Activer un rôle Microsoft Entra dans PIM

Microsoft Entra Privileged Identity Management (PIM) simplifie la façon dont les entreprises gèrent l'accès privilégié aux ressources dans Microsoft Entra ID et d'autres services en ligne Microsoft comme Microsoft 365 ou Microsoft Intune.

Si vous êtes éligible à un rôle d’administrateur, vous devez activer ce rôle quand vous devez effectuer des actions privilégiées. Par exemple, si vous gérez occasionnellement des fonctionnalités de Microsoft 365, les administrateurs de rôle privilégié de votre organisation peuvent ne pas vous attribuer un rôle d’administrateur général permanent, étant donné que ce rôle influe également sur les autres services. Au lieu de cela, ils vous rendraient éligible aux rôles Microsoft Entra tels que l'administrateur Exchange Online. Vous pouvez faire une demande pour activer ce rôle lorsque vous avez besoin de ses privilèges. Vous avez ainsi le contrôle d’administrateur pendant une période prédéterminée.

Cet article s'adresse aux administrateurs qui doivent activer leur rôle Microsoft Entra dans Privileged Identity Management. Bien que tout utilisateur puisse envoyer une demande pour le rôle dont il a besoin via PIM sans avoir le rôle Administrateur de rôle privilégié (PRA), ce rôle est requis pour gérer et attribuer des rôles à d’autres membres de l’organisation.

Important

Lorsqu’un rôle est activé, Microsoft Entra PIM ajoute temporairement une affectation active pour le rôle. Microsoft Entra PIM crée une affectation active (attribue à l’utilisateur un rôle) en quelques secondes. Lorsque la désactivation (manuelle ou via l’expiration du délai d’activation) se produit, Microsoft Entra PIM supprime également l’affectation active en quelques secondes.

L’application peut fournir un accès en fonction du rôle de l’utilisateur. Dans certaines situations, l’accès à l’application peut ne pas refléter immédiatement le fait qu’un rôle a été supprimé ou affecté à un utilisateur. Si l’application a précédemment mis en cache le fait que l’utilisateur n’a pas de rôle; lorsque l’utilisateur tente à nouveau d’accéder à l’application, il est possible que l’accès ne puisse pas être fourni. De même, si l’application a précédemment mis en cache le fait que l’utilisateur dispose d’un rôle, lorsque le rôle est désactivé, l’utilisateur peut toujours obtenir l’accès. La situation spécifique dépend de l’architecture de l’application. Pour certaines applications, la déconnexion et la reconnexion peuvent faciliter l’ajout ou la suppression de l’accès.

Prérequis

Aucun

Activer un rôle

Lorsque vous devez assumer un rôle Microsoft Entra, vous pouvez demander l'activation en ouvrant Mes rôles dans Privileged Identity Management.

Remarque

PIM est désormais disponible dans Azure mobile app (iOS | Android) pour les rôles de ressource Microsoft Entra ID et Azure. Activez facilement les attributions éligibles, les renouvellements des demande qui arrivent à expiration, ou vérifiez l’état des demandes en attente. Plus d’informations ci-dessous

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Gouvernance des identités>Privileged Identity Management>Mes rôles. Pour plus d’informations sur la façon d’ajouter la mosaïque Privileged Identity Management à votre tableau de bord, consultez Commencer à utiliser Privileged Identity Management.

  3. Sélectionnez Rôles Microsoft Entra pour afficher une liste de vos rôles Microsoft Entra éligibles.

    Page Mes rôles montrant les rôles que vous pouvez activer

  4. Dans la liste des rôles Microsoft Entra, recherchez le rôle que vous souhaitez activer.

    Rôles Microsoft Entra – Liste de mes rôles éligibles

  5. Sélectionnez Activer pour ouvrir le volet Activer.

    Rôles Microsoft Entra – la page d'activation contient la durée et la portée

  6. Sélectionnez Vérification supplémentaire requise et suivez les instructions pour effectuer une vérification de sécurité. Vous ne pouvez vous authentifier qu’une seule fois par session.

    Écran de vérification de sécurité permettant la saisie d’un code secret, par exemple

  7. Après l’authentification multifacteur, sélectionnez Activer avant de continuer.

    Vérifier mon identité à l’aide de l’authentification multifacteur avant activation du rôle

  8. Si vous souhaitez spécifier une étendue réduite, sélectionnez Étendue pour ouvrir le volet des filtres. Dans le volet de filtre, vous pouvez spécifier les ressources Microsoft Entra auxquelles vous devez accéder. Il est recommandé de demander l’accès aux seules ressources dont vous avez besoin.

  9. Si nécessaire, spécifiez une heure de début personnalisée pour l’activation. Le rôle Microsoft Entra sera activé après l'heure sélectionnée.

  10. Dans la zone de texte Raison, entrez le motif de la demande d’activation.

  11. Sélectionnez Activer.

    Si l’activation du rôle nécessite une approbation, une notification s’affiche dans le coin supérieur droit de votre navigateur pour vous informer que la demande est en attente d’approbation.

    La requête d’activation est en attente de la notification d’approbation

    Activer un rôle à l’aide de l’API Microsoft Graph

    Pour plus d’informations sur les API Microsoft Graph pour PIM, consultez Vue d’ensemble de la gestion des rôles via l’API PIM (Privileged Identity Management).

    Obtenir tous les rôles qualifiés que vous pouvez activer

    Lorsqu’un utilisateur obtient sa qualification de rôle via son appartenance à un groupe, cette requête Microsoft Graph ne renvoie pas sa qualification.

    Demande HTTP

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  
    

    Réponse HTTP

    Pour gagner de l’espace, nous n’afficherons que la réponse pour un seul rôle, mais toutes les attributions de rôle qualifiées que vous pouvez activer sont répertoriées.

    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
        "value": [
            {
                "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
                "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "status": "Provisioned",
                "createdDateTime": "2022-04-12T18:26:08.843Z",
                "completedDateTime": "2022-04-12T18:26:08.89Z",
                "approvalId": null,
                "customData": null,
                "action": "adminAssign",
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
                "directoryScopeId": "/",
                "appScopeId": null,
                "isValidationOnly": false,
                "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "justification": "Assign Attribute Assignment Admin eligibility to myself",
                "createdBy": {
                    "application": null,
                    "device": null,
                    "user": {
                        "displayName": null,
                        "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                    }
                },
                "scheduleInfo": {
                    "startDateTime": "2022-04-12T18:26:08.8911834Z",
                    "recurrence": null,
                    "expiration": {
                        "type": "afterDateTime",
                        "endDateTime": "2024-04-10T00:00:00Z",
                        "duration": null
                    }
                },
                "ticketInfo": {
                    "ticketNumber": null,
                    "ticketSystem": null
                }
            }
        ]
    }
    

    Auto-activation d’une éligibilité de rôle avec justification

    Demande HTTP

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
    
    {
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00.000Z",
            "expiration": {
                "type": "AfterDuration",
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

    Réponse HTTP

    HTTP/1.1 201 Created
    Content-Type: application/json
    
    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
        "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "status": "Granted",
        "createdDateTime": "2022-04-13T08:52:32.6485851Z",
        "completedDateTime": "2022-04-14T00:00:00Z",
        "approvalId": null,
        "customData": null,
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "appScopeId": null,
        "isValidationOnly": false,
        "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "createdBy": {
            "application": null,
            "device": null,
            "user": {
                "displayName": null,
                "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
            }
        },
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00Z",
            "recurrence": null,
            "expiration": {
                "type": "afterDuration",
                "endDateTime": null,
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

Afficher l’état des demandes d’activation

Vous pouvez afficher l’état de vos demandes d’activation en attente.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Gouvernance d’identité>Privileged Identity Management>Mes demandes.

  3. Lorsque vous sélectionnez Mes demandes, vous voyez une liste de vos demandes de rôle Microsoft Entra et de rôle de ressource Azure.

    Capture d’écran de la page Mes demandes – Microsoft Entra ID montrant vos demandes en attente

  4. Faites défiler vers la droite pour afficher la colonne État de la demande.

Annuler une demande en attente pour la nouvelle version

Si vous n’avez pas besoin de l’activation d’un rôle nécessitant une approbation, vous pouvez annuler une demande en attente à tout moment.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Gouvernance d’identité>Privileged Identity Management>Mes demandes.

  3. Pour le rôle que vous souhaitez annuler, sélectionnez le lien Annuler.

    Lorsque vous sélectionnez Annuler, la requête est annulée. Pour réactiver le rôle, vous devez envoyer une nouvelle demande d’activation.

    Ma liste de demandes dans laquelle l’action d’annulation est mise en surbrillance

Désactiver une attribution de rôle

Lorsqu’une attribution de rôle est activée, l’option Désactiver s’affiche dans le portail PIM de l’attribution de rôle. Par ailleurs, vous ne pouvez pas désactiver une attribution de rôle dans un délai de cinq minutes après l’activation.

Activer des rôles PIM avec Azure mobile app

PIM est désormais disponible dans les applications mobiles des rôles de ressource Microsoft Entra ID et Azure dans iOS et Android.

  1. Pour activer une attribution de rôle Microsoft Entra éligible, commencez par télécharger Azure mobile app (iOS | Android). Vous pouvez également télécharger l’application en sélectionnant « Ouvrir dans un mobile » à partir de Privileged Identity Management > Mes rôles > des rôles Microsoft Entra.

    Capture d’écran montrant comment télécharger une application mobile.

  2. Ouvrez Azure mobile app et connectez-vous. Sélectionnez la carte Privileged Identity Management et sélectionnez Mes rôles Microsoft Entra pour voir vos attributions de rôle éligibles et actives.

    Captures d’écran de l’application mobile montrant comment un utilisateur peut afficher les rôles disponibles.

  3. Sélectionnez l’attribution de rôle, puis cliquez sur Action > Activer sous les détails de l’attribution de rôle. Effectuez les étapes d’activation et fournissez les détails nécessaires avant de cliquer sur « Activer » en bas.

    Capture d’écran de l’application mobile montrant comment un utilisateur renseigne les informations obligatoires

  4. Consultez l’état de vos demandes d’activation et de vos attributions de rôle sous Mes rôles Microsoft Entra.

    Capture d’écran de l’application mobile montrant l’état du rôle de l’utilisateur.