Déléguer la gouvernance des accès aux créateurs de catalogue dans la gestion des droits d’utilisation

Un catalogue est un conteneur de ressources et de packages d’accès. Vous créez un catalogue lorsque vous souhaitez regrouper des ressources et packages d’accès liés. Par défaut, un administrateur général ou un administrateur de gouvernance des identités peut créer un catalogue et peut ajouter des utilisateurs supplémentaires en tant que propriétaires du catalogue.

Il existe trois façons pour une organisation de déléguer des catalogues :

• Lors de la prise en main d’un projet pilote, les administrateurs de gouvernance des identités peuvent créer et gérer le catalogue. Plus tard, lors du passage du pilote à la production, ils pouvaient déléguer un catalogue en affectant des non-administrateurs en tant que propriétaires au catalogue, afin que ces utilisateurs puissent maintenir les stratégies à l’avenir.
• S’il existe des ressources qui n’ont pas de propriétaires, les administrateurs peuvent créer des catalogues, ajouter ces ressources à chaque catalogue, puis affecter des non-administrateurs en tant que propriétaires à un catalogue. Cela permet aux utilisateurs qui ne sont pas administrateurs et qui ne sont pas propriétaires de ressources de gérer leurs propres stratégies d’accès pour ces ressources.
• Si les ressources ont des propriétaires, les administrateurs peuvent affecter une collection d’utilisateurs, tel qu’un All Employees groupe dynamique, au rôle créateurs de catalogue, de sorte qu’un utilisateur qui fait partie de ce groupe et qui possède des ressources peut créer un catalogue pour ses propres ressources.

Cet article explique comment déléguer à des utilisateurs qui ne sont pas administrateurs, afin qu’ils puissent créer leurs propres catalogues. Vous pouvez ajouter ces utilisateurs au rôle de créateur de catalogue défini par la gestion des droits d’utilisation Microsoft Entra. Vous pouvez ajouter des utilisateurs individuels ou un groupe, dont les membres sont alors en mesure de créer des catalogues. Une fois que vous avez créé un catalogue, vous pouvez ajouter des ressources qu’ils possèdent à leur catalogue. Ils peuvent créer des stratégies et des packages d’accès, y compris des stratégies référençant des organisations connectées existantes.

Si vous avez des catalogues existants à déléguer, passez à l’article Créer et gérer un catalogue de ressources .

En tant qu’administrateur informatique, déléguer à un créateur de catalogue

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Suivez ces étapes pour affecter un utilisateur au rôle de créateur de catalogue.

Rôle prérequis : administrateur général ou administrateur de la gouvernance des identités

1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Paramètres.

3. Sélectionnez Modifier.

   

4. Dans la section Déléguer la gestion des droits d’utilisation, sélectionnez Ajouter des créateurs de catalogue pour sélectionner les utilisateurs ou groupes auxquels vous voulez déléguer cette gestion des droits d’utilisation.

5. Sélectionnez Sélectionner.

6. Cliquez sur Enregistrer.

Autoriser les rôles délégués à accéder au centre d’administration Microsoft Entra

Pour permettre aux rôles délégués, tels que les créateurs de catalogue et les gestionnaires de packages d’accès, d’accéder au centre d’administration Microsoft Entra afin de gérer les packages d’accès, vous devez vérifier le paramètre du portail d’administration.

Rôle prérequis : administrateur général ou administrateur de la gouvernance des identités

1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

2. Accédez à Identité>Utilisateurs>Paramètres utilisateur.

3. Assurez-vous que Restreindre l'accès au portail d'administration Microsoft Entra est défini sur Non.

   

Gérer les attributions de rôles de manière programmatique

Vous pouvez également afficher et mettre à jour les créateurs de catalogue ainsi que les attributions de rôles propres au catalogue de gestion des droits d’utilisation à l’aide de Microsoft Graph. Un utilisateur disposant d’un rôle approprié et d’une application qui a l’autorisation déléguée EntitlementManagement.ReadWrite.All peut appeler l’API Graph pour lister les définitions de rôles de la gestion des droits d’utilisation et lister les attributions de rôles de ces définitions de rôles.

Pour récupérer une liste des utilisateurs et des groupes affectés au rôle de créateur de catalogue, le rôle ayant l’ID de définition ba92d953-d8e0-4e39-a797-0cbedb0a89e8, utilisez la requête Graph :

GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal

Étapes suivantes

• Créer et gérer un catalogue de ressources
• Déléguer la gouvernance des accès aux gestionnaires de package d’accès
• Déléguer la gouvernance d’accès aux propriétaires de ressources