas de rôles.

Right Description
Approbateur Personne autorisée par une stratégie à approuver ou refuser des demandes de packages d’accès, bien qu’elle ne puisse pas modifier les définitions de ces derniers.
Demandeur personne autorisée par la stratégie d’un package d’accès à demander ce package d’accès.

Le tableau suivant liste les tâches que les rôles de gestion des droits d’utilisation peuvent effectuer dans la gestion des droits d'utilisation.

Tâche Administrateur Identity Governance Créateur de catalogue Propriétaire de catalogue Gestionnaire de package d’accès Gestionnaire d’attribution de package d’accès
Déléguer à un créateur de catalogue ✔️
Ajouter une organisation connectée ✔️
Créer un catalogue ✔️ ✔️
Ajouter une ressource à un catalogue ✔️ ✔️
Ajouter un propriétaire de catalogue ✔️ ✔️
Modifier un catalogue ✔️ ✔️
Supprimer un catalogue ✔️ ✔️
Déléguer à un gestionnaire de package d’accès ✔️ ✔️
Supprimer un gestionnaire de package d’accès ✔️ ✔️
Créer un package d’accès dans un catalogue ✔️ ✔️ ✔️
Modifier des rôles de ressources dans un package d’accès ✔️ ✔️ ✔️
Créer et modifier des stratégies, dont les stratégies pour une collaboration externe ✔️ ✔️ ✔️
Affecter directement un utilisateur à un package d’accès ✔️ ✔️ ✔️ ✔️
Supprimer directement un utilisateur d’un package d’accès ✔️ ✔️ ✔️ ✔️
Afficher qui a une affectation à un package d’accès ✔️ ✔️ ✔️ ✔️
Afficher les requêtes d’un package d’accès ✔️ ✔️ ✔️ ✔️
Afficher les erreurs de remise d’une requête ✔️ ✔️ ✔️ ✔️
Retraiter une demande ✔️ ✔️ ✔️ ✔️
Annuler une requête en attente ✔️ ✔️ ✔️ ✔️
Masquer un package d’accès ✔️ ✔️ ✔️
Supprimer un package d’accès ✔️ ✔️ ✔️

Pour déterminer le rôle le moins privilégié pour une tâche, vous pouvez également vous reporter à Rôles d’administrateur par tâche administrateur dans Microsoft Entra ID.

Remarque

Les utilisateurs auxquels le rôle Gestionnaire d’attribution de package d’accès a été attribué ne pourront plus contourner les paramètres d’approbation lors de l’attribution directe d’un(e) utilisateur(-trice) si la stratégie de package d’accès nécessite une approbation. Si vous avez n scénario où vous devez contourner l’approbation, nous vous recommandons de créer une deuxième stratégie sur le package d’accès qui ne nécessite pas d’approbation et qui est limitée uniquement aux utilisateurs qui ont besoin d’un accès.

Rôles requis pour ajouter des ressources à un catalogue

Un(e) administrateur(-trice) d’entreprise peut ajouter ou supprimer n’importe quel groupe (groupes de sécurité ou groupes Microsoft 365 créés dans le cloud), application ou site SharePoint Online d’un catalogue.

Remarque

Les utilisateurs qui se sont vu attribuer le rôle Administrateur d’utilisateurs ne pourront plus créer de catalogues ni gérer les packages d’accès d’un catalogue dont ils ne sont pas propriétaires. Un Administrateur d’utilisateurs propriétaire de catalogue peut ajouter ou supprimer tout groupe ou toute application dans le catalogue qui lui appartient, à l’exception d’un groupe configuré comme étant attribuable à un rôle d’annuaire. Pour plus d’informations sur les groupes assignables à un rôle, consultez Créer un groupe assignable à un rôle dans Microsoft Entra ID. Si le rôle Administrateur d’utilisateurs a été attribué à des utilisateurs de votre organisation pour configurer des catalogues, des packages d’accès ou des stratégies de gestion des droits d’utilisation, vous devriez plutôt leur attribuer le rôle Administrateur de gouvernance des identités.

Pour qu’un(e) utilisateur(-trice) qui n’est pas administrateur(-trice) généra(e)l puisse ajouter des groupes, des applications ou des sites SharePoint Online à un catalogue, il doit disposer à la fois d’un rôle d’annuaire Azure AD ou de la propriété de la ressource, et du rôle de gestion des droits d’utilisation du ou de la propriétaire du catalogue. La façon la plus courante pour un utilisateur d’avoir la capacité à realiser des actions pour une ressource est d’être dans un rôle d’annuaire Microsoft Entra qui lui permet d’administrer la ressource. Ou pour les ressources qui ont des propriétaires, l’utilisateur peut avoir la capacité à realiser des actions en ayant été affecté en tant que propriétaire de la ressource.

Les actions que la gestion des droits d’utilisation case activée lorsqu’un utilisateur ajoute une ressource à un catalogue sont les suivantes :

  • Pour ajouter un groupe de sécurité ou un groupe Microsoft 365 : l’utilisateur doit être autorisé à effectuer les actions microsoft.directory/groups/members/update et microsoft.directory/groups/owners/update
  • Pour ajouter une application : l’utilisateur doit être autorisé à effectuer l’action microsoft.directory/servicePrincipals/appRoleAssignedTo/update
  • Pour ajouter un site SharePoint Online : l’utilisateur doit être un Administration istrateur SharePoint ou se trouver dans un rôle de site SharePoint Online, ce qui lui permet de gérer les autorisations dans le site

Le tableau suivant répertorie certaines des combinaisons de rôles qui incluent les actions qui permettent aux utilisateurs de ces combinaisons de rôles d’ajouter des ressources à un catalogue. Pour supprimer des ressources d’un catalogue, vous devez également avoir un rôle ou une propriété avec ces mêmes actions.

Rôle d’annuaire Microsoft Entra Rôle de gestion des droits d’utilisation Peut ajouter un groupe de sécurité Peut ajouter un groupe Microsoft 365 Peut ajouter une application Peut ajouter un site SharePoint Online
Administrateur général n/a ✔️ ✔️ ✔️ ✔️
Administrateur Identity Governance n/a ✔️
Administrateur de groupes Propriétaire de catalogue ✔️ ✔️
Administrateur Intune Propriétaire de catalogue ✔️ ✔️
Administrateur Exchange Propriétaire de catalogue ✔️
Administrateur SharePoint Propriétaire de catalogue ✔️ ✔️
Administrateur d’application Propriétaire de catalogue ✔️
Administrateur d’application cloud Propriétaire de catalogue ✔️
Utilisateur Propriétaire de catalogue Seulement si propriétaire d’un groupe Seulement si propriétaire d’un groupe Seulement si propriétaire d’une application

Gestion déléguée du cycle de vie de l’utilisateur invité

En règle générale, un utilisateur disposant d’un rôle doté de privilèges Inviteur d’invités peut inviter des utilisateurs externes individuels à une organisation, et ce paramètre peut être modifié à l’aide des paramètres de collaboration externe.

Pour la gestion de la collaboration externe, lorsque les utilisateurs externes individuels d’un projet de collaboration peuvent ne pas être connus à l’avance, l’affectation d’utilisateurs qui travaillent avec des organisations externes à des rôles de gestion des droits d’utilisation peut leur permettre de configurer des catalogues, des packages d’accès et des stratégies pour leur collaboration externe. Ces configurations permettent aux utilisateurs externes avec lesquels ils collaborent de demander et d’être ajoutés aux packages d’accès et au répertoire de votre organisation.

  • Pour permettre aux utilisateurs des répertoires externes d’organisations connectées de demander des packages d’accès dans un catalogue, le paramètre de catalogue Activé pour les utilisateurs externes doit être défini sur Oui. La modification de ce paramètre peut être effectuée par un administrateur ou un propriétaire de catalogue du catalogue.
  • Le package d’accès doit également avoir une stratégie définie pour les utilisateurs qui ne se trouve pas dans votre annuaire. Cette stratégie peut être créée par un administrateur, un propriétaire de catalogue ou un gestionnaire de package d’accès du catalogue.
  • Un package d’accès avec cette stratégie permet aux utilisateurs dans l’étendue de pouvoir demander l’accès, y compris les utilisateurs qui ne se trouvent pas déjà dans votre répertoire. Si sa requête est approuvée ou ne nécessite pas d’approbation, l’utilisateur est automatiquement ajouté à votre répertoire.
  • Si le paramètre de stratégie était pour Tous les utilisateurs et que l’utilisateur ne faisait pas partie d’une organisation connectée existante, une organisation connectée proposée est alors automatiquement créée. Vous pouvez afficher la liste des organisations connectées et supprimer les organisations qui ne sont plus nécessaires.

Vous pouvez également configurer ce qui se passe lorsqu’un utilisateur externe introduit par la gestion des droits d’utilisation perd sa dernière affectation à des packages d’accès. Vous pouvez les empêcher de se connecter à cet annuaire ou leur compte invité supprimé dans les paramètres pour gérer le cycle de vie des utilisateurs externes.

Restriction des administrateurs délégués à la configuration des stratégies pour les utilisateurs qui ne se trouve pas dans l’annuaire

Vous pouvez empêcher les utilisateurs qui ne sont pas dans des rôles d’administration d’inviter des invités individuels, dans les paramètres de collaboration externes, en modifiant le paramètre Paramètres d’invitation d’invité en rôles d’administrateur spécifiques, et avoir défini Activer l’inscription en libre-service d’invité sur Non.

Pour empêcher les utilisateurs délégués de configurer la gestion des droits d’utilisation pour permettre aux utilisateurs externes de demander une collaboration externe, veillez à communiquer cette contrainte à tous les Administrateurs généraux, Administrateurs de gouvernance des identités, créateurs de catalogues et propriétaires de catalogues, car ils sont en mesure de modifier les catalogues, afin qu’ils n’autorisent pas par inadvertance une nouvelle collaboration dans des catalogues nouveaux ou mis à jour. Ils doivent s’assurer que les catalogues ont Activé pour les utilisateurs externes défini sur Non, et qu’ils n’ont pas de packages d’accès avec des stratégies permettant à un utilisateur qui ne se trouve pas dans le répertoire de faire une demande.

Vous pouvez afficher la liste des catalogues actuellement activés pour les utilisateurs externes dans le Centre d’administration Microsoft Entra.

  1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Catalogues.

  3. Définissez le paramètre de filtre activé pour les utilisateurs externes sur Oui.

  4. Si l’un de ces catalogues a un nombre de packages d’accès différent de zéro, ces packages d’accès peuvent avoir une stratégie pour les utilisateurs qui ne se trouvent pas dans le répertoire.

Gérer les attributions de rôles aux rôles de gestion des droits d’utilisation de manière programmatique

Vous pouvez également afficher et mettre à jour les créateurs de catalogue ainsi que les attributions de rôles propres au catalogue de gestion des droits d’utilisation à l’aide de Microsoft Graph. Un utilisateur disposant d’un rôle approprié et d’une application qui a l’autorisation déléguée EntitlementManagement.ReadWrite.All peut appeler l’API Graph pour lister les définitions de rôles de la gestion des droits d’utilisation et lister les attributions de rôles de ces définitions de rôles.

Par exemple, pour voir les rôles propres à la gestion des droits d’utilisation qui ont été attribués à un(e) utilisateur(-trice) ou à un groupe, utilisez la requête Graph pour lister les attributions de rôles, puis indiquez l’ID de l’utilisateur(-trice) ou du groupe comme valeur du filtre de requête principalId, comme dans

GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'&$expand=roleDefinition&$select=id,appScopeId,roleDefinition

Dans le cas d’un rôle propre à un catalogue, le appScopeId de la réponse indique le catalogue dans lequel l’utilisateur se voit attribuer un rôle. Cette réponse récupère uniquement les affectations explicites de ce principal à des rôles dans la gestion des droits d’utilisation. Elle ne retourne pas de résultats pour un utilisateur doté de droits d’accès via un rôle d’annuaire ou via l’appartenance à un groupe affecté à un rôle.

Étapes suivantes