Tutoriel : Intégrer des utilisateurs externes à Microsoft Entra ID via un processus d’approbation

Vous pouvez utiliser la gestion des droits d’utilisation comme moyen d’intégrer des utilisateurs externes. Cette fonctionnalité permet aux utilisateurs externes de demander l’accès à un ensemble de ressources et à vous de configurer des approbations avant qu’ils n’obtiennent l’accès à votre annuaire. Pour les utilisateurs externes intégrés via des droits d’utilisation, vous pouvez gérer leur cycle de vie avec des packages d’accès. À l’expiration de leur dernier package d’accès, ils sont supprimés de votre annuaire.

Dans ce tutoriel, vous travaillez pour WoodGrove Bank comme administrateur informatique. Vous avez été chargé de créer un package d’accès pour intégrer des partenaires d’une organisation externe avec laquelle votre groupe commercial travaille. Ils doivent accéder à un groupe Teams appelé Collaboration externe. L’approbation d’un commanditaire interne est nécessaire pour les organisations collaboratrices. Vous avez aussi été informé que l’accès du partenaire doit expirer dans 60 jours. Pour utiliser la gestion des droits d’utilisation, vous devez disposer d’une des licences suivantes :

  • Microsoft Entra ID P2 ou gouvernance de Microsoft Entra ID
  • Licence Enterprise Mobility + Security (EMS) E5

Pour plus d’informations, consultez Exigences des licences.

Étape 1 : Configurer les bases

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

    Conseil

    Parmi les autres rôles avec des privilèges minimum pouvant effectuer cette tâche figurent le Propriétaire du catalogue, l’Administrateur d’utilisateurs et le Gestionnaire de package d’accès.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès.

  3. Lorsque vous sélectionnez la page de package d'accès, si vous recevez le message Accès refusé, vérifiez qu’une licence Microsoft Entra ID P2 ou Microsoft Entra ID Governance est présente dans votre répertoire.

  4. Sélectionnez Nouveau package d’accès.

  5. Sous l’onglet Informations de base, entrez le nom Package des utilisateurs externes et la description Approbation en attente pour l’accès des utilisateurs externes.

  6. Vous pouvez laisser la liste déroulante Catalogue définie sur Général.

Étape 2 : Configurer des ressources

  1. Sélectionnez Suivant pour ouvrir l’onglet Rôles des ressources.

    Sous cet onglet, sélectionnez les ressources et le rôle de ressource à inclure dans le package d’accès.

  2. Sélectionnez Groupes et équipes et recherchez votre groupe Collaboration externe.

Étape 3 : Configurer les demandes

  1. Sélectionnez Suivant pour ouvrir l’onglet Requêtes.

    Sous cet onglet, vous créez une stratégie de demande. Une stratégie définit les règles ou barrières mises en place pour accéder à un package d’accès. Vous créez une stratégie qui permet à un utilisateur spécifique de l’annuaire de ressources de demander ce package d’accès.

  2. Dans la section Utilisateurs qui peuvent demander l’accès, sélectionnez Pour les utilisateurs qui ne sont pas dans votre annuaire, puis Tous les utilisateurs (toutes les organisations connectées + tous les nouveaux utilisateurs externes).

  3. Étant donné que tous les utilisateurs qui ne sont pas encore dans votre annuaire peuvent afficher et envoyer une requête pour ce package d’accès, Oui est obligatoire pour le paramètre Demander une approbation.

  4. Les paramètres suivants vous permettent de configurer le mode de fonctionnement de vos approbations pour vos utilisateurs externes :

  5. Pour Exiger la justification du demandeur, laissez sur Oui.

  6. Pour Combien de phases, laissez sur 1.

  7. Pour le scénario Approbateur, sélectionnez Sponsor interne. Cette option provient d’une organisation connectée configurée où vous pouvez parrainer des organisations spécifiques avec lesquelles vous travaillez. Cela vous permet de définir comme approbateur une personne spécifiée de l’organisation connectée depuis votre organisation.

  8. Pour La décision doit être prise dans combien de jours ? , laissez sur 14.

  9. Pour Exiger la justification de l’approbateur, laissez sur Oui.

  10. Définissez Activer les nouvelles demandes et les attributions sur Oui afin que ce package d’accès puisse être demandé dès qu’il sera créé.

Étape 4 : Configurer les informations sur le demandeur

  1. Sélectionnez Suivant pour ouvrir l’onglet Informations sur le demandeur

  2. Sur cet écran, vous pouvez poser des questions supplémentaires pour collecter plus d’informations sur votre demandeur. Ces questions sont affichées sur son formulaire de demande et peuvent être définies comme obligatoires ou facultatives. Pour le moment, vous pouvez les laisser vides.

Étape 5 : Configurer le cycle de vie

  1. Sélectionnez Suivant pour ouvrir l’onglet Cycle de vie

  2. Dans la section Expiration, définissez Nombre de jours pour Les attributions de package d’accès expirent.

  3. Définissez Les attributions expirent après sur 60 jours. Ce champ détermine à quel moment vos utilisateurs invités doivent renouveler leur accès.

  4. Vous pouvez également configurer des révisions d’accès pour pouvoir vérifier régulièrement si l’invité a toujours besoin d’accéder au package d’accès. Une révision peut être une auto-révision ou vous pouvez définir des révisions spécifiques pour cette tâche. Pour plus d’informations, consultez Révisions d’accès.

Étape 6 : Vérifier et créer votre package d’accès

  1. Sélectionnez Suivant pour ouvrir l’onglet Vérifier + créer.

  2. Sur cet écran, vous pouvez vérifier la configuration de votre package d’accès avant de le créer. En cas de problème, vous pouvez utiliser les onglets pour naviguer jusqu’à un point spécifique dans l’expérience de création pour apporter des modifications.

  3. Une fois que vous êtes content de vos sélections, sélectionnez Créer. Après quelques instants, vous devez obtenir une notification indiquant que le package d’accès a été créé.

  4. Une fois qu’il est créé, vous êtes dirigé vers la page Vue d’ensemble de votre package d’accès. Vous y trouverez le lien Mon portail d’accès où vous pourrez copier la valeur. Partagez ce lien avec vos utilisateurs externes afin qu’ils puissent demander ce package et commencer à collaborer.

Étape 7 : Nettoyer les ressources

Dans cette étape, vous pouvez supprimer le package d’accès au package des utilisateurs externes.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

    Conseil

    Parmi les autres rôles avec des privilèges minimum pouvant effectuer cette tâche figure le Gestionnaire de package d’accès.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès.

  3. Ouvrez le package d’accès Package des utilisateurs externes.

  4. Sélectionnez Rôles des ressources.

  5. Sélectionnez le groupe Collaboration externe que vous avez ajouté à ce package d’accès, puis dans le volet Détails, sélectionnez Supprimer le rôle de ressource. Dans le message qui s’affiche, sélectionnez Oui.

  6. Ouvrez la liste des packages d’accès.

  7. Pour Package des utilisateurs externes, sélectionnez les points de suspension (...), puis Supprimer. Dans le message qui s’affiche, sélectionnez Oui.

Étapes suivantes

Découvrez comment créer des packages d’accès pour gérer l’accès à d’autres types de ressources comme les applications et les sites. Tutoriel : Gérer l’accès aux ressources dans la gestion des droits d’utilisation