Configurer les paramètres PIM pour les groupes

Dans Privileged Identity Management (PIM) pour les groupes dans Microsoft Entra ID, les paramètres de rôle définissent les propriétés d’affectation d’appartenance ou de propriété. Ces propriétés incluent les exigences d’authentification multifacteur et d’approbation pour l’activation, la durée maximale de l’affectation et les paramètres de notification. Les étapes suivantes permettent de configurer les paramètres de rôle et de définir le flux d’approbation afin de spécifier qui peut approuver ou refuser les requêtes d’élévation des privilèges.

Vous aurez besoin d’autorisations de gestion de groupe pour gérer les paramètres. Pour les groupes auxquels des rôles peuvent être attribués, vous devez disposer au minimum du rôle Administrateur de rôles privilégiés ou être propriétaire du groupe. Pour les groupes non attribuables à un rôle, vous devez au minimum disposer du rôle Enregistreur d’annuaires, Administrateur de groupes, Administrateur de gouvernance d’identité, Administrateur d’utilisateurs ou être propriétaire du groupe. Les attributions de rôles pour les administrateurs doivent être limitées au niveau du répertoire (et non au niveau de l'unité administrative).

Remarque

D’autres rôles disposant d’autorisations pour gérer des groupes (tels que les administrateurs Exchange pour les groupes Microsoft 365 non attribuables à un rôle) et les administrateurs avec des attributions délimitées au niveau de l’unité administrative peuvent gérer des groupes via l’expérience utilisateur/API Groupes et remplacer les modifications apportées dans Microsoft Entra Privileged Identity Management.

Les paramètres de rôle sont définis par rôle et par groupe. Toutes les attributions pour le même rôle (membre ou propriétaire) pour le même groupe suivent les mêmes paramètres de rôle. Les paramètres de rôle d’un groupe sont indépendants des paramètres de rôle d’un autre groupe. Les paramètres de rôle d’un rôle (membre) sont indépendants des paramètres de rôle d’un autre rôle (propriétaire).

Mettre à jour des paramètres de rôle

Pour ouvrir les paramètres d’un rôle de groupe :

  1. Connectez-vous au centre d’administration Microsoft Entra.

  2. Accédez à Gouvernance d’identité>Privileged Identity Management>Groupes.

  3. Sélectionnez le groupe pour lequel vous souhaitez configurer les paramètres de rôle.

  4. Sélectionnez Paramètres.

  5. Sélectionnez le rôle pour lequel vous devez configurer les paramètres de rôle. Les options sont Membre ou Propriétaire.

    Capture d’écran montrant où sélectionner le rôle pour lequel vous devez configurer les paramètres de rôle.

  6. Passez en revue les paramètres de rôle actuels.

  7. Sélectionnez Modifier pour mettre à jour les paramètres de rôle.

    Capture d’écran montrant où sélectionner Modifier pour mettre à jour les paramètres de rôle.

  8. Sélectionnez Mettre à jour.

Paramètres de rôle

Cette section décrit les options des paramètres de rôle.

Durée maximum d’activation

Utilisez le curseur Durée maximale d’activation pour définir la durée maximale, en heures, pendant laquelle une demande d’activation pour une attribution de rôle reste active avant d’expirer. Cette valeur peut être comprise entre 1 et 24 heures.

Lors de l'activation, exiger une authentification multifactorielle

Vous pouvez exiger des utilisateurs éligibles pour un rôle qu’ils prouvent leur identité en utilisant la fonctionnalité d’authentification multifacteur dans Microsoft Entra ID avant de pouvoir être activés. L’authentification multifacteur permet de protéger l’accès aux données et aux applications. Il fournit une couche supplémentaire de sécurité à l’aide d’une deuxième forme d’authentification.

S’il s’est déjà authentifié à l’aide d’informations d’identification fortes ou d’une authentification multifacteur plus tôt au cours de la session, l’utilisateur ne devrait pas être invité à s’authentifier une nouvelle fois via une authentification multifacteur. Si votre objectif est de vous assurer que les utilisateurs doivent fournir l’authentification pendant l’activation, vous pouvez utiliser Activation, exiger le contexte d’authentification d’accès conditionnel Microsoft Entra avec les forces d’authentification.

Les utilisateurs doivent s’authentifier pendant l’activation à l’aide de méthodes différentes de celles qu’ils ont utilisées pour se connecter à l’ordinateur. Par exemple, si les utilisateurs se connectent à l’ordinateur à l’aide de Windows Hello Entreprise, vous pouvez utiliser  Lors de l’activation, exiger le contexte d’authentification d’accès conditionnel Microsoft Entra  et  Points forts d’authentification  pour exiger que les utilisateurs se connectent sans mot de passe avec Microsoft Authenticator lorsqu’ils activent le rôle.

Une fois que l’utilisateur a fourni une connexion sans mot de passe avec Microsoft Authenticator dans cet exemple, il peut effectuer sa prochaine activation dans cette session sans autre authentification. La connexion sans mot de passe avec Microsoft Authenticator fait déjà partie de leur jeton.

Nous vous recommandons d’activer la fonctionnalité d’authentification multifacteur dans Microsoft Entra pour tous les utilisateurs. Pour plus d’informations, consultez Planifier un déploiement authentification multifacteur Microsoft Entra.

Lors de l’activation, exigez le contexte d’authentification de l’accès conditionnel Microsoft Entra

Vous pouvez exiger que les utilisateurs éligibles pour un rôle répondent aux exigences de stratégie d’accès conditionnel. Par exemple, vous pouvez demander aux utilisateurs d’utiliser une méthode d’authentification spécifique appliquée via les forces d’authentification, d’élever le rôle à partir d’un appareil conforme Intune et de se conformer aux conditions d’utilisation.

Pour appliquer cette exigence, vous créez un contexte d’authentification d’accès conditionnel.

  1. Configurez la stratégie d’accès conditionnel qui applique les exigences pour ce contexte d’authentification.

    L’étendue de la stratégie d’accès conditionnel doit inclure tous les utilisateurs ou les utilisateurs éligibles pour l’appartenance au groupe ou la propriété de groupe. Ne créez pas de stratégie d’accès conditionnel limitée au contexte d’authentification et au groupe en même temps. Lors de l’activation, un utilisateur n’a pas encore d’appartenance au groupe, de sorte que la stratégie d’accès conditionnel ne s’applique pas.

  2. Configurez le contexte d’authentification dans les paramètres PIM pour le rôle.

    Capture d’écran de la page Modifier les paramètres de rôle membre.

Si les paramètres PIM sont configurés avec l’option  Lors de l’activation, exiger le contexte d’authentification d’accès conditionnel Microsoft Entra, les stratégies d’accès conditionnel définissent les conditions que les utilisateurs doivent remplir pour répondre aux exigences d’accès.

Cela signifie que les principaux de sécurité qui disposent d’autorisations pour gérer les stratégies d’accès conditionnel, tels que les administrateurs de l’accès conditionnel ou les administrateurs de la sécurité, peuvent modifier les exigences, les supprimer ou empêcher les utilisateurs éligibles d’activer leur appartenance au groupe ou leur propriété de groupe. Les principaux de sécurité qui peuvent gérer les stratégies d’accès conditionnel doivent être considérés comme hautement privilégiés et donc être protégés en conséquence.

Nous recommandons de créer et d’activer une stratégie d’accès conditionnel pour le contexte d’authentification avant que celui-ci ne soit configuré dans les paramètres PIM. En tant que mécanisme de protection de secours et dans le cas où il n’y a pas de stratégie d’accès conditionnel dans le client qui cible le contexte d’authentification configuré dans les paramètres PIM, lors de l’activation de l’appartenance au groupe ou de la propriété de groupe, l’authentification multifacteur Microsoft Entra ID est requise, car le paramètre Lors de l’activation, exiger l’authentification multifacteur est défini.

Ce mécanisme de protection de secours est conçu pour vous protéger uniquement dans le cas d’un scénario où les paramètres PIM ont été mis à jour avant la création de la stratégie d’accès conditionnel, à la suite d’une erreur de configuration. Ce mécanisme de protection de secours ne sera pas déclenché si la stratégie d’accès conditionnel est désactivée, en mode rapport uniquement, ou si des utilisateur éligibles sont exclus de la stratégie.

Le paramètre Lors de l’activation, exiger le contexte d’authentification d’accès conditionnel Microsoft Entra définit le contexte d’authentification, c’est-à-dire les conditions que les utilisateurs doivent remplir lorsqu’ils activent l’appartenance au groupe ou la propriété de groupe. Une fois l’appartenance au groupe ou la propriété de groupe activée, les utilisateurs peuvent se servir d’une autre session de navigation, d’un autre appareil, d’un autre emplacement, pour utiliser l’appartenance au group ou la propriété de groupe.

Par exemple, les utilisateurs peuvent utiliser un appareil conforme Intune pour activer l’appartenance au groupe ou la propriété de groupe. Ensuite, une fois le rôle activé, ils peuvent se connecter au même compte d’utilisateur à partir d’un autre appareil qui n’est pas Intune conforme et utiliser l’appartenance au groupe ou la propriété de groupe précédemment activée à partir de là.

Pour éviter cette situation, vous pouvez étendre les stratégies d’accès conditionnel afin d’appliquer directement certaines exigences aux utilisateurs éligibles. Par exemple, vous pouvez exiger que les utilisateurs éligibles à une appartenance au groupe ou propriété de groupe utilisent toujours des appareils conformes à Intune.

Pour en savoir plus sur le contexte d’authentification de l’accès conditionnel, consultez Accès conditionnel : applications cloud, actions et contexte d’authentification.

Demander une justification lors de l’activation

Vous pouvez exiger que les utilisateurs saisissent une justification métier lorsqu’ils activent l’affectation éligible.

Exiger des informations sur le ticket lors de l’activation

Vous pouvez exiger que les utilisateurs entrent un ticket de support lorsqu’ils activent l’affectation éligible. Cette option est un champ d’informations uniquement. La corrélation avec les informations dans un système de gestion de tickets n’est pas appliquée.

Demander une approbation pour activation

Vous pouvez exiger une approbation pour l’activation de l’affectation éligible. L’approbateur n’a pas besoin d’être un membre ou un propriétaire du groupe. Si vous choisissez cette option, vous devez sélectionner au moins une base de données. Nous vous recommandons d’ajouter au moins deux approbateurs. Il n’existe aucun approbateur par défaut.

Pour en savoir plus sur les approbations, consultez Approuver des requêtes d’activation PIM de membres et propriétaires de groupes.

Durée de l’attribution

Lorsque vous configurez les paramètres d’un rôle, vous pouvez choisir parmi deux options de durée d’affectation pour chaque type d’affectation : éligible et actif. Ces options deviennent la durée maximale par défaut lorsqu’un utilisateur est attribué au rôle dans Privileged Identity Management.

Vous pouvez choisir l’une de ces options de durée d’attribution éligible.

Paramètre Description
Autoriser une attribution éligible permanente Les administrateurs de ressources peuvent accorder une attribution éligible permanente.
Faire expirer les attributions éligibles après Les administrateurs de ressources peuvent exiger que toutes les attributions éligibles aient une date de début et une date de fin spécifiées.

Vous pouvez également choisir l’une de ces options de durée d’attribution active.

Paramètre Description
Autoriser une attribution active permanente Les administrateurs de ressources peuvent accorder une attribution active permanente.
Faire expirer les attributions actives après Les administrateurs de ressources peuvent exiger que toutes les attributions actives aient une date de début et une date de fin spécifiées.

Toutes les attributions qui ont une date de fin spécifiée peuvent être renouvelées par les administrateurs de ressources. De plus, les utilisateurs peuvent lancer des demandes en libre-service afin d’étendre ou renouveler des attributions de rôles.

Exiger l’authentification multifacteur lors de l’attribution active

Vous pouvez exiger qu’un administrateur ou un propriétaire de groupe fournisse une authentification multifacteur lorsqu’il crée une affectation active (par opposition à éligible). Privileged Identity Management ne peut pas appliquer l’authentification multifacteur lorsque l’utilisateur utilise son attribution de rôle, car il est déjà actif dans le rôle depuis l’attribution.

Un administrateur ou un propriétaire de groupe peut ne pas être invité à effectuer l’authentification multifacteur s’il s’est authentifié avec des informations d’identification fortes ou s’il a fourni une authentification multifacteur plus tôt dans cette session.

Demander une justification lors de l’affectation active

Vous pouvez exiger que les utilisateurs entrent une justification métier lorsqu’ils créent une affectation active (par opposition à éligible).

Sous l’onglet Notifications dans la page des paramètres de rôle, l’option Privileged Identity Management permet de contrôler précisément qui reçoit telle notification. Les options suivantes s’offrent à vous :

  • Désactivation d’un e-mail: Vous pouvez désactiver certains e-mails en décochant la case du destinataire par défaut et en supprimant les éventuels autres destinataires.
  • Limiter les e-mails à des adresses e-mail spécifiées: Vous pouvez désactiver les e-mails envoyés aux destinataires par défaut en décochant la case du destinataire par défaut. Vous pouvez ensuite ajouter d’autres adresses e-mail en tant que destinataires. Si vous souhaitez ajouter plusieurs adresses e-mail, séparez-les par un point-virgule (;).
  • Envoyer des courriels à la fois aux destinataires par défaut et à d'autres destinataires : Vous pouvez envoyer des courriels à la fois au destinataire par défaut et à un autre destinataire. Cochez la case destinataire par défaut et ajoutez des adresses e-mail pour d’autres destinataires.
  • E-mails critiques uniquementPour chaque type d’e-mail, vous pouvez activer la case à cocher pour recevoir uniquement les e-mails critiques. Cela signifie que Privileged Identity Management continuera d’envoyer des e-mails aux destinataires spécifiés uniquement lorsqu’une action immédiate est requise. Par exemple, les e-mails qui demandent aux utilisateurs d’étendre leur attribution de rôle ne sont pas déclenchés. Les e-mails qui nécessitent que les administrateurs approuvent une requête d’extension sont déclenchés.

Notes

Un événement dans Privileged Identity Management peut générer des Notifications par e-mail vers plusieurs destinataires : les destinataires, les approbateurs ou les administrateurs. Le nombre maximal de notifications envoyées par événement est de 1 000. Si le nombre de destinataires dépasse 1 000, seuls les 1 000 premiers destinataires reçoivent une notification par e-mail. Cela n’empêche pas d’autres responsables, administrateurs ou approbateurs d’utiliser leurs autorisations dans Microsoft Entra ID et Privileged Identity Management.

Gérer les paramètres de rôle à l’aide de Microsoft Graph

Pour gérer les paramètres de rôle des groupes à l’aide des API PIM dans Microsoft Graph, utilisez le type de ressource UnifiedRoleManagementPolicy et ses méthodes associées.

Dans Microsoft Graph, les paramètres de rôle sont appelés règles. Ils sont affectés à des groupes par le biais de stratégies de conteneur. Vous pouvez récupérer toutes les stratégies qui sont étendues à un groupe et à chaque stratégie. récupérez la collection de règles associée à l’aide d’un $expandparamètre de requête. La syntaxe de la requête est la suivante :

GET https://graph.microsoft.com/beta/policies/roleManagementPolicies?$filter=scopeId eq '{groupId}' and scopeType eq 'Group'&$expand=rules

Pour plus d’informations sur la gestion des paramètres de rôle via les APIs PIM dans Microsoft Graph, consultez Paramètres de rôle et PIM. Pour obtenir des exemples de règles de mise à jour, consultez Mettre à jour des règles dans PIM à l’aide de Microsoft Graph.

Étapes suivantes

Attribuer l’éligibilité d’un groupe dans Privileged Identity Management