Approuver des demandes d’activation de membres et propriétaires de groupe

Avec Privileged Identity Management (PIM) et Microsoft Entra ID, vous pouvez configurer l’activation de l’appartenance à un groupe et de la propriété de manière à ce qu’elle nécessite une approbation. Vous pouvez également choisir des utilisateurs ou des groupes dans votre organisation Microsoft Entra en tant qu’approbateurs délégués.

Nous recommandons de sélectionner deux approbateurs ou plus pour chaque groupe. Les approbateurs délégués ont 24 heures pour approuver les demandes. Si une demande n’est pas approuvée sous 24 heures, l’utilisateur éligible doit soumettre une nouvelle demande. Le délai d'approbation de 24 heures n’est pas configurable.

Suivez les étapes de cet article pour approuver ou refuser les demandes d'adhésion ou de propriété de groupe.

Afficher les demandes en attente

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

En tant qu’approbateur délégué, vous recevez une notification par e-mail quand une demande de rôle de ressource Azure est en attente d’approbation. Vous pouvez voir les demandes en attente dans Privileged Identity Management.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Gouvernance des identités>Privileged Identity Management>Requêtes d’approbation>Groupes.

  3. Dans la section Demandes d’activations de rôles, vous voyez la liste des demandes en attente d’approbation.

    Capture d’écran des demandes d’activation de rôle.

Approuver les demandes

  1. Recherchez et sélectionnez la demande que vous souhaitez approuver et sélectionnez Approuver.

  2. Dans la zoneJustification, entrez la justification professionnelle.

  3. Sélectionnez Confirmer. Votre approbation génère une notification Azure.

    Capture d’écran montrant à quoi ressemble une notification Azure générée par votre approbation.

Refuser des demandes

  1. Recherchez et sélectionnez la demande que vous souhaitez refuser et sélectionnez Refuser.

  2. Dans la zoneJustification, entrez la justification professionnelle.

  3. Sélectionnez Confirmer. Votre refus génère une notification Azure.

Notifications de flux de travail

Voici quelques informations sur les notifications de flux de travail :

  • Les approbateurs reçoivent une notification par e-mail lorsqu’une demande d’attribution de groupe est en attente de leur examen. Les notifications par e-mail comportent un lien direct vers la demande, grâce auquel l’approbateur peut approuver ou refuser cette demande.
  • Les demandes sont traitées par le premier approbateur qui les approuve ou les rejette.
  • Lorsqu’un approbateur répond à la demande, tous les approbateurs sont informés de l’action.

Remarque

Un administrateur qui estime qu’un utilisateur approuvé ne doit pas être actif peut supprimer l’attribution de groupe active dans Privileged Identity Management. Les administrateurs de ressources ne sont pas avertis des demandes en attente, sauf s’ils sont un approbateur. Mais ils peuvent consulter et annuler les demandes en attente pour tous les utilisateurs en consultant les demandes en attente dans la gestion des identités privilégiées.

Dépanner

Voici un conseil de résolution des problèmes.

Les autorisations ne sont pas accordées après l’activation d’un rôle

Quand vous activez un rôle dans Privileged Identity Management, il est possible que l’activation ne se propage pas instantanément à tous les portails qui nécessitent le rôle privilégié. Parfois, même si la modification est propagée, son application immédiate peut être empêchée par la mise en cache web dans un portail.

Si votre activation est retardée :

  1. Déconnectez-vous du centre d’administration Microsoft Entra, puis reconnectez-vous.
  2. Dans Privileged Identity Management, vérifiez que vous êtes répertorié en tant que membre du rôle.

Étapes suivantes

Configurer les paramètres PIM pour les groupes