Résoudre les problèmes de gestion des droits d’utilisation

  • Article

Cet article décrit certains éléments que vous devriez vérifier pour vous aider à résoudre les problèmes de gestion des droits d’utilisation.

Administration

  • Si vous obtenez un message d’accès refusé lors de la configuration de la gestion des droits d’utilisation, et que vous êtes administrateur général, vérifiez que votre annuaire dispose d’une licence Microsoft Entra ID P2 ou Microsoft Entra ID Governance (ou EMS E5). Si vous avez récemment renouvelé un abonnement Microsoft Entra ID P2 ou Microsoft Entra ID Governance expiré, jusqu’à 8 heures peuvent s’écouler pour que le renouvellement de cette licence soit visible.

  • Si la licence Microsoft Entra ID P2 ou Microsoft Entra ID Governance de votre locataire a expiré, vous ne pourrez pas traiter de nouvelles demandes d’accès ni effectuer des révisions d’accès.

  • Si vous obtenez un message d’accès refusé lors de la création ou de la consultation de packages d’accès et que vous êtes membre d’un groupe Créateur de catalogue, vous devez créer un catalogue avant de créer votre premier package d’accès.

Ressources

  • Les rôles des applications sont définis par l’application elle-même, et gérés dans Microsoft Entra ID. Si une application n’a pas de rôle de ressource, la gestion des droits d’utilisation affecte aux utilisateurs un rôle Accès par défaut.

    Le centre d’administration Microsoft Entra peut également afficher les principaux de service des services qui ne peuvent pas être sélectionnés en tant qu’applications. En particulier, Exchange Online et SharePoint Online sont des services, pas des applications disposant de rôles de ressources dans l’annuaire. Ils ne peuvent donc pas être inclus dans un package d’accès. Utilisez plutôt la gestion des licences par groupe pour établir une licence appropriée, destinée à un utilisateur qui a besoin d’accéder à ces services.

  • Les applications qui prennent uniquement en charge les utilisateurs de comptes Microsoft personnels pour l’authentification, et non les comptes professionnels dans votre annuaire, ne disposent pas de rôles d’application et ne peuvent pas être ajoutées pour accéder aux catalogues de packages.

  • Pour qu’un groupe soit une ressource dans un package d’accès, il doit pouvoir être modifiable dans Microsoft Entra ID. Les groupes issus d’Active Directory local ne peuvent pas être attribués en tant que ressources, car leurs attributs de propriétaire ou de membre ne sont pas modifiables dans Microsoft Entra ID. Les groupes qui proviennent d’Exchange Online en tant que groupes de distribution ne peuvent pas non plus être modifiés dans Microsoft Entra ID.

  • Les documents individuels et les bibliothèques SharePoint Online ne peuvent pas être ajoutés en tant que ressources. Créez plutôt un groupe de sécurité Microsoft Entra, ajoutez ce groupe et un rôle de site dans le package d’accès, puis utilisez ce groupe dans SharePoint Online pour contrôler l’accès au document ou à la bibliothèque de documents.

  • Si des utilisateurs ont déjà été affectés à une ressource que vous souhaitez gérer avec un package d’accès, assurez-vous qu’ils sont affectés au package d’accès avec une stratégie appropriée. Par exemple, vous envisagez d’inclure un groupe dans un package d’accès qui contient déjà des utilisateurs dans le groupe. Si ces utilisateurs dans le groupe nécessitent un accès permanent, ils doivent avoir une stratégie appropriée pour les packages d’accès, afin de ne pas perdre leur accès au groupe. Vous pouvez affecter le package d’accès soit en indiquant aux utilisateurs qu’ils demandent le package d’accès contenant cette ressource, soit en les affectant directement au package d’accès. Pour plus d’informations, consultez Changer les paramètres de demande et d’approbation pour un package d’accès.

  • Lorsque vous supprimez un membre d’une équipe, il est également supprimé du groupe Microsoft 365. La suppression de la fonctionnalité de conversation de l’équipe peut être retardée. Pour plus d’informations, consultez l’article Appartenance au groupe.

Packages d’accès

  • Si vous tentez de supprimer un package d’accès ou une stratégie et qu’un message d’erreur apparaît, indiquant qu’il existe des affectations actives alors que vous ne voyez aucun utilisateur doté d’affectations, regardez si certains des utilisateurs supprimés récemment possèdent encore des affectations. Pendant la fenêtre de 30 jours qui suit la suppression d’un utilisateur, le compte d’utilisateur peut être restauré.

Utilisateurs externes

  • Quand n utilisateur externe souhaite demander l’accès à un package d’accès, veillez à ce qu’il utilise le lien du portail Mon Accès pour le package. Pour plus d’informations, consultez Partager le lien pour demander un package d’accès. Si un utilisateur externe visite simplement myaccess.microsoft.com sans utiliser le lien complet du portail Mon Accès, il voit les packages d’accès disponibles dans sa propre organisation, et non dans la vôtre.

  • Si un utilisateur externe n’est pas en mesure de demander l’accès à un package d’accès ou ne peut pas accéder aux ressources, vérifiez vos paramètres pour les utilisateurs externes.

  • Si un utilisateur externe, qui ne s’est pas connecté avant à votre annuaire, reçoit un package d’accès, y compris un site SharePoint Online, son package d’accès s’affiche comme n’étant pas entièrement remis tant que son compte ne sera pas provisionné dans SharePoint Online. Pour plus d’informations sur le partage des paramètres, voir Vérifier les paramètres de partage externe SharePoint Online.

Demandes

  • Quand un utilisateur souhaite demander l’accès à un package d’accès, vérifiez qu’il utilise le lien du portail Mon Accès pour le package. Pour plus d’informations, consultez Partager le lien pour demander un package d’accès.

  • Si vous ouvrez le portail Mon Accès avec votre navigateur en mode privé ou incognito, il peut se produire un conflit avec le comportement de connexion. Nous vous recommandons de ne pas utiliser le mode privé ou incognito de votre navigateur lorsque vous visitez le portail Mon Accès.

  • Lorsqu’un utilisateur qui ne figure pas encore dans votre annuaire se connecte au portail Mon Accès pour demander un package d’accès, assurez-vous qu’il s’authentifie à l’aide de son compte professionnel ou scolaire. Le compte professionnel ou scolaire peut être un compte présent dans l’annuaire de ressources, ou dans un annuaire qui est inclus dans l’une des stratégies du package d’accès. Si le compte de l’utilisateur n’est pas un compte professionnel ou scolaire, ou si l’annuaire auquel il s’authentifie n’est pas inclus dans la stratégie, l’utilisateur ne voit pas le package d’accès. Pour plus d’informations, consultez Demander l’accès à un package d’accès.

  • Si un utilisateur est empêché de se connecter à l’annuaire de ressources, il est dans l’incapacité de demander l’accès dans le portail Mon accès. Avant que l’utilisateur puisse demander l’accès, vous devez supprimer le bloc de connexion du profil de l’utilisateur. Pour supprimer le bloc de connexion, dans le centre d’administration Microsoft Entra, sélectionnez Identité, Utilisateurs, choisissez l’utilisateur, puis sélectionnez Profil. Modifiez la section Paramètres et remplacez Bloquer la connexion par Non. Pour plus d’informations, consultez Ajouter ou mettre à jour les informations du profil de l’utilisateur avec Microsoft Entra ID. Vous pouvez également vérifier si l’utilisateur a été bloqué à cause d’une Stratégie dIdentity Protection.

  • Dans le portail Mon Accès, si un utilisateur est à la fois demandeur et approbateur, il ne peut pas voir sa demande de package d’accès dans la page Approbations. Ce comportement est intentionnel : un utilisateur ne peut pas approuver sa propre demande. Vérifiez que le package d’accès demandé compte des approbateurs supplémentaires configurés sur la stratégie. Pour plus d’informations, consultez Changer les paramètres de demande et d’approbation pour un package d’accès.

Afficher les erreurs de remise d’une requête

Rôle prérequis : administrateur général, administrateur de la gouvernance des identités, propriétaire de catalogue, gestionnaire de package d'accès ou gestionnaire d'attribution de package d'accès

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès.

  3. Sélectionnez Requêtes.

  4. Sélectionnez la requête à afficher.

    Si la requête contient des erreurs de remise, l’état de la demande sera Non remis ou Partiellement remis.

    Le cas échéant, un décompte des erreurs de livraison sera affiché dans le volet Détails de la demande.

  5. Sélectionnez ce nombre pour voir toutes les erreurs de livraison de la requête.

Retraiter une demande

Si une erreur est rencontrée après le déclenchement d’une demande de retraitement d’un package d’accès, vous devez patienter pendant que le système retraite la demande. Le système essaie de retraiter à plusieurs reprises et sur une période de plusieurs heures, vous ne pouvez donc pas forcer le retraitement pendant cette période.

Vous ne pouvez retraiter qu’une demande dont l’état est Échec de livraison ou Partiellement remis avec une date de fin inférieure à une semaine. Dans le cas contraire, le bouton Retraiter est grisé.

Reprocess button grayed out

  • Si l’erreur est corrigée dans la fenêtre des essais, l’état de la demande passe à Livraison en cours. La demande sera retraitée sans aucune action supplémentaire de la part de l’utilisateur.

  • Si l’erreur n’a pas été corrigée dans la fenêtre des essais, l’état de la demande peut être Échec de livraison ou Partiellement remis. Vous pouvez ensuite utiliser le bouton Retraiter. Vous aurez sept jours pour retraiter la demande.

Rôle prérequis : administrateur général, administrateur de la gouvernance des identités, propriétaire de catalogue, gestionnaire de package d'accès ou gestionnaire d'attribution de package d'accès

  1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès pour ouvrir un package d’accès.

  3. Sélectionnez Requêtes.

  4. Sélectionnez la demande à retraiter.

  5. Dans le volet des détails de la requête, sélectionnez Retraiter la demande.

    Reprocess a failed request

Annuler une demande en attente

Vous pouvez uniquement annuler une requête en attente qui n’a pas encore été autorisée ou dont la livraison a échoué. Dans le cas contraire, le bouton Annuler est grisé.

Rôle prérequis : administrateur général, administrateur de la gouvernance des identités, propriétaire de catalogue, gestionnaire de package d'accès ou gestionnaire d'attribution de package d'accès

  1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès pour ouvrir un package d’accès.

  3. Sélectionnez Requêtes.

  4. Sélectionnez la requête à annuler.

  5. Dans le volet des détails de la requête, sélectionnez Annuler la demande.

Stratégies d’affectation automatique

  • Chaque stratégie d’affectation automatique peut inclure jusqu’à 5 000 utilisateurs dans l’étendue de sa règle. L’accès aux utilisateurs supplémentaires dans l’étendue de la règle peut ne pas être un accès affecté.

Stratégies multiples

  • La gestion des droits d’utilisation suit les meilleures pratiques des privilèges minimum. Lorsqu’un utilisateur demande l’accès à un package d’accès auquel plusieurs stratégies s’appliquent, la gestion des droits d’utilisation comporte une logique qui permet de garantir que les stratégies plus strictes ou plus spécifiques sont prioritaires par rapport aux stratégies génériques. Si une stratégie est générique, la gestion des droits d’utilisation est susceptible de ne pas la présenter au demandeur ou d’en sélectionner automatiquement une plus stricte.

  • Prenons par exemple un package d’accès comportant deux stratégies pour les utilisateurs dans le répertoire, qui s’appliquent toutes deux au demandeur. La première concerne des utilisateurs spécifiques, dont fait partie le demandeur. La deuxième stratégie concerne tous les utilisateurs dans le répertoire. Dans ce scénario, la première stratégie est automatiquement sélectionnée pour le demandeur, car elle est plus stricte. Le demandeur n’a pas la possibilité de sélectionner la deuxième.

  • Lorsque plusieurs stratégies s’appliquent, la stratégie sélectionnée automatiquement ou les stratégies présentées au demandeur suivent la logique de priorité suivante :

    Priorité de la stratégie Étendue
    P1 Utilisateurs et groupes spécifiques du répertoire OU Organisations connectées spécifiques
    P2 Tous les membres du répertoire (à l’exception des invités)
    P3 Tous les utilisateurs du répertoire (y compris les invités) OU Organisations connectées spécifiques
    P4 Toutes les organisations connectées configurées OU Tous les utilisateurs (toutes les organisations connectées + tous les nouveaux utilisateurs externes)

    Si une stratégie se trouve dans une catégorie de priorité plus élevée, les catégories de priorité inférieure sont ignorées. Pour savoir par le biais d’un exemple comment plusieurs stratégies de même priorité sont présentées au demandeur, voir Sélectionner une stratégie.

Étapes suivantes