Présentation de la gestion des droits d’utilisation Azure ADWhat is Azure AD entitlement management?

La gestion des droits d’utilisation Azure Active Directory (Azure AD) est une fonctionnalité de gouvernance des identités qui permet aux organisations de gérer le cycle de vie des identités et des accès à grande échelle, en automatisant les workflows de requête d’accès, les attributions d’accès, les révisions et l’expiration.Azure Active Directory (Azure AD) entitlement management is an identity governance feature that enables organizations to manage identity and access lifecycle at scale, by automating access request workflows, access assignments, reviews, and expiration.

Pour travailler, les employés d'une organisation doivent pouvoir accéder à différents groupes, applications et sites.Employees in organizations need access to various groups, applications, and sites to perform their job. La gestion de cet accès est complexe, car les exigences changent : de nouvelles applications sont ajoutées ou des utilisateurs ont besoin de droits d’accès supplémentaires.Managing this access is challenging, as requirements change - new applications are added or users need additional access rights. Ce scénario se complique quand vous collaborez avec des organisations extérieures : vous ne savez pas forcément quelles sont les personnes de l’autre organisation qui ont besoin d’accéder aux ressources de votre organisation, et ces personnes ne sauront pas quels groupes, applications ou sites sont utilisés par votre organisation.This scenario gets more complicated when you collaborate with outside organizations - you may not know who in the other organization needs access to your organization's resources, and they won't know what applications, groups, or sites your organization is using.

La gestion des droits d’utilisation Azure AD vous aide à gérer plus efficacement l’accès aux groupes, applications et sites SharePoint Online pour les utilisateurs internes, ainsi que pour les utilisateurs externes à votre organisation devant accéder à ces ressources.Azure AD entitlement management can help you more efficiently manage access to groups, applications, and SharePoint Online sites for internal users, and also for users outside your organization who need access to those resources.

Pourquoi utiliser la gestion des droits d’utilisation ?Why use entitlement management?

Les entreprises souvent font face à des défis lorsqu’il leur faut gérer l’accès des employés aux ressources, notamment :Enterprise organizations often face challenges when managing employee access to resources such as:

  • Les utilisateurs peuvent ne pas connaître l’accès dont ils ont besoin, et même s’ils le connaissent, peuvent rencontrer des difficultés pour trouver les personnes habilitées à approuver leur accèsUsers may not know what access they should have, and even if they do, they may have difficulty locating the right individuals to approve their access
  • Après avoir localisé une ressource et obtenu l'accès correspondant, les utilisateurs peuvent y avoir accès plus longtemps que nécessaire à des fins professionnellesOnce users find and receive access to a resource, they may hold on to access longer than is required for business purposes

Ces problèmes sont compliqués pour les utilisateurs qui ont besoin d’un accès à partir d’une autre organisation, comme les utilisateurs externes issus d’organisations de la chaîne logistique ou d’autres partenaires commerciaux.These problems are compounded for users who need access from another organization, such as external users that are from supply chain organizations or other business partners. Par exemple :For example:

  • Personne ne peut connaître tous les utilisateurs spécifiques des autres annuaires d’organisation en mesure de l’inviterNo one person may know all of the specific individuals in other organization's directories to be able to invite them
  • Et même si elle était capable d’inviter ces utilisateurs, aucune personne dans cette organisation ne peut se souvenir de la façon dont gérer tous les accès des utilisateurs de manière cohérenteEven if they were able to invite these users, no one in that organization may remember to manage all of the users' access consistently

La gestion des droits d'utilisation Azure AD permet de relever ces défis.Azure AD entitlement management can help address these challenges. Pour en savoir plus sur l’utilisation de la gestion des droits d’utilisation Azure AD par les clients, vous pouvez lire l’étude de cas Avanade et l’étude de cas Centrica.To learn more about how customers have been using Azure AD entitlement management, you can read the Avanade case study and the Centrica case study. Cette vidéo fournit une vue d’ensemble de la gestion des droits d’utilisation et de son intérêt :This video provides an overview of entitlement management and its value:

À quoi sert la gestion des droits d'utilisation ?What can I do with entitlement management?

La gestion des droits d'utilisation offre différentes possibilités, notamment :Here are some of capabilities of entitlement management:

  • Déléguer à des non-administrateurs la possibilité de créer des packages d’accès.Delegate to non-administrators the ability to create access packages. Ces packages d’accès contiennent des ressources que les utilisateurs peuvent demander ; les gestionnaires délégués de package d’accès ont la possibilité de définir des stratégies avec des règles pour lesquelles les utilisateurs peuvent demander quelles personnes doivent approuver leur accès et quand l’accès expire.These access packages contain resources that users can request, and the delegated access package managers can define policies with rules for which users can request, who must approve their access, and when access expires.
  • Sélectionner les organisations connectées dont les utilisateurs peuvent demander l’accès.Select connected organizations whose users can request access. Lorsqu’un utilisateur, qui n’est pas encore dans votre annuaire demande l’accès, et qu’il est approuvé, il est automatiquement invité dans votre annuaire, et l’accès lui est affecté.When a user who is not yet in your directory requests access, and is approved, they are automatically invited into your directory and assigned access. Lorsque son accès expire, s’il n’a pas d’autres affectations de package d’accès, son compte B2B dans votre annuaire peut être automatiquement supprimé.When their access expires, if they have no other access package assignments, their B2B account in your directory can be automatically removed.

Notes

Si vous êtes prêt à essayer la gestion des droits d’utilisation, vous pouvez commencer en suivant notre tutoriel pour créer votre premier package d’accès.If you are ready to try Entitlement management you can get started with our tutorial to create your first access package.

Vous pouvez également lire les scénarios courants ou regarder des vidéos, par exempleYou can also read the common scenarios, or watch videos, including

Que sont les packages d’accès et quelles ressources gérer avec eux ?What are access packages and what resources can I manage with them?

La gestion des droits d’utilisation introduit sur Azure AD le concept de package d’accès.Entitlement management introduces to Azure AD the concept of an access package. Un package d’accès regroupe toutes les ressources avec l’accès dont un utilisateur a besoin pour travailler sur un projet ou accomplir sa tâche.An access package is a bundle of all the resources with the access a user needs to work on a project or perform their task. Les packages d'accès régissent l'accès de vos employés internes et des utilisateurs extérieurs à votre organisation.Access packages are used to govern access for your internal employees, and also users outside your organization.

La gestion des droits d’utilisation vous permet de gérer l’accès utilisateur aux types de ressources ci-dessous :Here are the types of resources you can manage user's access to with entitlement management:

  • Appartenance des groupes de sécurité Azure ADMembership of Azure AD security groups
  • Appartenance des groupes et équipes Microsoft 365Membership of Microsoft 365 Groups and Teams
  • Affectation aux applications d’entreprise Azure AD, y compris aux applications SaaS et aux applications intégrées personnalisées qui prennent en charge la fédération/l’authentification unique et/ou le provisionnementAssignment to Azure AD enterprise applications, including SaaS applications and custom-integrated applications that support federation/single sign-on and/or provisioning
  • Appartenance des sites SharePoint OnlineMembership of SharePoint Online sites

Vous pouvez également contrôler l’accès à d’autres ressources qui s’appuient sur des groupes de sécurité Azure AD ou des groupes Microsoft 365.You can also control access to other resources that rely upon Azure AD security groups or Microsoft 365 Groups. Par exemple :For example:

  • Vous pouvez accorder à des utilisateurs des licences pour Microsoft 365 en utilisant un groupe de sécurité Azure AD dans un package d’accès et en configurant la Gestion des licences par groupe pour ce groupe.You can give users licenses for Microsoft 365 by using an Azure AD security group in an access package and configuring group-based licensing for that group.
  • Vous pouvez accorder à des utilisateurs un accès pour gérer des ressources Azure en utilisant un groupe de sécurité Azure AD dans un package d’accès et en créant une attribution de rôle Azure pour ce groupe.You can give users access to manage Azure resources by using an Azure AD security group in an access package and creating an Azure role assignment for that group.
  • Vous pouvez accorder à des utilisateurs un accès pour gérer des rôles Azure AD en utilisant des groupes attribuables à des rôles Azure AD dans un package d’accès et en attribuant un rôle Azure AD à ce groupe.You can give users access to manage Azure AD roles by using groups assignable to Azure AD roles in an access package and assigning an Azure AD role to that group.

Comment contrôler qui a accès ?How do I control who gets access?

Avec un package d’accès, un administrateur ou un gestionnaire délégué de package d’accès liste les ressources (groupes, applications et sites) et les rôles dont les utilisateurs ont besoin pour ces ressources.With an access package, an administrator or delegated access package manager lists the resources (groups, apps, and sites), and the roles the users need for those resources.

Les packages d’accès incluent également une ou plusieurs stratégies.Access packages also include one or more policies. Une stratégie définit les règles ou barrières mises en place pour l’affectation d’un package d’accès.A policy defines the rules or guardrails for assignment to access package. Chaque stratégie peut être utilisée pour s’assurer que seuls les utilisateurs appropriés sont en mesure de demander l’accès, qu’il existe des approbateurs pour leur requête, et que leur accès à ces ressources est limité dans le temps et qu’il expirera s’il n’est pas renouvelé.Each policy can be used to ensure that only the appropriate users are able to request access, that there are approvers for their request, and that their access to those resources is time-limited and will expire if not renewed.

Package d’accès et stratégies

Dans chaque stratégie, un administrateur ou un gestionnaire de package d’accès définitWithin each policy, an administrator or access package manager defines

  • soit les utilisateurs déjà existants (généralement des employés ou des invités déjà conviés), soit les organisations partenaires d’utilisateurs externes, qui sont éligibles à la demande d’accèsEither the already-existing users (typically employees or already-invited guests), or the partner organizations of external users, that are eligible to request access
  • Le processus d’approbation et les utilisateurs autorisés à approuver ou refuser un accèsThe approval process and the users that can approve or deny access
  • La durée de l’affectation de l’accès d’un utilisateur, une fois approuvée, avant l’expiration de celle-ciThe duration of a user's access assignment, once approved, before the assignment expires

Le diagramme suivant montre un exemple des différents éléments en matière de gestion des droits d'utilisation.The following diagram shows an example of the different elements in entitlement management. Il présente un catalogue contenant deux exemples de packages d’accès.It shows one catalog with two example access packages.

  • Le package d’accès 1 comprend un seul groupe en tant que ressource.Access package 1 includes a single group as a resource. L’accès est défini par une stratégie qui autorise un ensemble d’utilisateurs du répertoire à demander un accès.Access is defined with a policy that enables a set of users in the directory to request access.
  • Le package d’accès 2 comprend un groupe, une application et un site SharePoint Online en tant que ressources.Access package 2 includes a group, an application, and a SharePoint Online site as resources. L’accès est défini par deux stratégies différentes.Access is defined with two different policies. La première stratégie autorise un ensemble d’utilisateurs du répertoire à demander un accès.The first policy enables a set of users in the directory to request access. La seconde stratégie permet aux utilisateurs d'un répertoire externe de demander un accès.The second policy enables users in an external directory to request access.

Vue d'ensemble de la gestion des droits d’utilisation

Quand utiliser des packages d’accès ?When should I use access packages?

Les packages d’accès ne remplacent pas d’autres mécanismes d’affectation d’accès.Access packages do not replace other mechanisms for access assignment. Ils sont particulièrement indiqués dans les cas suivants :They are most appropriate in situations such as:

  • Les employés ont besoin d’un accès limité dans le temps pour une tâche particulière.Employees need time-limited access for a particular task. Par exemple, vous pouvez utiliser la gestion de licences par groupe et un groupe dynamique pour vérifier que tous les employés disposent d’une boîte aux lettres Exchange Online, puis utiliser des packages d’accès pour les situations où les employés ont besoin d’un accès supplémentaire, par exemple pour lire les ressources d’un service à partir d’un autre service.For example, you might use group-based licensing and a dynamic group to ensure all employees have an Exchange Online mailbox, and then use access packages for situations in which employees need additional access, such as to read departmental resources from another department.
  • Accès qui nécessite l’approbation du responsable d’un employé ou d’autres personnes désignées.Access that requires the approval of an employee's manager or other designated individuals.
  • Les services souhaitent gérer leurs propres stratégies d’accès à leurs ressources sans implication informatique.Departments wish to manage their own access policies for their resources without IT involvement.
  • Au moins deux organisations travaillent en collaboration sur un projet et, par conséquent, plusieurs utilisateurs d’une organisation seront amenés à passer par Azure AD B2B pour accéder aux ressources d’une autre organisation.Two or more organizations are collaborating on a project, and as a result, multiple users from one organization will need to be brought in via Azure AD B2B to access another organization's resources.

Comment déléguer l’accès ?How do I delegate access?

Les packages d’accès sont définis dans des conteneurs appelés catalogues.Access packages are defined in containers called catalogs. Vous pouvez disposer d’un seul catalogue pour tous vos packages d’accès, ou vous pouvez désigner des personnes pour créer et posséder leurs propres catalogues.You can have a single catalog for all your access packages, or you can designate individuals to create and own their own catalogs. Un administrateur peut ajouter des ressources à n’importe quel catalogue, mais un non-administrateur ne peut ajouter à un catalogue que les ressources dont il est propriétaire.An administrator can add resources to any catalog, but a non-administrator can only add to a catalog the resources that they own. Un propriétaire de catalogue peut ajouter d’autres utilisateurs en tant que copropriétaires de catalogue, ou en tant que gestionnaires de package d’accès.A catalog owner can add other users as catalog co-owners, or as access package managers. Ces scénarios sont décrits plus en détail dans l’article Délégation et rôles dans la gestion des droits d’utilisation Azure AD.These scenarios are described further in the article delegation and roles in Azure AD entitlement management.

Abrégé de terminologieSummary of terminology

Pour mieux comprendre la gestion des droits d’utilisation et sa documentation, vous pouvez vous référer à la liste les termes suivants.To better understand entitlement management and its documentation, you can refer back to the following list of terms.

TermeTerm DescriptionDescription
package d'accèsaccess package Bundle de ressources dont une équipe ou un projet a besoin et qui est régi par des stratégies.A bundle of resources that a team or project needs and is governed with policies. Un package d’accès est toujours contenu dans un catalogue.An access package is always contained in a catalog. Vous créez un package d’accès pour un scénario dans lequel les utilisateurs doivent demander l’accès.You would create a new access package for a scenario in which users need to request access.
demande d’accèsaccess request Demande d’accès aux ressources dans un package d’accès.A request to access the resources in an access package. Cette demande transite généralement par un flux d’approbation.A request typically goes through an approval workflow. Si elle est approuvée, l’utilisateur demandeur reçoit une affectation de package d’accès.If approved, the requesting user receives an access package assignment.
affectationassignment L’affectation d’un package d’accès à un utilisateur garantit que l’utilisateur dispose de tous les rôles de ressources de ce package d’accès.An assignment of an access package to a user ensures the user has all the resource roles of that access package. Les affectations de package d’accès ont généralement une durée limite avant leur expiration.Access package assignments typically have a time limit before they expire.
cataloguecatalog Conteneur de ressources connexes et de packages d’accès.A container of related resources and access packages. Les catalogues sont utilisés pour la délégation, afin que les non-administrateurs puissent créer leurs propres packages d’accès.Catalogs are used for delegation, so that non-administrators can create their own access packages. Les propriétaires de catalogue peuvent ajouter les ressources qu’ils possèdent à un catalogue.Catalog owners can add resources they own to a catalog.
créateur de cataloguecatalog creator Regroupement d’utilisateurs autorisés à créer des catalogues.A collection of users who are authorized to create new catalogs. Lorsqu’un utilisateur non-administrateur, autorisé à être créateur de catalogue, crée un catalogue, il devient automatiquement le propriétaire de ce catalogue.When a non-administrator user who is authorized to be a catalog creator creates a new catalog, they automatically become the owner of that catalog.
organisation connectéeconnected organization Domaine ou annuaire Azure AD externe avec lequel vous avez une relation.An external Azure AD directory or domain that you have a relationship with. Les utilisateurs provenant d’une organisation connectée peuvent être spécifiés dans une stratégie comme étant autorisés à demander l’accès.The users from a connected organization can be specified in a policy as being allowed to request access.
policypolicy Ensemble de règles définissant le cycle de vie d’un accès, telles que le mode d’accès des utilisateurs, les approbateurs et la durée d’accès par le biais d’une affectation.A set of rules that defines the access lifecycle, such as how users get access, who can approve, and how long users have access through an assignment. Une stratégie est liée à un package d’accès.A policy is linked to an access package. Par exemple, un package d’accès peut avoir deux stratégies de demande d’accès : l’une pour les employés, l’autre pour les utilisateurs externes.For example, an access package could have two policies - one for employees to request access and a second for external users to request access.
resourceresource Ressource (un groupe Office, un groupe de sécurité, une application ou un site SharePoint Online, par exemple) dotée d’un rôle pour lequel un utilisateur peut obtenir des autorisations.An asset, such as an Office group, a security group, an application, or a SharePoint Online site, with a role that a user can be granted permissions to.
répertoire de ressourcesresource directory Répertoire comprenant une ou plusieurs ressources à partager.A directory that has one or more resources to share.
rôle de ressourceresource role Collection d’autorisations associées à une ressource et définies par elle.A collection of permissions associated with and defined by a resource. Un groupe est doté de deux rôles : membre et propriétaire.A group has two roles - member and owner. Les sites SharePoint compte généralement trois rôles, mais ils peuvent bénéficier de rôles personnalisés supplémentaires.SharePoint sites typically have 3 roles but may have additional custom roles. Les applications peuvent avoir plusieurs rôles personnalisés.Applications can have custom roles.

Conditions de licence :License requirements

L’utilisation de cette fonctionnalité nécessite une licence Azure AD Premium P2.Using this feature requires an Azure AD Premium P2 license. Pour trouver la licence adaptée à vos besoins, consultez  Comparaison des fonctionnalités mises à la disposition générale des éditions Gratuit, Applications Office 365 et Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Office 365 Apps, and Premium editions.

Les clouds spécialisés, tels qu’Azure Allemagne et Azure Chine - 21Vianet, ne sont pas prêts à être utilisés actuellement.Specialized clouds, such as Azure Germany, and Azure China 21Vianet, are not currently available for use.

De combien de licences avez-vous besoin ?How many licenses must you have?

Vérifiez que votre annuaire comporte au moins autant de licences Azure AD Premium P2 que vous avez de :Ensure that your directory has at least as many Azure AD Premium P2 licenses as you have:

  • Utilisateurs membres qui peuvent demander un package d’accès.Member users who can request an access package.
  • Utilisateurs membres qui demandent un package d’accès.Member users who request an access package.
  • Utilisateurs membres qui approuvent les demandes de package d’accès.Member users who approve requests for an access package.
  • Utilisateurs membres qui passent en revue les affectations pour un package d’accès.Member users who review assignments for an access package.
  • Utilisateurs membres qui ont une affectation directe à un package d’accès.Member users who have a direct assignment to an access package.

Pour les utilisateurs invités, les besoins en licences dépendent du modèle de licence que vous utilisez.For guest users, licensing needs will depend on the licensing model you’re using. Toutefois, les activités des utilisateurs invités ci-dessous sont considérées comme une utilisation d’Azure AD Premium P2 :However, the below guest users’ activities are considered Azure AD Premium P2 usage:

  • Utilisateurs invités qui demandent un package d’accès.Guest users who request an access package.
  • Utilisateurs invités qui approuvent les demandes de package d’accès.Guest users who approve requests for an access package.
  • Utilisateurs invités qui passent en revue les affectations pour un package d’accès.Guest users who review assignments for an access package.
  • Utilisateurs invités qui ont une affectation directe à un package d’accès.Guest users who have a direct assignment to an access package.

Les licences Azure AD Premium P2 ne sont pas nécessaires pour les tâches suivantes :Azure AD Premium P2 licenses are not required for the following tasks:

  • Aucune licence n’est requise pour les utilisateurs ayant le rôle d’administrateur général qui configurent les catalogues initiaux, les packages d’accès et les stratégies et délèguent des tâches d’administration à d’autres utilisateurs.No licenses are required for users with the Global Administrator role who set up the initial catalogs, access packages, and policies, and delegate administrative tasks to other users.
  • Aucune licence n’est requise pour les utilisateurs auxquels ont été délégués des tâches administratives, telles que le créateur du catalogue, le propriétaire du catalogue et le gestionnaire de package d’accès.No licenses are required for users who have been delegated administrative tasks, such as catalog creator, catalog owner, and access package manager.
  • Aucune licence n’est requise pour les invités qui peuvent demander des packages d’accès, mais ne demandent pas de package d’accès.No licenses are required for guests who can request access packages, but do not request an access package.

Pour plus d’informations sur les licences, consultez Attribuer ou supprimer des licences à l’aide du portail Azure Active Directory.For more information about licenses, see Assign or remove licenses using the Azure Active Directory portal.

Exemples de scénarios de licenceExample license scenarios

Voici quelques exemples de scénarios de licence pour vous permettre de déterminer le nombre de licences dont vous devez disposer.Here are some example license scenarios to help you determine the number of licenses you must have.

ScénarioScenario CalculCalculation Nombre de licencesNumber of licenses
Un administrateur général de Woodgrove Bank crée des catalogues initiaux et délègue des tâches administratives à 6 autres utilisateurs.A Global Administrator at Woodgrove Bank creates initial catalogs and delegates administrative tasks to 6 other users. L’une des stratégies spécifie que tous les employés (2 000 employés) peuvent demander un ensemble spécifique de packages d’accès.One of the policies specifies that All employees (2,000 employees) can request a specific set of access packages. 150 employés demandent les packages d’accès.150 employees request the access packages. 2 000 employés qui peuvent demander les packages d’accès2,000 employees who can request the access packages 2 0002,000
Un administrateur général de Woodgrove Bank crée des catalogues initiaux et délègue des tâches administratives à 6 autres utilisateurs.A Global Administrator at Woodgrove Bank creates initial catalogs and delegates administrative tasks to 6 other users. L’une des stratégies spécifie que tous les employés (2 000 employés) peuvent demander un ensemble spécifique de packages d’accès.One of the policies specifies that All employees (2,000 employees) can request a specific set of access packages. Une autre stratégie spécifie que certains utilisateurs des Utilisateurs du partenaire Contoso (invités) peuvent demander les mêmes packages d’accès soumis à approbation.Another policy specifies that some users from Users from partner Contoso (guests) can request the same access packages subject to approval. Contoso a 30 000 utilisateurs.Contoso has 30,000 users. 150 employés demandent les packages d’accès et 10 500 utilisateurs de Contoso demandent un accès.150 employees request the access packages and 10,500 users from Contoso request access. 2 000 employés + 500 utilisateurs invités de Contoso qui dépassent le ratio 1:5 (10 500-(2 000*5))2,000 employees + 500 guest users from Contoso that exceed the 1:5 ratio (10,500 - (2,000 * 5)) 2 5002,500

Étapes suivantesNext steps