Attribuer l’éligibilité d’un groupe dans Privileged Identity Management

Dans Microsoft Entra ID, anciennement appelé Azure Active Directory, vous pouvez utiliser Privileged Identity Management (PIM) pour gérer l’appartenance juste-à-temps au groupe ou la propriété juste-à-temps du groupe.

Lorsqu’une appartenance ou une propriété est attribuée, l’affectation :

  • Affectation impossible pour une durée inférieure à cinq minutes
  • Ne peut pas être supprimée dans les cinq minutes suivant l’affectation

Remarque

Chaque utilisateur éligible à l’appartenance ou à la propriété d’un PIM pour les groupes doit disposer d’une licence Microsoft Entra ID P2 ou Microsoft Entra ID Governance. Pour plus d’informations, consultez Exigences relatives aux licences pour l’utilisation de Privileged Identity Management.

Attribuer l’éligibilité à l’appartenance ou à la propriété d’un groupe

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Effectuez les étapes suivantes pour rendre un utilisateur éligible à l’appartenance ou à la propriété d’un groupe. Vous aurez besoin d’autorisations pour gérer les groupes. Pour les groupes auxquels des rôles peuvent être attribués, vous devez disposer au minimum du rôle Administrateur privilégié des rôles ou être Propriétaire du groupe. Pour les groupes qui ne peuvent pas être assignés à un rôle, vous devez au moins avoir le statut Enregistreur d'annuaires, Administrateur de groupes, Administrateur de gouvernance d'identité, Administrateur d'utilisateurs ou être Propriétaire du groupe. Les attributions de rôles pour les administrateurs doivent être limitées au niveau du répertoire (et non au niveau de l'unité administrative).

Remarque

D’autres rôles disposant d’autorisations pour gérer des groupes (tels que les administrateurs Exchange pour les groupes M365 non assignables par rôle) et les administrateurs dont les affectations sont limitées au niveau de l’unité administrative peuvent gérer des groupes via API Groupes/UX et remplacer les modifications apportées dans Microsoft Entra PIM.

  1. Connectez-vous au centre d’administration Microsoft Entra

  2. Accédez à Gouvernance d’identité>Privileged Identity Management>Groupes.

  3. Vous pouvez visualiser ici les groupes déjà activés pour PIM pour les groupes.

    Capture d’écran montrant où afficher les groupes déjà activés pour PIM pour les groupes.

  4. Sélectionnez le groupe que vous devez gérer.

  5. Sélectionnez Affectations.

  6. Utilisez les panneaux Attributions éligibles et Attributions actives pour passer en revue les attributions d’appartenance ou de propriété existantes pour le groupe sélectionné.

    Capture d’écran de l’emplacement où passer en revue les attributions d’appartenance ou de propriété existantes pour le groupe sélectionné.

  7. Sélectionnez Ajouter des affectations.

  8. Sous Sélectionner un rôle, choisissez entre Membre et Propriétaire pour attribuer l’appartenance ou la propriété.

  9. Sélectionnez les membres ou propriétaires que vous souhaitez rendre éligibles vis-à-vis du groupe.

    Capture d’écran montrant où sélectionner les membres ou les propriétaires que vous souhaitez rendre éligibles pour le groupe.

  10. Sélectionnez Suivant.

  11. Dans la liste Type d'attribution, sélectionnez Éligible ou Actif. Azure AD Privileged Identity Management fournit deux types distincts d’attribution :

    • L’attribution éligible nécessite que le membre ou le propriétaire effectue une activation pour utiliser le rôle. L’activation peut aussi nécessiter de fournir une authentification multifacteur (MFA), de fournir une justification professionnelle ou de demander une approbation aux approbateurs désignés.

    Important

    Pour les groupes utilisés pour l’élévation des rôles Microsoft Entra, Microsoft recommande de demander un processus d’approbation pour les affectations de membres éligibles. Les attributions qui peuvent être activées sans approbation peuvent vous exposer à un risque de sécurité, dans lequel un autre administrateur est autorisé à réinitialiser les mots de passe d’un utilisateur éligible.

    • Les attributions actives n’exigent pas des membres qu’ils effectuent une activation pour utiliser ce rôle. Les membres ou propriétaires attribués comme étant actifs détiennent à tout moment les privilèges affectés au rôle.
  12. Si l’attribution doit être permanente (éligible de façon permanente ou attribuée définitivement), cochez la case Définitivement. Selon les paramètres du groupe, il se peut que cette case à cocher ne soit pas affichée ou ne soit pas modifiable. Pour plus d’informations, consultez l’article Configurer les paramètres PIM pour les groupes dans Privileged Identity Management.

    Capture d’écran montrant où configurer le paramètre pour ajouter des affectations.

  13. Sélectionnez Attribuer.

Mettre à jour ou supprimer une attribution de rôle existante

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Suivez ces étapes pour mettre à jour ou supprimer une attribution de rôle existante. Vous aurez besoin d’autorisations pour gérer les groupes. Pour les groupes auxquels des rôles peuvent être attribués, vous devez disposer au minimum du rôle Administrateur privilégié des rôles ou être Propriétaire du groupe. Pour les groupes qui ne peuvent pas être assignés à un rôle, vous devez au minimum disposer du statut Enregistreur d’annuaires, Administrateur de groupes, Administrateur de gouvernance d’identité, Administrateur d’utilisateurs ou être Propriétaire du groupe. Les attributions de rôles pour les administrateurs doivent être limitées au niveau du répertoire (et non au niveau de l'unité administrative).

Remarque

D’autres rôles disposant d’autorisations pour gérer des groupes (tels que les administrateurs Exchange pour les groupes M365 non assignables par rôle) et les administrateurs dont les affectations sont limitées au niveau de l’unité administrative peuvent gérer des groupes via API Groupes/UX et remplacer les modifications apportées dans Microsoft Entra PIM.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Gouvernance d’identité>Privileged Identity Management>Groupes.

  3. Vous pouvez visualiser ici les groupes déjà activés pour PIM pour les groupes.

    Capture d’écran montrant où afficher les groupes déjà activés pour PIM pour les groupes.

  4. Sélectionnez le groupe que vous devez gérer.

  5. Sélectionnez Affectations.

  6. Utilisez les panneaux Attributions éligibles et Attributions actives pour passer en revue les attributions d’appartenance ou de propriété existantes pour le groupe sélectionné.

    Capture d’écran de l’emplacement où passer en revue les attributions d’appartenance ou de propriété existantes pour le groupe sélectionné.

  7. Sélectionnez Mettre à jour ou Supprimer pour mettre à jour ou supprimer l’attribution d’appartenance ou de propriété.

Étapes suivantes