Découvrir, corriger et surveiller les autorisations dans les infrastructures multiclouds à l’aide des API de gestion des autorisations (préversion)

Gestion des autorisations Microsoft Entra offre une visibilité complète des autorisations attribuées à toutes les identités dans plusieurs infrastructures cloud telles que Microsoft Azure, Amazon Web Services (AWS) et Google Cloud Platform (GCP). Les API de gestion des autorisations dans Microsoft Graph permettent de découvrir, de gérer et de surveiller par programmation ces autorisations dans votre infrastructure multicloud.

Cet article présente les fonctionnalités de gestion des autorisations que vous pouvez gérer par programmation via Microsoft Graph.

Pour plus d’informations sur Permissions Management, consultez Qu’est-ce que Gestion des autorisations Microsoft Entra.

Principaux cas d’usage des API de gestion des autorisations

En vous offrant une visibilité complète des autorisations attribuées à toutes les identités dans plusieurs clouds, les API de gestion des autorisations vous permettent de traiter trois cas d’usage clés de Gestion des autorisations Microsoft Entra : découvrir, corriger et surveiller.

Systèmes d’autorisation

Un système d’autorisation est une plateforme qui contient des identités et des ressources. Il expose des autorisations qui contrôlent les ressources auxquelles une identité a accès et les actions qu’elle peut effectuer.

Utilisez le type de ressource authorizationSystem et ses méthodes associées pour découvrir les systèmes d’autorisation intégrés à Permissions Management et leurs détails. Actuellement, Permissions Management prend en charge Microsoft Azure, AWS et GCP.

Les scénarios d’API clés suivants vous permettent de récupérer des détails pour les systèmes d’autorisation.

Description API
Récupérer les systèmes d’autorisation Lister les systèmes d’autorisation
Obtenir les détails d’un système d’autorisation AWS Répertorier awsAuthorizationSystems
Obtenir les détails d’un système d’autorisation Azure Répertorier azureAuthorizationSystems
Obtenir les détails d’un système d’autorisation GCP Répertorier gcpAuthorizationSystems

Découvrez la référence rapide des opérations d’API pour les systèmes d’autorisation AWS, les systèmes d’autorisation Azure et les systèmes d’autorisation GCP.

Inventaire du système d’autorisation

Chaque système d’autorisation a un ensemble défini d’objets qui forment les fonctionnalités du système d’autorisation. Par exemple, des identités telles que des utilisateurs et des comptes de service, ou des actions et des ressources.

Les scénarios d’API clés suivants vous permettent de récupérer l’inventaire des systèmes d’autorisation.

Description API
Lister toutes les identités dans un système d’autorisation
  • Répertorier toutes les identités AWS
  • Répertorier toutes les identités Azure
  • Répertorier toutes les identités GCP
  • Répertorier les types d’identité dans des systèmes d’autorisation spécifiques
  • Répertorier les rôles et les utilisateurs dans AWS
  • Répertorier les identités managées, les utilisateurs et les principaux de service dans Azure
  • Répertorier les utilisateurs et les comptes de service dans GCP
  • Autre inventaire
  • Répertorier les actions, les stratégies, les ressources et les services dans AWS
  • Répertorier les actions, les ressources, les définitions de rôle et les services dans Azure
  • Répertorier les actions, les ressources, les rôles et les services dans GCP
  • Demandes d’autorisations

    Les identités peuvent demander des autorisations sur des actions et des ressources dans un système d’autorisation. Les fonctionnalités de demandes d’autorisations permettent aux appelants de demander des autorisations pour eux-mêmes ou pour le compte d’une autre identité, et d’autres identités pour approuver, rejeter ou annuler les demandes.

    Les scénarios d’API clés suivants vous permettent d’implémenter des fonctionnalités d’autorisations à la demande.

    Scénarios API
    Demander des autorisations ; accorder ou rejeter une demande Créer scheduledPermissionsRequest
    Annuler une demande d’autorisations scheduledPermissionsRequest : cancelAll
    Suivre les demandes d’autorisations et leurs status Répertorier les autorisationsRequestChanges

    Analytique des autorisations

    Grâce aux API d’analyse des autorisations, Permissions Management vous aide à détecter les risques liés aux autorisations dans les identités et les ressources de vos systèmes d’autorisation. Vous pouvez utiliser ces résultats pour automatiser des cas d’usage tels que :

    • Création de tableaux de bord
    • Déclencher une révision des risques
    • Hiérarchiser la correction
    • Générer des tickets

    Les exemples de résultats suivants sont disponibles via les API :

    Trouver API exemples de scénarios
    Identités inactives : identités qui n’ont utilisé aucune des autorisations accordées au cours des 90 derniers jours.
  • Utilisateurs inactifs sur plusieurs systèmes d’autorisation
  • Fonctions serverless inactives sur plusieurs systèmes d’autorisation
  • Principaux de service Azure inactifs
  • Comptes de service GCP inactifs
  • Rôles AWS inactifs
  • Ressources AWS inactives, telles que ec2
  • Groupes inactifs : aucune identité n’a utilisé les autorisations attribuées via le groupe au cours des 90 derniers jours.
  • Groupes inactifs sur plusieurs systèmes d’autorisation
  • Super identités : autorisations au niveau de l’administrateur sur le système d’autorisation. Ces identités peuvent gérer toutes les ressources sous le système d’autorisation.
  • Super utilisateurs sur plusieurs systèmes d’autorisation
  • Fonctions super serverless sur plusieurs systèmes d’autorisation
  • Principaux de service Super Azure
  • Comptes de service Super GCP
  • Rôles Super AWS
  • Ressources Super AWS, telles que ec2
  • Voici d’autres résultats :

    • Résultats basés sur les ressources : par exemple, les conteneurs d’objets blob Azure, les compartiments S3 et les compartiments de stockage accessibles publiquement ; ouvrir des groupes de sécurité réseau ; et identités qui peuvent accéder aux informations secrètes ou utiliser des outils de sécurité
    • Utilisateurs, rôles, ressources, principaux de service et comptes de service surprovisionnés
    • Utilisateurs avec une authentification multifacteur non appliquée dans AWS
    • Opportunités d’escalade de privilèges
    • Ancienneté et utilisation de la clé d’accès AWS

    Confiance Zéro

    Cette fonctionnalité permet aux organisations d’aligner leurs identités sur les trois principes directeurs d’une architecture Confiance nulle :

    • Vérifiez explicitement.
    • Utiliser le privilège minimum
    • Supposez une violation.

    Pour en savoir plus sur Confiance nulle et d’autres façons d’aligner vos organization sur les principes directeurs, consultez le Centre d’aide Confiance nulle.


    Autorisations et privilèges

    Pour appeler les API de gestion des autorisations, l’appelant n’a pas besoin d’autorisations Microsoft Graph. Toutefois, ils doivent disposer des privilèges appropriés dans le locataire Microsoft Entra et dans le système externe.

    Pour plus d’informations, consultez Rôles et niveaux d’autorisations de gestion des autorisations.