Créer une révision d’accès aux groupes et applications dans Azure AD

L’accès aux groupes et aux applications pour les employés et les invités change au fil du temps. Afin de réduire les risques associés aux affectations d’accès obsolètes, les administrateurs peuvent utiliser Azure Active Directory (Azure AD) pour créer des révision des accès pour les membres de groupes ou pour l’accès aux applications.

Microsoft 365 et les propriétaires du groupe de sécurité peuvent également utiliser Azure AD pour créer des révisions d’accès pour les membres du groupe tant que l’administrateur général ou utilisateur active le paramètre via le volet Paramètres de révision d’accès (préversion). Pour plus d’informations sur ces scénarios, consultez Gérer les révisions d’accès.

Regardez une brève vidéo à propos de l’activation des révisions d’accès.

Cet article explique comment créer une ou plusieurs révisions d’accès pour les membres de groupes ou pour l’accès aux applications.

Prérequis

  • Azure AD Premium P2.
  • Administrateur général, administrateur utilisateur ou administrateur de gouvernance des identités pour créer des révisions sur les groupes ou les applications.
  • Les administrateurs généraux et les administrateurs de rôle privilégié peuvent créer des révisions sur des groupes assignables à un rôle. Pour plus d’informations, consultez Utiliser des groupes cloud pour gérer les attributions de rôles dans Azure AD.
  • (Préversion) Microsoft 365 et Propriétaire du groupe de sécurité.

Pour plus d’informations, consultez Exigences des licences.

Si vous examinez l’accès à une application, avant de créer la révision, consultez l’article sur comment préparer une révision d’accès à une application pour vous assurer que l’application est intégrée à Azure AD.

Créer une révision d’accès en une seule étape

Étendue

  1. Connectez-vous au portail Azure et ouvrez la page Gouvernance des identités.

  2. Dans le menu de gauche, sélectionnez Révisions d’accès.

  3. Sélectionnez Nouvelle révision d’accès pour créer une révision d’accès.

    Screenshot that shows the Access reviews pane in Identity Governance.

  4. Dans la boîte de dialogue Éléments à réviser, sélectionnez la ressource que vous souhaitez réviser.

    Screenshot that shows creating an access review.

  5. Si vous avez sélectionné Équipes + groupes à l’étape 1, vous avez deux options :

    • Tous les groupes Microsoft 365 avec des utilisateurs invités : Sélectionnez cette option si vous souhaitez créer des révisions périodiques sur tous vos utilisateurs invités dans l’ensemble des équipes Microsoft et des groupes Microsoft 365 de votre organisation. Groupes dynamiques et groupes attribuables à un rôle non inclus. Vous pouvez également choisir d’exclure des groupes individuels en cliquant sur Sélectionner le(s) groupe(s) à exclure.

    • Sélectionnez les équipes + groupes : sélectionnez cette option si vous souhaitez spécifier un ensemble limité d’équipes et/ou de groupes à réviser. Une liste de groupes parmi lesquels choisir s’affiche à droite.

      Screenshot that shows selecting Teams + Groups.

  6. Si vous avez sélectionné Applications, vous pouvez sélectionner une ou plusieurs applications.

    Screenshot that shows the interface that appears if you selected applications instead of groups.

Notes

La sélection de plusieurs groupes ou applications entraîne la création de plusieurs révisions d’accès. Par exemple, si vous sélectionnez cinq groupes à réviser, cela donnera lieu à cinq révisions d’accès distinctes.

  1. Désormais, vous pouvez sélectionner l’étendue de la révision. Les options disponibles sont :

    • Utilisateurs invités uniquement : cette option limite la révision d’accès aux seuls utilisateurs invités d’Azure AD B2B dans votre répertoire.
    • Tout le monde : cette option permet d’étendre la révision d’accès à tous les objets utilisateur associés à la ressource.

    Notes

    Si vous avez sélectionné Tous les groupes Microsoft 365 avec des utilisateurs invités, votre seule option est la révision sur les Utilisateurs invités uniquement.

  2. Ou si vous effectuez une révision d’appartenance au groupe, vous pouvez créer des révisions d’accès uniquement pour les utilisateurs inactifs du groupe (préversion). Dans la section Étendue des utilisateurs, cochez la case en regard des Utilisateurs inactifs (au niveau du locataire). Si vous cochez la case, l’étendue de la révision se concentre uniquement sur les utilisateurs inactifs, ceux qui ne se sont pas connectés de manière interactive ou non interactive au locataire. Ensuite, spécifiez Jours inactifs avec un nombre de jours inactif allant jusqu’à 730 jours (deux ans). Les utilisateurs du groupe inactif pour le nombre de jours spécifié seront les seuls utilisateurs dans la révision.

  3. Sélectionnez Suivant : Révision.

Suivant : Révisions

  1. Vous pouvez créer une révision en une seule étape ou en plusieurs étapes (préversion). Pour créer une révision en seule étape, continuez ici. Pour créer une révision d’accès en plusieurs étapes (préversion), suivez les étapes décrites dans Créer une révision d’accès en plusieurs étapes (préversion).

  2. Dans la section Spécifier les réviseurs, dans la boîte de dialogue Sélectionner les réviseurs, sélectionnez une ou plusieurs personnes pour prendre des décisions sur les révisions d’accès. Vous pouvez choisir :

    • Propriétaires de groupe : cette option est disponible uniquement lors de la révision d’une équipe ou d’un groupe.
    • Utilisateur(s) ou groupe(s) sélectionné(s) .
    • Les utilisateurs révisent leur propre accès
    • Managers des utilisateurs

    Si vous choisissez Managers des utilisateurs ou Propriétaires de groupes, vous avez également la possibilité de spécifier un réviseur de secours. Les réviseurs de secours sont invités à effectuer une révision lorsque l’utilisateur n’a pas de manager spécifié dans le répertoire ou que le groupe n’a pas de propriétaire.

    Screenshot that shows New access review.

  3. Dans la section Spécifier la récurrence de la révision, précisez les éléments suivants :

    • Durée (en jours) : pendant combien de temps une révision sera ouverte à la contribution des réviseurs.

    • Date de début : date de début de la série de révisions.

    • Date de fin : date de fin de la série de révisions. Vous pouvez spécifier qu’elle ne se termine jamais. Ou alors, vous pouvez choisir qu’elle se termine à une date spécifique ou qu’elle se termine après le nombre d’occurrences.

      Screenshot that shows choosing how often the review should happen.

  4. Sélectionnez Suivant : Paramètres.

Suivant : Paramètres

  1. Dans la section Paramètres de saisie semi-automatique, vous pouvez spécifier ce qui se produit une fois la révision terminée.

    Screenshot that shows Upon completion settings.

    • Appliquer automatiquement les résultats à la ressource : cochez cette case si vous souhaitez que l’accès des utilisateurs refusés soit supprimé automatiquement une fois la durée de la révision terminée. Si l’option est désactivée, vous devrez appliquer manuellement les résultats une fois la révision terminée. Pour en savoir plus sur l’application des résultats de la révision, consultez Gérer les révisions d’accès.

    • Si les réviseurs ne répondent pas : utilisez cette option pour spécifier ce qui se passe pour les utilisateurs dont l’accès n’a pas été vérifié par un réviseur quelconque au cours de la révision. Ce paramètre n’affecte pas les utilisateurs qui ont fait l’objet d’un examen par un réviseur. La liste déroulante affiche les options suivantes :

      • Aucune modification : laisse l’accès de l’utilisateur inchangé.
      • Supprimer l’accès : supprime l’accès de l’utilisateur.
      • Approuver l’accès : approuve l’accès de l’utilisateur.
      • Accepter les recommandations : accepte la recommandation du système sur le refus ou l’approbation de la prolongation de l’accès de l’utilisateur.
    • Action à appliquer sur les utilisateurs invités refusés : cette option est disponible uniquement si la révision d’accès est limitée à inclure uniquement les utilisateurs invités, pour spécifier ce qui arrive aux utilisateurs invités s’ils sont refusés par un réviseur ou par le paramètre Si les réviseurs ne répondent pas.

      • Supprimer l’appartenance de l’utilisateur à la ressource : cette option supprime l’accès de l’utilisateur invité refusé au groupe ou à l’application en cours de révision. Ils peuvent toujours se connecter au locataire et ne perdent aucun autre accès.
      • Empêcher l’utilisateur de se connecter pendant 30 jours, puis supprimer l’utilisateur du locataire : cette option empêche un utilisateur invité refusé de se connecter au locataire, même s’il a accès à d’autres ressources. Si cette action a été effectuée par erreur, les administrateurs peuvent réactiver l’accès de l’utilisateur invité dans les 30 jours suivant la désactivation de l’utilisateur invité. Si aucune action n’est effectuée sur l’utilisateur invité désactivé après 30 jours, il est supprimé du locataire.

    Pour en savoir plus sur les meilleures pratiques pour la suppression des utilisateurs invités qui n’ont plus accès aux ressources de votre organisation, consultez Utiliser Azure AD Identity Governance pour examiner et supprimer les utilisateurs externes qui n’ont plus accès aux ressources.

    Notes

    L’Action à appliquer sur les utilisateurs invités refusés n’est pas configurable sur les révisions dont l’étendue est plus large que celle des utilisateurs invités. Elle n’est pas non plus configurable pour les révisions de Tous les groupes de Microsoft 365 avec les utilisateurs invités. Lorsque cette option n’est pas configurable, l’option par défaut de suppression de l’appartenance d’un utilisateur de la ressource est utilisée sur les utilisateurs refusés.

  2. Utilisez l’option À la fin de la révision, envoyer une notification à pour envoyer des notifications à d’autres utilisateurs ou groupes contenant les mises à jour d’achèvement de la révision. Cette fonctionnalité permet d’informer les parties prenantes autres que le créateur de la révision de la progression de la révision. Pour utiliser cette fonctionnalité, choisissez Sélectionner un ou plusieurs utilisateurs ou groupes et ajoutez un autre utilisateur ou groupe pour lequel vous souhaitez recevoir l’état d’achèvement.

  3. Dans la section Activer l’assistance aux décisions de révision, indiquez si vous souhaitez que votre réviseur reçoive des recommandations au cours du processus de révision. Lorsque cette option est activée, les utilisateurs qui se sont connectés au cours de la période précédente de 30 jours sont recommandés pour être approuvés. Les utilisateurs qui ne se sont pas connectés au cours des 30 derniers jours sont recommandés pour être refusés. Cet intervalle de 30 jours ne dépend pas du fait que les connexions étaient interactives ou non. La date de la dernière connexion de l’utilisateur spécifié s’affichera également en même temps que la recommandation.

    Notes

    Si vous créez une révision d’accès basée sur les applications, vos recommandations seront basées sur la période d'intervalle de 30 jours en fonction de la date de la dernière connexion de l’utilisateur à l’application et non au locataire.

    Screenshot that shows the Enable reviewer decision helpers option.

  4. Dans la section Paramètres avancés, vous pouvez choisir les options suivantes :

    • Justification obligatoire : activez cette case afin d’exiger que le réviseur indique un motif d’approbation ou de refus.

    • Notifications par e-mail : activez cette case pour qu’Azure AD envoie des notifications par e-mail aux réviseurs quand une révision d’accès commence et aux administrateurs quand une révision est terminée.

    • Rappels : activez cette case pour qu’Azure AD envoie des rappels concernant les révisions d’accès en cours à tous les réviseurs. Les réviseurs reçoivent les rappels à mi-parcours de la révision, qu’ils aient déjà terminé leur révision ou non.

    • Contenu supplémentaire pour l’e-mail du réviseur : le contenu de l’e-mail envoyé aux réviseurs est généré automatiquement en fonction des détails de la révision, comme le nom de la révision, le nom de la ressource, la date d’échéance, etc. Si vous avez besoin de communiquer plus d’informations, vous pouvez spécifier des informations comme des instructions ou des informations de contact dans cette zone. Les informations que vous entrez sont incluses dans les e-mails d’invitation et de rappel envoyés aux réviseurs désignés. La section mise en surbrillance dans l’image suivante montre où s’affichent ces informations.

      Screenshot that shows additional content for reviewers.

  5. Sélectionnez Suivant : Vérifier + créer.

    Screenshot that shows the Review + Create tab.

Suivant : Vérifier + créer

  1. Nommez la révision d’accès. Si vous le souhaitez, vous pouvez fournir une description de cette révision. Les réviseurs ont accès au nom et à la description de la révision.

  2. Vérifiez les informations, puis sélectionnez Créer.

Créer une révision d’accès en plusieurs étapes (préversion)

Une révision en plusieurs étapes permet à l’administrateur de définir deux ou trois ensembles de réviseurs pour effectuer une révision l’un après l’autre. Dans une révision en une seule étape, tous les réviseurs prennent une décision au cours de la même période et le dernier réviseur qui prend une décision « gagne ». Dans une révision en plusieurs étapes, deux ou trois jeux indépendants de réviseurs prennent une décision au sein de leur propre étape, et l’étape suivante ne se produit pas tant qu’une décision n’a pas été prise à l’étape précédente. Les révisions en plusieurs étapes peuvent être utilisées pour réduire la charge sur les réviseurs des étapes ultérieures, permettre l’escalade des réviseurs, ou avoir des groupes indépendants de réviseurs qui s’accordent sur les décisions.

Avertissement

Les données des utilisateurs incluses dans les révisions d’accès en plusieurs étapes font partie de l’enregistrement d’audit au début de la révision. Les administrateurs peuvent supprimer les données à tout moment en supprimant la série de révisions d’accès en plusieurs étapes. Pour obtenir des informations générales concernant le RGPD et la protection des données, consultez la section relative au RGPD du Centre de gestion de la confidentialité de Microsoft et la section relative au RGPD du Portail d’approbation de services.

  1. Après avoir sélectionné la ressource et l’étendue de la révision, passez à l’onglet Révisions.

  2. Activez la case à cocher en regard de Révision en plusieurs étapes (préversion).

  3. Sous Révision de la première étape, sélectionnez les réviseurs dans le menu déroulant en regard de Sélectionner des réviseurs.

  4. Si vous sélectionnez Propriétaire(s) de groupe ou Gestionnaires d’utilisateurs, vous avez la possibilité d’ajouter un réviseur de secours. Pour ajouter un réviseur de secours, cliquez sur Sélectionner les réviseurs de secours et ajoutez les utilisateurs que vous souhaitez voir comme réviseurs de secours.

    Screenshot that shows multi-stage review enabled and multi-stage review settings.

  5. Ajoutez la durée de la première étape. Pour ajouter la durée, entrez un nombre dans le champ en regard de Durée de l’étape (en jours). Il s’agit du nombre de jours pendant lesquels vous souhaitez que la première étape soit ouverte aux réviseurs de la première étape pour prendre des décisions.

  6. Sous Révision de la deuxième étape, sélectionnez les réviseurs dans le menu déroulant en regard de Sélectionner des réviseurs. Ces réviseurs seront invités à effectuer la révision après la fin de la première étape de la révision.

  7. Ajoutez des réviseurs de secours si nécessaire.

  8. Ajoutez la durée de la deuxième étape.

  9. Par défaut, vous verrez deux étapes lorsque vous créerez une révision en plusieurs étapes. Toutefois, vous pouvez ajouter jusqu’à trois étapes. Si vous souhaitez ajouter une troisième étape, cliquez sur + Ajouter une étape et renseignez les champs requis.

  10. Vous pouvez décider d’autoriser les réviseurs des 2e et 3e étapes à voir les décisions prises dans les étapes précédentes. Si vous souhaitez leur permettre de voir les décisions prises avant, cliquez sur la case en regard de Afficher les décisions des phases précédentes pour les réviseurs ultérieurs dans Afficher les résultats de la révision. Laissez la case désactivée pour désactiver ce paramètre si vous souhaitez que vos réviseurs effectuent les révisions indépendamment.

    Screenshot that shows duration and show previous stages setting enabled for multi-stage review.

  11. La durée de chaque récurrence est définie sur la somme des durées en jours que vous avez spécifiées à chaque étape.

  12. Spécifiez la Périodicité de la révision, la Date de début et la Date de fin de la révision. Le type de périodicité doit être au moins aussi long que la durée totale de la périodicité (par exemple, la durée maximale d’une périodicité de révision hebdomadaire est de 7 jours).

  13. Pour spécifier quels évalués continueront étape après étape, sélectionnez une ou plusieurs des options suivantes en regard de Spécifier les évalués qui accéderont à l’étape suivante : Screenshot that shows specify reviewees setting and options for multi-stage review.

    1. Évalués approuvés : seuls les évalués qui ont été approuvés passent aux étapes suivantes.
    2. Évalués refusés : seuls les révisés qui ont été refusés passent aux étapes suivantes.
    3. Évalués non révisés : seuls les révisés qui n’ont pas été révisés passent aux étapes suivantes.
    4. Évalués marqués comme « Ne sait pas » : seuls les évalués marqués de la mention « Ne sait pas » passent aux étapes suivantes.
    5. Tout : tout le monde passe à l’étape suivante si vous souhaitez que toutes les étapes de réviseurs prennent une décision.
  14. Passez à l' onglet Paramètres, puis terminez le reste des paramètres et créez la révision. Suivez les instructions de la procédure Suivant : Paramètres.

Inclure les utilisateurs et les équipes de connexion directe B2B qui accèdent à des canaux partagés Teams dans les révisions d’accès (préversion)

Vous pouvez créer des révisions d’accès pour les utilisateurs de la connexion directe B2B via des canaux partagés dans Microsoft Teams. Quand vous collaborez en externe, vous pouvez utiliser des révisions d’accès Azure AD pour vous assurer que l’accès externe aux canaux partagés reste à jour. Pour en savoir plus sur les canaux partagés Teams et les utilisateurs de la connexion directe B2B, consultez l’article Connexion directe B2B.

Lorsque vous créez une révision d’accès pour une équipe avec des canaux partagés, vos réviseurs peuvent passer en revue les besoins continus d’accès de ces utilisateurs externes et Teams dans les canaux partagés. Les utilisateurs externes dans les canaux partagés sont appelés utilisateurs de connexion directe B2B. Vous pouvez passer en revue l’accès des utilisateurs de connexion B2B et d’autres utilisateurs de collaboration B2B et des utilisateurs non B2B internes dans la même révision.

Notes

Actuellement, les utilisateurs et les équipes de connexion directe B2B sont uniquement inclus dans les révisions en une seule étape. Si les révisions en plusieurs étapes sont activées, les utilisateurs et les équipes de connexion directe ne sont pas inclus dans la révision d’accès.

Les utilisateurs et les équipes de connexion directe B2B sont inclus dans les révisions d’accès du groupe de Microsoft 365 avec Teams dont les canaux partagés font partie. Pour créer la révision, vous devez être :

  • Administrateur général
  • Administrateur d’utilisateurs
  • Administrateur Identity Governance

Utilisez les instructions suivantes pour créer une révision d’accès pour une équipe avec des canaux partagés :

  1. Connectez-vous au Portail Azure en tant qu’administrateur général, administrateur d’utilisateurs ou administrateur de la gouvernance des identités.

  2. Ouvrez la page Gouvernance des identités.

  3. Dans le menu de gauche, sélectionnez Révisions d’accès.

  4. Sélectionnez + Nouvelle révision d’accès.

  5. sélectionnez Équipes + groupes, puis cliquez sur Sélectionner des équipes + groupes pour définir l’Étendue de la révision. Les utilisateurs et les équipes de connexion directe B2B ne sont pas inclus dans les révisions de Tous les groupes Microsoft 365 avec des utilisateurs invités.

  6. Sélectionnez une équipe qui a des canaux partagés avec 1 ou plusieurs utilisateurs de connexion directe B2B ou Teams.

  7. Définissez l’Étendue.

    Screenshot that shows setting the review scope to for shared channels review.

    • Choisissez Tous les utilisateurs pour inclure :
      • Tous les utilisateurs internes
      • Les utilisateurs de collaboration B2B membres de l’équipe
      • Utilisateurs de connexion directe B2B
      • Les équipes qui accèdent aux canaux partagés
    • Vous pouvez également choisir Utilisateurs invités uniquement pour inclure uniquement les utilisateurs de connexion directe B2B et les utilisateurs Teams et de collaboration B2B.
  8. Passez à l’onglet Révisions. Sélectionnez un réviseur pour terminer la révision, puis spécifiez la Durée et la Récurrence de l’évaluation.

    Notes

    • Si vous définissez Sélectionner des réviseurs sur Les utilisateurs révisent leur propre accès ou Gestionnaires d’utilisateurs, les utilisateurs de la connexion directe B2B et Teams ne peuvent pas réviser leur propre accès à votre locataire. Le propriétaire de l’équipe faisant l’objet d’une révision recevra un e-mail lui demandant de passer en revue l’utilisateur de connexion directe B2B et Teams.
    • Si vous sélectionnez Gestionnaires d’utilisateurs, un réviseur de repli sélectionné passe en revue tous les utilisateurs sans gestionnaire dans le locataire de base. Cela comprend les utilisateurs de la connexion directe B2B et Teams sans responsable.
  9. Accédez à l’onglet Paramètres et configurez des paramètres supplémentaires. Accédez ensuite à l’onglet Vérifier et créer pour démarrer la révision d’accès. Pour plus d’informations sur la création de paramètres de révision et de configuration, consultez notre page Créer une révision d’accès en une seule étape.

Autoriser les propriétaires de groupes à créer et à gérer des révisions d’accès de leurs groupes (préversion)

Le rôle prérequis est celui d’administrateur général ou utilisateur.

  1. Connectez-vous au portail Azure et ouvrez la page Identity Governance.

  2. Dans le menu de gauche, sous Révisions d’accès, sélectionnez Paramètres.

  3. Dans la page Déléguer qui peut créer et gérer des révisions d’accès, définissez (Préversion) Les propriétaires du groupe peuvent créer et gérer les révisions d’accès des groupes dont ils disposent, sur Oui.

    Screenshot that shows enabling group owners to review.

    Notes

    Par défaut, ce paramètre est défini sur Non. Pour autoriser les propriétaires de groupes à créer et à gérer des révisions d’accès, modifier la valeur du paramètre sur Oui.

Démarrer la révision d’accès

Une fois que vous avez spécifié les paramètres pour une révision d’accès, sélectionnez Démarrer. La révision d’accès s’affiche dans votre liste, avec un indicateur de son état.

Screenshot that shows a list of access reviews and their status.

Par défaut, Azure AD envoie un e-mail aux réviseurs peu de temps après le démarrage de la révision. Si vous ne souhaitez pas qu’Azure AD envoie cet e-mail, veillez à informer les réviseurs qu’une révision d’accès leur a été assignée. Vous pouvez leur montrer les instructions relatives à la révision d’accès aux groupes ou aux applications. Si votre révision s’adresse à des invités qui doivent réviser leur propre accès, donnez-leur des instructions sur la méthode à suivre pour réviser leur accès à des groupes ou à des applications.

Si vous avez attribué des invités en tant que réviseurs et qu’ils n’ont pas accepté leur invitation au locataire, ils ne recevront pas d’e-mail concernant les révisions d’accès. Ils doivent d’abord accepter l’invitation avant de pouvoir commencer les révisions.

Mettre à jour la révision d’accès

Après le lancement d’une ou de plusieurs révisions d’accès, vous souhaiterez peut-être modifier ou mettre à jour les paramètres de vos révisions d’accès existantes. Voici quelques scénarios courants à prendre en compte :

  • Mise à jour des paramètres ou des réviseurs : si une révision d’accès est récurrente, il existe des paramètres distincts sous Actuel et sous Série. La mise à jour des paramètres ou des réviseurs sous le paramètreActuel applique uniquement les modifications apportées à la révision d’accès actuelle. La mise à jour des paramètres sous Série met à jour les paramètres pour toutes les futures récurrences.

    Screenshot that shows updating access review settings.

  • Ajout et suppression de réviseurs : lors de la mise à jour des révisions d’accès, vous pouvez choisir d’ajouter un réviseur de secours en plus du réviseur principal. Les réviseurs principaux peuvent être supprimés lorsque vous mettez à jour une révision d’accès. Les réviseurs de secours ne peuvent, par définition, pas être supprimés.

    Notes

    Les réviseurs de secours ne peuvent être ajoutés que lorsque le type de réviseur est « manager » ou « propriétaire de groupe ». Des réviseurs principaux peuvent être ajoutés lorsque le type de réviseur est « utilisateur sélectionné ».

  • Rappel aux réviseurs : lors de la mise à jour des révisions d’accès, vous pouvez choisir d’activer l’option de rappel sous Paramètres avancés. Les utilisateurs reçoivent ensuite une notification par e-mail à la moitié de la période de révision, qu’ils aient terminé la révision ou non.

    Screenshot that shows reminding reviewers.

Étapes suivantes