Délégation et rôles dans la gestion des droits d’utilisation
Dans Microsoft Entra ID, vous pouvez utiliser des modèles de rôle pour gérer l’accès à grande échelle grâce à la gouvernance des identités.
- Vous pouvez utiliser des packages d’accès pour représenter des rôles organisationnels dans votre organisation, comme « représentant commercial ». Un package d’accès représentant ce rôle organisationnel inclut tous les droits d’accès dont un représentant commercial peut généralement avoir besoin, sur plusieurs ressources.
- Les applications peuvent définir leurs propres rôles. Par exemple, si vous avez une application commerciale et que cette application a le rôle d’application « salesperson » dans son manifeste, vous pouvez inclure ce rôle à partir du manifeste de l’application dans un package d’accès. Les applications peuvent également utiliser des groupes de sécurité dans des scénarios où un utilisateur peut avoir simultanément plusieurs rôles propres à l’application.
- Vous pouvez utiliser des rôles pour déléguer l’accès administratif. Si vous disposez d’un catalogue pour tous les packages d’accès nécessaires aux ventes, vous pouvez affecter une personne responsable de ce catalogue, en lui attribuant un rôle spécifique au catalogue.
Cet article explique comment utiliser des rôles pour gérer les aspects de la gestion des droits d’utilisation Microsoft Entra, afin de contrôler l’accès aux ressources de gestion des droits d’utilisation.
Par défaut, les utilisateurs ayant le rôle d'administrateur général ou d'administrateur de la gouvernance des identités peuvent créer et gérer tous les aspects de la gestion des droits d’utilisation. Toutefois, les utilisateurs de ces rôles sont susceptibles de ne pas connaître toutes les situations dans lesquelles des packages d’accès sont exigés. D’ordinaire, il s’agit d’utilisateurs au sein des services, équipes ou projets respectifs qui savent avec qui ils collaborent, en utilisant quelles ressources et pendant combien de temps. Plutôt que d’accorder des autorisations illimitées aux non-administrateurs, vous pouvez accorder aux utilisateurs les autorisations minimales dont ils ont besoin pour effectuer leur travail et éviter de créer des conflits ou des droits d’accès inappropriés.
Cette vidéo fournit une vue d’ensemble de la délégation de la gouvernance des accès de l’administrateur informatique aux utilisateurs qui ne sont pas administrateurs.
Exemple de délégué
Pour comprendre comment déléguer la gouvernance des accès dans le cadre de la gestion des droits d’utilisation, prenons un exemple. Supposons que votre organisation emploie l’administrateur et les chefs de service suivants.
En tant qu’administratrice informatique, Hana a des contacts au sein de chaque service—Mamta du service marketing, Mark du service financier et Joe du service juridique, chacun étant responsable des ressources et du contenu vital pour l’entreprise de son service.
Avec la gestion des droits d’utilisation, vous pouvez déléguer la gouvernance des accès à ces non-administrateurs, car il s’agit des personnes qui savent quels utilisateurs ont besoin d’un accès, pendant combien de temps et à quelles ressources. Cette délégation à des non-administrateurs garantit que ce sont les bonnes personnes qui gèrent les accès pour leurs services.
Voici une façon pour Hana de déléguer la gouvernance des accès aux services marketing, financier et juridique.
Hana crée un nouveau groupe de sécurité Microsoft Entra et ajoute Mamta, Mark et Joe en tant que membres du groupe.
Hana ajoute ce groupe au rôle de créateur de catalogue.
Mamta, Mark et Joe peuvent désormais créer des catalogues pour leurs services, ajouter les ressources dont leurs services ont besoin et effectuer d’autres actions de délégation au sein de leur catalogue. Ils ne peuvent pas voir les catalogues des autres.
Mamta crée un catalogue Marketing, qui est un conteneur de ressources.
Mamta ajoute les ressources que possède son service marketing à ce catalogue.
Mamta peut ajouter d’autres personnes de ce service comme propriétaires de ce catalogue, ce qui permet de partager les responsabilités de la gestion du catalogue.
Mamta peut également déléguer la création et la gestion des packages d’accès dans le catalogue Marketing aux chefs de projet du service marketing. Pour cela, elle peut leur attribuer le rôle de gestionnaire de package d’accès sur le catalogue. Un gestionnaire de package d’accès peut créer et gérer des packages d’accès, tout comme les stratégies, les requêtes et des affectations dans ce catalogue. Si le catalogue le permet, le gestionnaire de package d’accès peut configurer des stratégies pour attirer des utilisateurs à partir d’organisations connectées.
Le diagramme suivant montre les catalogues contenant les ressources des services marketing, financier et juridique. À l’aide de ces catalogues, les chefs de projet peuvent créer des packages d’accès pour leurs équipes ou projets.
À l’issue de la délégation, le service marketing peut avoir des rôles similaires à ceux indiqués dans le tableau suivant.
| Utilisateur | Rôle organisationnel | Rôle Microsoft Entra | Rôle de gestion des droits d’utilisation |
|---|---|---|---|
| Hana | Administrateur informatique | Administrateur général ou administrateur de la gouvernance des identités | |
| Mamta | Directrice marketing | Utilisateur | Créateur du catalogue et propriétaire du catalogue |
| Bob | Responsable marketing | Utilisateur | Propriétaire de catalogue |
| Jessica | Chef de projet marketing | Utilisateur | Gestionnaire de package d’accès |
Rôles de gestion des droits d’utilisation
La gestion des droits d’utilisation a les rôles suivants, avec des autorisations d’administration de la gestion des droits d’utilisation proprement dite, qui s’appliquent à tous les catalogues.
| Rôle de gestion des droits d’utilisation | ID de définition de rôle | Description |
|---|---|---|
| Créateur de catalogue | ba92d953-d8e0-4e39-a797-0cbedb0a89e8 |
Crée et gère des catalogues. Il s’agit, en général, d’un administrateur informatique qui n’est ni Administrateur d’entreprise, ni propriétaire de ressource pour une collection de ressources. La personne qui crée un catalogue devient automatiquement le premier propriétaire du catalogue et peut ajouter des propriétaires de catalogues. Un créateur de catalogue ne peut ni gérer ni voir les catalogues dont il n’est pas propriétaire, et ne peut pas ajouter à un catalogue les ressources dont il n’est pas propriétaire. Si le créateur de catalogue doit gérer un autre catalogue ou ajouter des ressources dont il n’est pas propriétaire, il peut demander à être copropriétaire de ce catalogue ou de cette ressource. |
La gestion des droits d’utilisation a les rôles suivants qui sont définis pour chaque catalogue particulier, pour l’administration des packages d’accès et d’autres configurations au sein d’un catalogue. Un administrateur ou un propriétaire de catalogue peut ajouter des utilisateurs, des groupes d’utilisateurs ou des principaux de service à ces rôles.
| Rôle de gestion des droits d’utilisation | ID de définition de rôle | Description |
|---|---|---|
| Propriétaire de catalogue | ae79f266-94d4-4dab-b730-feca7e132178 |
Modifiez et gérez des packages d’accès et d’autres ressources dans un catalogue. Il s’agit, en général, d’un administrateur informatique, d’un propriétaire de ressource ou d’un utilisateur désigné par le propriétaire du catalogue. |
| Lecteur du catalogue | 44272f93-9762-48e8-af59-1b5351b1d6b3 |
Affichez les packages d’accès existants dans un catalogue. |
| Gestionnaire de package d’accès | 7f480852-ebdc-47d4-87de-0d8498384a83 |
Modifie et gère tous les packages d’accès existants au sein d’un catalogue. |
| Gestionnaire d'attribution de package d'accès | e2182095-804a-4656-ae11-64734e9b7ae5 |
Modifie et gère toutes les affectations de packages d’accès existantes. |
De plus, l’approbateur choisi et un demandeur d’un package d’accès ont des droits, bien qu’il ne s’agisse pas de rôles.
| Right | Description |
|---|---|
| Approbateur | Personne autorisée par une stratégie à approuver ou refuser des demandes de packages d’accès, bien qu’elle ne puisse pas modifier les définitions de ces derniers. |
| Demandeur | personne autorisée par la stratégie d’un package d’accès à demander ce package d’accès. |
Le tableau suivant liste les tâches que les rôles de gestion des droits d’utilisation peuvent effectuer dans la gestion des droits d'utilisation.
Pour déterminer le rôle le moins privilégié pour une tâche, vous pouvez également vous reporter à Rôles d’administrateur par tâche administrateur dans Microsoft Entra ID.
Rôles requis pour ajouter des ressources à un catalogue
Un Administrateur d’entreprise peut ajouter ou supprimer n’importe quel groupe (groupes de sécurité ou groupes Microsoft 365 créés dans le cloud), application ou site SharePoint Online d’un catalogue.
Remarque
Les utilisateurs qui se sont vu attribuer le rôle d’administrateur d’utilisateurs ne pourront plus créer de catalogues ni gérer les packages d’accès dans un catalogue dont ils ne sont pas propriétaires. Un administrateur utilisateur qui est propriétaire d'un catalogue peut ajouter ou supprimer n'importe quel groupe ou quelle candidature dans le catalogue dont il est propriétaire, à l'exception d'un groupe configuré comme pouvant être assigné à un rôle d'annuaire. Pour plus d’informations sur les groupes assignables à un rôle, consultez Créer un groupe assignable à un rôle dans Microsoft Entra ID. Si le rôle d’administrateur d’utilisateurs de votre organisation a été attribué à des utilisateurs pour configurer des catalogues, des packages d’accès ou des stratégies de la gestion des droits d’utilisation, vous devez attribuer à ces utilisateurs le rôle d’administrateur de gouvernance des identités.
Pour qu'un utilisateur qui n'est pas un administrateur général puisse ajouter des groupes, des applications ou des sites SharePoint Online à un catalogue, il doit avoir la possibilité d'effectuer des actions sur cette ressource et être titulaire d'un rôle de propriétaire de catalogue dans la gestion des droits d’utilisation pour le catalogue. La façon la plus courante pour un utilisateur d’avoir la capacité à realiser des actions pour une ressource est d’être dans un rôle d’annuaire Microsoft Entra qui lui permet d’administrer la ressource. Ou pour les ressources qui ont des propriétaires, l’utilisateur peut avoir la capacité à realiser des actions en ayant été affecté en tant que propriétaire de la ressource.
Les actions que la gestion des droits d’utilisation case activée lorsqu’un utilisateur ajoute une ressource à un catalogue sont les suivantes :
- Pour ajouter un groupe de sécurité ou un groupe Microsoft 365 : l’utilisateur doit être autorisé à effectuer les actions
microsoft.directory/groups/members/updateetmicrosoft.directory/groups/owners/update - Pour ajouter une application : l’utilisateur doit être autorisé à effectuer l’action
microsoft.directory/servicePrincipals/appRoleAssignedTo/update - Pour ajouter un site SharePoint Online : l’utilisateur doit être un Administration istrateur SharePoint ou se trouver dans un rôle de site SharePoint Online, ce qui lui permet de gérer les autorisations dans le site
Le tableau suivant répertorie certaines des combinaisons de rôles qui incluent les actions qui permettent aux utilisateurs de ces combinaisons de rôles d’ajouter des ressources à un catalogue. Pour supprimer des ressources d’un catalogue, vous devez également avoir un rôle ou une propriété avec ces mêmes actions.
| Rôle d’annuaire Microsoft Entra | Rôle de gestion des droits d’utilisation | Peut ajouter un groupe de sécurité | Peut ajouter un groupe Microsoft 365 | Peut ajouter une application | Peut ajouter un site SharePoint Online |
|---|---|---|---|---|---|
| Administrateur général | n/a | ✔️ | ✔️ | ✔️ | ✔️ |
| Administrateur Identity Governance | n/a | ✔️ | |||
| Administrateur de groupes | Propriétaire de catalogue | ✔️ | ✔️ | ||
| Administrateur Intune | Propriétaire de catalogue | ✔️ | ✔️ | ||
| Administrateur Exchange | Propriétaire de catalogue | ✔️ | |||
| Administrateur SharePoint | Propriétaire de catalogue | ✔️ | ✔️ | ||
| Administrateur d’application | Propriétaire de catalogue | ✔️ | |||
| Administrateur d’application cloud | Propriétaire de catalogue | ✔️ | |||
| Utilisateur | Propriétaire de catalogue | Seulement si propriétaire d’un groupe | Seulement si propriétaire d’un groupe | Seulement si propriétaire d’une application |
Gestion déléguée du cycle de vie de l’utilisateur invité
En règle générale, un utilisateur disposant d’un rôle doté de privilèges Inviteur d’invités peut inviter des utilisateurs externes individuels à une organisation, et ce paramètre peut être modifié à l’aide des paramètres de collaboration externe.
Pour la gestion de la collaboration externe, lorsque les utilisateurs externes individuels d’un projet de collaboration peuvent ne pas être connus à l’avance, l’affectation d’utilisateurs qui travaillent avec des organisations externes à des rôles de gestion des droits d’utilisation peut leur permettre de configurer des catalogues, des packages d’accès et des stratégies pour leur collaboration externe. Ces configurations permettent aux utilisateurs externes avec lesquels ils collaborent de demander et d’être ajoutés au répertoire et aux packages d’accès de votre organisation.
- Pour permettre aux utilisateurs des répertoires externes d’organisations connectées de demander des packages d’accès dans un catalogue, le paramètre de catalogue Activé pour les utilisateurs externes doit être défini sur Oui. La modification de ce paramètre peut être effectuée par un administrateur ou un propriétaire de catalogue du catalogue.
- Le package d’accès doit également avoir une stratégie définie pour les utilisateurs qui ne se trouve pas dans votre annuaire. Cette stratégie peut être créée par un administrateur, un propriétaire de catalogue ou un gestionnaire de package d’accès du catalogue.
- Un package d’accès avec cette stratégie permet aux utilisateurs dans l’étendue de pouvoir demander l’accès, y compris les utilisateurs qui ne se trouvent pas déjà dans votre annuaire. Si sa requête est approuvée ou ne nécessite pas d’approbation, l’utilisateur est automatiquement ajouté à votre répertoire.
- Si le paramètre de stratégie était pour Tous les utilisateurs et que l’utilisateur ne faisait pas partie d’une organisation connectée existante, une nouvelle organisation connectée proposée est automatiquement créée. Vous pouvez afficher la liste des organisations connectées et supprimer les organisations qui ne sont plus nécessaires.
Vous pouvez également configurer ce qui se passe lorsqu’un utilisateur externe introduit par la gestion des droits d’utilisation perd sa dernière affectation à des packages d’accès. Vous pouvez les empêcher de se connecter à cet annuaire ou leur compte invité supprimé dans les paramètres pour gérer le cycle de vie des utilisateurs externes.
Restriction des administrateurs délégués à la configuration des stratégies pour les utilisateurs qui ne se trouve pas dans l’annuaire
Vous pouvez empêcher les utilisateurs qui ne sont pas dans des rôles d’administration d’inviter des invités individuels, dans les paramètres de collaboration externes, en modifiant le paramètre Paramètres d’invitation d’invité en rôles d’administrateur spécifiques, et activer l’inscription en libre-service invité défini sur Non.
Pour empêcher les utilisateurs délégués de configurer la gestion des droits d’utilisation pour permettre aux utilisateurs externes de demander une collaboration externe, veillez à communiquer cette contrainte à tous les administrateurs généraux, administrateurs de gouvernance des identités, créateurs de catalogue et propriétaires de catalogues, car ils sont en mesure de modifier les catalogues, afin qu’ils n’autorisent pas par inadvertance une nouvelle collaboration dans des catalogues nouveaux ou mis à jour. Ils doivent s’assurer que les catalogues sont définis sur Activé pour les utilisateurs externes sur Non, et qu’ils n’ont pas de packages d’accès avec des stratégies permettant à un utilisateur qui ne se trouve pas dans l’annuaire de demander.
Vous pouvez afficher la liste des catalogues actuellement activés pour les utilisateurs externes dans le Centre d’administration Microsoft Entra.
Connectez-vous au centre d’administration de Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.
Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Catalogues.
Définissez le paramètre de filtre activé pour les utilisateurs externes sur Oui.
Si l’un de ces catalogues a un nombre différent de zéro de packages d’accès, ces packages d’accès peuvent avoir une stratégie pour les utilisateurs qui ne se trouve pas dans l’annuaire.
Gérer les attributions de rôles aux rôles de gestion des droits d’utilisation de manière programmatique
Vous pouvez également afficher et mettre à jour les créateurs de catalogue ainsi que les attributions de rôles propres au catalogue de gestion des droits d’utilisation à l’aide de Microsoft Graph. Un utilisateur disposant d’un rôle approprié et d’une application qui a l’autorisation déléguée EntitlementManagement.ReadWrite.All peut appeler l’API Graph pour lister les définitions de rôles de la gestion des droits d’utilisation et lister les attributions de rôles de ces définitions de rôles.
Par exemple, pour voir les rôles propres à la gestion des droits d’utilisation qui ont été attribués à un utilisateur ou à un groupe, utilisez la requête Graph pour lister les attributions de rôles, puis indiquez l’ID de l’utilisateur ou du groupe comme valeur du filtre de requête principalId :
GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=principalId eq '10850a21-5283-41a6-9df3-3d90051dd111'&$expand=roleDefinition&$select=id,appScopeId,roleDefinition
Dans le cas d’un rôle propre à un catalogue, le appScopeId de la réponse indique le catalogue dans lequel l’utilisateur se voit attribuer un rôle. Cette réponse récupère uniquement les affectations explicites de ce principal à des rôles dans la gestion des droits d’utilisation. Elle ne retourne pas de résultats pour un utilisateur doté de droits d’accès via un rôle d’annuaire ou via l’appartenance à un groupe affecté à un rôle.