Présentation de la gestion des droits d’utilisation

Gestion des droits d'utilisation est une fonctionnalité de gouvernance des identités qui permet aux organisations de gérer le cycle de vie des identités et des accès à grande échelle, en automatisant les workflows de requête d’accès, les attributions d’accès, les évaluations et l’expiration.

Pour travailler, les personnes d’une organisation doivent pouvoir accéder à différents groupes, applications et sites SharePoint Online. Gérer cet accès n’est pas facile, car les exigences varient. De nouvelles applications sont ajoutées ou des utilisateurs ont besoin de droits d’accès supplémentaires. Ce scénario se complique quand vous collaborez avec des organisations externes. Vous ne savez peut-être pas quelles sont les personnes de l’autre organisation qui ont besoin d’accéder aux ressources de votre organisation, et ces personnes ne connaissent pas les groupes, applications ou sites utilisés par votre organisation.

La gestion des droits d’utilisation vous aide à gérer plus efficacement l’accès aux groupes, applications et sites SharePoint Online pour les utilisateurs internes, ainsi que pour les utilisateurs externes à votre organisation devant accéder à ces ressources.

Pourquoi utiliser la gestion des droits d’utilisation ?

Les entreprises souvent font face à des défis lorsqu’il leur faut gérer l’accès des employés aux ressources, notamment :

  • Les utilisateurs peuvent ne pas connaître l’accès dont ils ont besoin, et même s’ils le connaissent, ils peuvent rencontrer des difficultés pour trouver les personnes habilitées à approuver leur accès
  • Après avoir trouvé et obtenu un accès à une ressource, les utilisateurs peuvent conserver l’accès plus longtemps que nécessaire à des fins professionnelles

Ces problèmes sont compliqués pour les utilisateurs qui ont besoin d’un accès à partir d’une autre organisation, comme les utilisateurs externes issus d’organisations de la chaîne logistique ou d’autres partenaires commerciaux. Par exemple :

  • Personne ne peut connaître tous les utilisateurs spécifiques des annuaires d’une autre organisation pour pouvoir les inviter
  • Et même si elle peut inviter ces utilisateurs, personne dans cette organisation ne peut se rappeler de gérer tous les accès des utilisateurs de manière cohérente

La gestion des droits d'utilisation permet de relever ces défis. Pour en savoir plus sur la façon dont les clients utilisent la gestion des droits d’utilisation, vous pouvez lire les études de cas de Mississippi Division of Medicaid, Storebrand, Nippon Express Co., Ltd et de l’équipe Digital Security and Resilience (DSR) de Microsoft. Cette vidéo fournit une vue d’ensemble de la gestion des droits d’utilisation et de son intérêt :

À quoi sert la gestion des droits d'utilisation ?

La gestion des droits d'utilisation offre différentes possibilités, notamment :

  • Contrôler qui peut accéder aux applications, groupes, sites Teams et SharePoint, avec une approbation multiphase, et garantir que les utilisateurs ne conservent pas l’accès indéfiniment via des affectations limitées dans le temps et des révisions d’accès périodiques.
  • Donnez aux utilisateurs l’accès automatiquement à ces ressources, en fonction des propriétés de l’utilisateur telles que le service ou le centre de coûts, et supprimez l’accès d’un utilisateur lorsque ces propriétés changent.
  • Déléguer à des non-administrateurs la possibilité de créer des packages d’accès. Ces packages d’accès contiennent des ressources que les utilisateurs peuvent demander ; les gestionnaires délégués de package d’accès ont la possibilité de définir des stratégies avec des règles pour lesquelles les utilisateurs peuvent demander quelles personnes doivent approuver leur accès et quand l’accès expire.
  • Sélectionner les organisations connectées dont les utilisateurs peuvent demander l’accès. Lorsqu’un utilisateur, qui n’est pas encore dans votre annuaire demande l’accès, et qu’il est approuvé, il est automatiquement invité dans votre annuaire, et l’accès lui est affecté. Lorsque son accès expire, s’il n’a pas d’autres affectations de package d’accès, son compte B2B dans votre annuaire peut être automatiquement supprimé.

Notes

Si vous êtes prêt à essayer la gestion des droits d’utilisation, vous pouvez commencer en suivant notre tutoriel pour créer votre premier package d’accès.

Vous pouvez également lire les scénarios courants ou regarder des vidéos, par exemple

Que sont les packages d’accès et quelles ressources gérer avec eux ?

La gestion des droits d'utilisation introduit le concept de package d'accès. Un package d’accès regroupe toutes les ressources avec l’accès dont un utilisateur a besoin pour travailler sur un projet ou accomplir sa tâche. Les packages d’accès peuvent être utilisés pour régir l’accès de vos employés, ainsi que des utilisateurs qui proviennent de l’extérieur de votre organisation.

La gestion des droits d’utilisation vous permet de gérer l’accès utilisateur aux types de ressources ci-dessous :

  • Appartenance aux groupes de sécurité Microsoft Entra
  • Appartenance des groupes et équipes Microsoft 365
  • Affectation aux applications d'entreprise Microsoft Entra, y compris les applications SaaS et les applications intégrées personnalisées qui prennent en charge la fédération/l'authentification unique et/ou le provisionnement
  • Appartenance des sites SharePoint Online

Vous pouvez également contrôler l'accès à d'autres ressources qui dépendent des groupes de sécurité Microsoft Entra ou des groupes Microsoft 365. Par exemple :

  • Vous pouvez accorder aux utilisateurs des licences pour Microsoft 365 en utilisant un groupe de sécurité Microsoft Entra dans un package d'accès et en configurant des licences basées sur un groupe pour ce groupe.
  • Vous pouvez accorder aux utilisateurs l’accès à la gestion des ressources Azure en utilisant un groupe de sécurité Microsoft Entra dans un package d’accès et en créant une attribution de rôle Azure pour ce groupe.
  • Vous pouvez accorder aux utilisateurs l'accès pour gérer les rôles Microsoft Entra en utilisant des groupes attribuables aux rôles Microsoft Entra dans un package d'accès et en attribuant un rôle Microsoft Entra à ce groupe.

Comment contrôler qui a accès ?

Avec un package d’accès, un administrateur ou un gestionnaire délégué de package d’accès liste les ressources (groupes, applications et sites) et les rôles dont les utilisateurs ont besoin pour ces ressources.

Les packages d’accès incluent également une ou plusieurs stratégies. Une stratégie définit les règles ou barrières mises en place pour l’affectation à un package d’accès. Chaque stratégie peut être utilisée pour s’assurer que seuls les utilisateurs appropriés peuvent avoir des affectations d’accès, que l’accès est limité dans le temps et expire s’il n’est pas renouvelé.

Diagramme du package d’accès et des stratégies.

Vous pouvez avoir des stratégies pour que les utilisateurs demandent l’accès. Dans ces types de stratégies, un administrateur ou un gestionnaire de package d’accès définit ce qui suit

  • Soit les utilisateurs déjà existants (généralement des employés ou des invités déjà conviés), soit les organisations partenaires d’utilisateurs externes, qui sont éligibles à la demande d’accès
  • Le processus d’approbation et les utilisateurs autorisés à approuver ou refuser un accès
  • La durée de l’affectation de l’accès d’un utilisateur, une fois approuvée, avant l’expiration de celle-ci

Vous pouvez également avoir des stratégies d’attribution d’accès à des utilisateurs, soit par un administrateur, soit automatiquement en fonction des règles ou via des workflows de cycle de vie.

Le diagramme suivant montre un exemple des différents éléments en matière de gestion des droits d'utilisation. Il présente un catalogue contenant deux exemples de packages d’accès.

  • Le package d’accès 1 comprend un seul groupe en tant que ressource. L’accès est défini par une stratégie qui autorise un ensemble d’utilisateurs du répertoire à demander un accès.
  • Le package d’accès 2 comprend un groupe, une application et un site SharePoint Online en tant que ressources. L’accès est défini par deux stratégies différentes. La première stratégie autorise un ensemble d’utilisateurs du répertoire à demander un accès. La seconde stratégie permet aux utilisateurs d'un répertoire externe de demander un accès.

Diagramme de vue d’ensemble de la gestion des droits d’utilisation

Quand utiliser des packages d’accès ?

Les packages d’accès ne remplacent pas d’autres mécanismes d’attribution d’accès. Ils sont particulièrement indiqués dans les cas suivants :

  • Migration des définitions de stratégie d'accès d'une gestion de rôles d'entreprise tierce vers Microsoft Entra ID.
  • Les utilisateurs ont besoin d’un accès limité dans le temps pour une tâche particulière. Par exemple, vous pouvez utiliser la gestion de licences par groupe et un groupe dynamique pour vérifier que tous les employés disposent d’une boîte aux lettres Exchange Online, puis utiliser des packages d’accès pour les situations où les employés ont besoin de droits d’accès supplémentaires, par exemple pour lire les ressources d’un service à partir d’un autre service.
  • Accès qui nécessite l’approbation du responsable d’une personne ou d’autres personnes désignées.
  • Accès devant être attribué automatiquement aux personnes qui se trouvent dans une partie donnée d’une organisation pendant la période où elles occupent cette fonction, mais demande d’accès également disponible pour des personnes situées dans d’autres parties de l’organisation ou dans une organisation partenaire.
  • Les services souhaitent gérer leurs propres stratégies d’accès à leurs ressources sans implication informatique.
  • Deux organisations ou plus collaborent sur un projet. Par conséquent, plusieurs utilisateurs d'une des organisations sont amenés via Microsoft Entra B2B à accéder aux ressources de l’autre organisation.

Comment déléguer l’accès ?

Les packages d’accès sont définis dans des conteneurs appelés catalogues. Vous pouvez disposer d’un seul catalogue pour tous vos packages d’accès, ou vous pouvez désigner des personnes pour créer et posséder leurs propres catalogues. Un administrateur peut ajouter des ressources à un catalogue, mais un non-administrateur ne peut ajouter à un catalogue que les ressources dont il est propriétaire. Un propriétaire de catalogue peut ajouter d’autres utilisateurs en tant que copropriétaires de catalogue, ou en tant que gestionnaires de package d’accès. Ces scénarios sont décrits plus en détail dans l’article Délégation et rôles dans la gestion des droits d’utilisation.

Abrégé de terminologie

Pour mieux comprendre la gestion des droits d’utilisation et sa documentation, vous pouvez vous référer à la liste les termes suivants.

Terme Description
package d'accès Bundle de ressources dont une équipe ou un projet a besoin et qui est régi par des stratégies. Un package d’accès est toujours contenu dans un catalogue. Vous créez un package d’accès pour un scénario dans lequel les utilisateurs doivent demander l’accès.
demande d’accès Demande d’accès aux ressources dans un package d’accès. Cette demande transite généralement par un flux d’approbation. Si elle est approuvée, l’utilisateur demandeur reçoit une affectation de package d’accès.
affectation L’affectation d’un package d’accès à un utilisateur garantit que l’utilisateur dispose de tous les rôles de ressources de ce package d’accès. Les affectations de package d’accès ont généralement une durée limite avant leur expiration.
catalogue Conteneur de ressources connexes et de packages d’accès. Les catalogues sont utilisés pour la délégation, afin que les non-administrateurs puissent créer leurs propres packages d’accès. Les propriétaires de catalogue peuvent ajouter les ressources qu’ils possèdent à un catalogue.
créateur de catalogue Regroupement d’utilisateurs autorisés à créer des catalogues. Lorsqu’un utilisateur non-administrateur, autorisé à être créateur de catalogue, crée un catalogue, il devient automatiquement le propriétaire de ce catalogue.
organisation connectée Un répertoire ou un domaine Microsoft Entra externe avec lequel vous entretenez une relation. Les utilisateurs provenant d’une organisation connectée peuvent être spécifiés dans une stratégie comme étant autorisés à demander l’accès.
policy Ensemble de règles définissant le cycle de vie d’un accès, telles que le mode d’accès des utilisateurs, les approbateurs et la durée d’accès par le biais d’une affectation. Une stratégie est liée à un package d’accès. Par exemple, un package d’accès peut avoir deux stratégies de demande d’accès : l’une pour les employés, l’autre pour les utilisateurs externes.
resource Ressource (un groupe Office, un groupe de sécurité, une application ou un site SharePoint Online, par exemple) dotée d’un rôle pour lequel un utilisateur peut obtenir des autorisations.
répertoire de ressources Répertoire comprenant une ou plusieurs ressources à partager.
rôle de ressource Collection d’autorisations associées à une ressource et définies par elle. Un groupe est doté de deux rôles : membre et propriétaire. Les sites SharePoint ont généralement trois rôles, mais peuvent avoir d’autres rôles personnalisés. Les applications peuvent avoir plusieurs rôles personnalisés.

Conditions de licence :

Cette fonctionnalité nécessite des abonnements Gouvernance Microsoft Entra ID ou Suite Microsoft Entra pour les utilisateurs de votre organisation. Certaines capacités de cette fonctionnalité peuvent fonctionner avec un abonnement Microsoft Entra ID P2. Pour plus d’informations, consultez les articles de chaque fonctionnalité. Pour trouver la licence adaptée à vos besoins, consultez Notions de base sur les licences Gouvernances des ID Microsoft Entra.

Étapes suivantes