Gouvernance des utilisateurs invités Microsoft Teams

Cet exemple de scénario aide les utilisateurs à collaborer avec d’autres organisations en fournissant des contrôles d’identité et de gouvernance pour des utilisateurs externes en cas d’utilisation de la collaboration Microsoft Entra B2B.

Architecture

Téléchargez un fichier Visio de cette architecture.

Workflow

1. Répertoire de ressources : il s’agit du répertoire Microsoft Entra qui contient des ressources qui sont des groupes et des équipes Microsoft 365. Pour cet exemple, la ressource est une équipe de projet ajoutée au package d’accès, afin que les utilisateurs externes à l’organisation puissent demander l’accès à celle-ci.

2. Répertoire externe (organisation connectée) : il s’agit du répertoire Microsoft Entra externe qui contient des utilisateurs externes de l’organisation connectée. Ces utilisateurs peuvent être autorisés par une stratégie à demander l’accès à l’équipe de projet.

3. Catalogue 1 : un catalogue est un conteneur pour les ressources associées et les packages d’accès. Le catalogue 1 contient l’équipe de projet et son package d’accès.

   Les catalogues sont utilisés pour la délégation, afin que les non-administrateurs puissent créer des packages d’accès. Les propriétaires de catalogue peuvent ajouter les ressources qu’ils possèdent à un catalogue.

4. Ressources : il s’agit des ressources qui s’affichent dans les packages d’accès. Elles peuvent inclure des groupes de sécurité, des applications et des sites SharePoint en ligne. Dans cet exemple, il s’agit de l’équipe de projet.

5. Accès 1 : un package d’accès est une collection de ressources avec des types d’accès pour chacune. Les packages d’accès permettent de régir l’accès des utilisateurs internes et externes. Dans cet exemple, l’équipe de projet est la ressource avec une seule stratégie qui permet aux utilisateurs externes de demander l’accès. Dans cet exemple, les utilisateurs internes n’ont pas besoin d’utiliser la gestion des droits d’utilisation Microsoft Entra. Ils sont ajoutés à l’équipe de projet à l’aide de Microsoft Teams.

6. Rôle de ressource du groupe 1 : les rôles de ressource sont des autorisations associées à une ressource et définies par celle-ci. Un groupe est doté de deux rôles : membre et propriétaire. Les sites SharePoint compte généralement trois rôles, mais ils peuvent bénéficier de rôles personnalisés supplémentaires. Les applications peuvent avoir plusieurs rôles personnalisés.

7. Stratégie d’accès externe : il s’agit de la stratégie qui définit les règles d’affectation à un package d’accès. Une stratégie est utilisée dans cet exemple pour s’assurer que les utilisateurs des organisations connectées peuvent demander l’accès à l’équipe de projet. Une fois qu’une demande est effectuée, une approbation est requise par les approbateurs, comme défini dans la stratégie. La stratégie spécifie également les limites de temps et les paramètres de renouvellement.

8. Approbateur : un approbateur approuve la demande d’accès. Il peut s’agir d’un utilisateur interne ou externe.

9. Demandeur : il s’agit de l’utilisateur externe qui demande l’accès via le portail d’accès Mon Accès. Le portail affiche uniquement les packages d’accès que le demandeur est autorisé à demander.

Demande d’accès à une ressource pour des utilisateurs externes au workflow de l’organisation

Voici un workflow de haut niveau qui montre comment l’accès au groupe ou à l’équipe Microsoft 365 est accordé aux utilisateurs externes. Il inclut la suppression d’un compte invité lorsque l’accès n’est plus nécessaire ou si une limite de temps est atteinte.

Composants

• Microsoft Entra ID offre des services de gestion des identités et des accès basés sur le cloud qui offrent aux utilisateurs la possibilité de se connecter et d’accéder aux ressources. Il offre les fonctionnalités suivantes :
  • La gestion des droits d’utilisation Microsoft Entra est une fonctionnalité de gouvernance des identités qui permet aux organisations de gérer les cycles de vie des identités et des accès à grande échelle, en automatisant les workflows de requête d’accès, les attributions d’accès, les évaluations et l’expiration.
  • La collaboration interentreprises (B2B) Microsoft Entra est utilisée par la gestion des droits d’utilisation Microsoft Entra pour partager l’accès afin que des utilisateurs internes puissent collaborer avec des utilisateurs externes.
  • Les révisions d’accès de Microsoft Entra permettent aux organisations de gérer efficacement les appartenances à des groupes, les accès aux applications d’entreprise et les attributions de rôles. L’accès des utilisateurs peut être passé en revue régulièrement pour vérifier que seules les personnes appropriées continuent de bénéficier d’un accès.
  • L’accès invité Microsoft Teams permet aux utilisateurs externes d’accéder aux équipes, chaînes, ressources, conversations et applications, tout en conservant le contrôle de vos ressources d’entreprise.
  • L’Accès conditionnel Microsoft Entra regroupe des signaux pour prendre des décisions et appliquer des stratégies organisationnelles. L’accès conditionnel dans cette solution a été utilisé pour appliquer des contrats de conditions d’utilisation et une authentification multifacteur, et pour définir des délais d’expiration de session pour les comptes d’invité.

Autres solutions

Une autre solution pour la gestion des droits d’utilisation Microsoft Entra consiste à permettre aux utilisateurs internes d’inviter des utilisateurs externes dans une équipe. Un utilisateur invité peut alors créer un compte invité dans le répertoire de ressources.

Cette alternative ne fournit pas les contrôles d’identité et de gouvernance requis par le client. Les lacunes par rapport à la gestion des droits d’utilisation Active Directory sont les suivantes :

• Les utilisateurs externes ne peuvent pas demander l’accès : il doit y avoir une invitation. L’utilisateur externe doit savoir comment demander une invitation, un processus qui peut varier en fonction de l’équipe et changer au fil du temps.
• Il n’y a ni justification métier, ni notifications par e-mail, ni processus de révision ou processus d’approbation, ce qui est un problème d’audit.
• L’accès à des ressources spécifiques ne peut pas être géré, supprimé ou mis à jour facilement. Étant donné que les ressources de projet sont susceptibles de changer, il s’agit d’un problème d’efficacité.
• Si un utilisateur externe est invité mais que l’organisation de l’utilisateur n’est pas autorisée, l’accès est refusé à l’utilisateur, provoquant la confusion.
• Les comptes invités ne sont pas automatiquement supprimés et aucune expiration n’est définie. Un processus manuel pour gérer l’expiration est sujet aux erreurs et moins efficace qu’un processus automatique qui requiert la définition de limites lors de la création du compte. Il s’agit d’un problème de sécurité et d’un problème d’efficacité.

Il est peu probable que la création d’une solution personnalisée pour gérer ces problèmes soit avantageuse en termes de coûts ou de fonctionnalités par rapport à la gestion des droits d’utilisation Azure AD.

Détails du scénario

Cet exemple de scénario a été créé pendant la pandémie de COVID-19, quand un client avait besoin d’une collaboration immédiate avec d’autres organisations. Cela signifiait fournir des contrôles d’identité et de gouvernance pour les utilisateurs externes.

Microsoft Teams était l’outil principal du client pour les communications de l’entreprise. Les utilisateurs collaboraient en utilisant les fonctionnalités de conversation, de réunions et d’appel de Teams. Les chaînes Teams leur fournissait un accès aux fichiers et aux conversations.

Les réunions Teams permettaient de répondre efficacement aux attentes des utilisateurs externes. Toutefois, les utilisateurs externes ne pouvaient pas accéder aux équipes et aux chaînes et, par conséquent, la collaboration avec eux était maladroite et la productivité était entravée. Le client avait besoin d’un meilleur résultat.

Teams offre deux options de communication et de collaboration avec les utilisateurs externes :

• Accès externe : type de fédération qui permet aux utilisateurs internes de rechercher, d’appeler et de converser avec des utilisateurs externes. Les utilisateurs de l’accès externe ne peuvent pas être ajoutés aux équipes, sauf s’ils sont invités en tant qu’invités à l’aide de l’accès invité.
• Accès invité : permet aux utilisateurs internes d’inviter des utilisateurs externes à rejoindre une équipe. Les utilisateurs invités obtiennent un compte invité dans Microsoft Entra ID. L’accès invité permet aux utilisateurs externes d’être invités aux équipes et d’accéder aux documents dans les chaînes, ainsi qu’aux ressources, aux conversations et aux applications. Le client conserve le contrôle des données d’entreprise en fonction des besoins.

L’accès invité répondait aux exigences de collaboration du client, mais engendrait des problèmes de sécurité et de gouvernance :

• Les invités doivent uniquement avoir accès à des équipes spécifiques en fonction des besoins, et uniquement pendant la durée nécessaire. Lorsqu’un projet est terminé, le compte invité doit être supprimé.
• Il doit exister un processus d’approbation pour la création de comptes invités répondant aux exigences d’audit. Les utilisateurs internes doivent passer en revue les demandes et les approuver, le cas échéant.
• Il doit être possible de créer et d’automatiser rapidement la solution. Aucun compte invité ne peut être créé tant que les contrôles de sécurité et de gouvernance appropriés ne sont pas en place.

La gestion des droits d’utilisation Microsoft Entra était le principal outil pour répondre aux exigences de sécurité et de gouvernance :

• Il permet de gérer efficacement l’accès aux groupes Microsoft 365, notamment les équipes, les applications et les sites SharePoint en ligne, à la fois pour les utilisateurs internes et externes.
• Il offre la possibilité d’automatiser les flux de travail de demande d’accès, les affectations d’accès, les révisions et l’expiration.

L’accès invité et les droits d’utilisation Microsoft Entra répondaient aux exigences de collaboration du client. Les utilisateurs externes peuvent joindre des équipes sélectionnées et l’accès est géré. En outre, la gestion des droits d’utilisation Microsoft Entra offre des fonctionnalités pour une utilisation future possible, telles que la gestion de l’accès à des ressources autres que des équipes.

Cas d’usage potentiels

Cette solution s’applique à toute situation nécessitant la gestion de l’accès, pour les utilisateurs internes et externes qui en ont besoin, à des groupes, des applications et des sites SharePoint en ligne. La gestion des droits d’utilisation Microsoft Entra présente les fonctionnalités et les avantages suivants :

• L’intégration et la gestion simplifiées permettent aux employés d’accéder aux ressources telles que :
  • Groupes de sécurité Microsoft Entra.
  • Groupes Microsoft 365.
  • Équipes Microsoft 365.
  • Applications, y compris les applications SaaS.
  • Applications personnalisées qui implémentent les mesures de sécurité appropriées.
  • Sites SharePoint Online.
• Il existe des procédures simplifiées permettant aux utilisateurs externes d’accéder aux ressources dont ils ont besoin.
• Vous pouvez désigner les organisations connectées autorisées à fournir des utilisateurs externes qui peuvent demander l’accès.
• Un utilisateur qui demande l’accès, qui est approuvé, est automatiquement invité dans le répertoire de l’équipe et l’accès aux ressources lui est attribué.
• Une limite de temps peut être définie sur l’accès d’un utilisateur aux ressources, avec la suppression automatique lorsque la limite est atteinte.
• Lorsque l’accès expire pour un utilisateur externe qui n’a aucune autre attribution de package d’accès, le compte de l’utilisateur peut être supprimé automatiquement.
• Vous pouvez vous assurer que les utilisateurs n’ont pas plus d’accès que nécessaire.
• Il existe un processus d’approbation pour les demandes d’accès qui inclut l’approbation par des personnes désignées, telles que les managers.
• Vous pouvez également gérer l’accès à d’autres ressources qui dépendent des groupes de sécurité Microsoft Entra ou des groupes Microsoft 365. Par exemple, l’octroi de licences aux utilisateurs à l’aide d’une licence basée sur les groupes.
• Vous pouvez déléguer à des non-administrateurs la possibilité de créer des packages d’accès qui contiennent des ressources que les utilisateurs peuvent demander.

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework qui est un ensemble de principes directeurs qui permettent d’améliorer la qualité d’une charge de travail. Pour plus d’informations, consultez Microsoft Azure Well-Architected Framework.

Une étape importante de l’implémentation consiste à configurer les paramètres du locataire pour autoriser les utilisateurs externes.

1. Activer le catalogue pour les utilisateurs externes : assurez-vous que le catalogue a l’option Activer pour les utilisateurs externes sur Oui. Par défaut, lorsque vous créez un catalogue dans la gestion des droits d’utilisation Microsoft Entra, il est activé pour autoriser des utilisateurs externes à demander l’accès aux packages du catalogue.
2. Paramètres de collaboration externe B2B Microsoft Entra : ces paramètres peuvent avoir un impact sur l’utilisation de la gestion des droits d’utilisation Microsoft Entra pour inviter des utilisateurs externes à des ressources. Vérifiez ces paramètres :
   • Vérifiez si les invités sont autorisés à inviter d’autres invités à votre annuaire. Nous vous recommandons de définir Les invités peuvent inviter sur Non pour autoriser uniquement les invitations régies.
   • Assurez-vous que vous autorisez ou bloquez les invitations de manière appropriée. Pour plus d’informations, consultez Autoriser ou bloquer des invitations aux utilisateurs B2B à partir d’organisations spécifiques.
3. Passer en revue vos stratégies d’accès conditionnel : vérifiez l’accès conditionnel pour vous assurer que les utilisateurs invités sont exclus des stratégies d’accès conditionnel qu’ils ne peuvent pas satisfaire. Dans le cas contraire, ils ne peuvent pas se connecter à votre annuaire et n’ont pas accès à la ressource.
4. Passer en revue vos paramètres de partage externe SharePoint Online : si vous incluez des sites SharePoint Online dans un package d’accès pour des utilisateurs externes, assurez-vous de configurer le paramètre de partage externe au niveau de l’organisation. Définissez la valeur sur Tout le monde si la connexion n’est pas obligatoire, ou sur Invités existants pour les utilisateurs invités. Pour plus d’informations, consultez Modifier le paramètre de partage externe au niveau de l’organisation.
5. Passer en revue vos paramètres de partage de groupe Microsoft 365 : si vous incluez des groupes Microsoft 365 ou des équipes dans un package d’accès pour des utilisateurs externes, assurez-vous que l’option Autoriser les utilisateurs à ajouter de nouveaux invités à l’organisation est définie sur Activé pour autoriser l’accès invité.
6. Passer en revue votre paramètre de partage Teams : si vous incluez des équipes dans un package d’accès pour des utilisateurs externes, assurez-vous que l’option Autoriser l’accès invité dans Microsoft Teams est définie sur Activé pour autoriser l’accès invité. Vérifiez également que les paramètres d’accès invité Teams sont configurés.
7. Gérer le cycle de vie des utilisateurs externes : vous pouvez sélectionner ce qui se passe lorsqu’un utilisateur externe n’a plus d’affectations de package d’accès. Cela se produit lorsque toutes les affectations sont abandonnées par l’utilisateur ou ont expiré. Par défaut, l’utilisateur est bloqué et ne peut se connecter à votre annuaire. Au bout de 30 jours, son compte d’utilisateur invité est supprimé de votre annuaire.

Considérations supplémentaires :

• Attribution d’accès : les packages d’accès ne remplacent pas d’autres mécanismes d’attribution d’accès. Ils sont particulièrement indiqués dans les cas suivants :
  • Les employés ont besoin d’un accès limité dans le temps pour une tâche particulière.
  • L’accès nécessite l’approbation d’un manager ou d’une autre personne désignée.
  • Les services veulent gérer leurs ressources sans implication du service informatique.
  • Au moins deux organisations collaborent sur un projet, de sorte que plusieurs utilisateurs d’une organisation doivent être invités à accéder aux ressources d’une autre organisation.
• Mise à jour des ressources : avec la gestion des droits d’utilisation Microsoft Entra, vous pouvez modifier les ressources dans un package d’accès à tout moment. L’accès aux ressources des utilisateurs du package est automatiquement ajusté pour correspondre au package modifié.

Optimisation des coûts

L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez Vue d’ensemble du pilier d’optimisation des coûts.

• L’utilisation de la gestion des droits d’utilisation Microsoft Entra nécessite une licence Microsoft Entra ID P2.
• L’accès invité peut être utilisé avec tous les abonnements Microsoft 365 Business Standard, Microsoft 365 Business Premium et Microsoft 365 Éducation. Aucune licence Microsoft 365 supplémentaire n’est nécessaire.
• Le modèle de facturation pour Microsoft Entra External ID s’applique aux invités dans Microsoft 365. Seuls les utilisateurs externes peuvent être invités en tant qu’invités.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

• Martin Boam | Architecte associé

Étapes suivantes

• Vue d’ensemble des équipes et des chaînes dans Microsoft Teams
• Présentation des équipes et des chaînes dans Microsoft Teams
• Utiliser l’accès invité et l’accès externe pour collaborer avec des personnes extérieures à votre organisation
• Créer un package d’accès dans la gestion des droits d’utilisation Microsoft Entra
• Tutoriel – Gérer l’accès aux ressources dans la gestion des droits d’utilisation Microsoft Entra
• Qu’est-ce que la gestion des droits d’utilisation Microsoft Entra ?
• Qu’est-ce que Microsoft Entra ID Governance ?
• En quoi consistent les révisions d’accès Microsoft Entra ?
• Scénarios courants dans la gestion des droits d’utilisation Microsoft Entra
• Contrôler l’accès des utilisateurs externes dans la gestion des droits d’utilisation Microsoft Entra
• Régir l’accès des utilisateurs extérieurs à l’organisation
• Collaborer avec des invités dans une équipe
• Utiliser l’accès invité et l’accès externe pour collaborer avec des personnes extérieures à votre organisation
• Collaboration avec des personnes à l'extérieur de votre organisation
• Qu’est-ce que l’accès conditionnel ?

Ressources associées

• Créer une forêt de ressources AD DS dans Azure
• Déployer AD DS dans un réseau virtuel Azure
• Identité hybride
• Intégrer des domaines AD locaux à Microsoft Entra ID
• Gestion des identités et des accès Microsoft Entra pour AWS