Qu’est-ce qu’Azure AD Privileged Identity Management ?What is Azure AD Privileged Identity Management?

Privileged Identity Management (PIM) est un service dans Azure Active Directory (Azure AD) qui vous permet de gérer, de contrôler et de superviser l’accès aux ressources importantes de votre organisation.Privileged Identity Management (PIM) is a service in Azure Active Directory (Azure AD) that enables you to manage, control, and monitor access to important resources in your organization. Ces ressources incluent des ressources dans Azure AD et Azure ainsi que d’autres services Microsoft Online Services tels que Microsoft 365 ou Microsoft Intune.These resources include resources in Azure AD, Azure, and other Microsoft Online Services such as Microsoft 365 or Microsoft Intune. La vidéo suivante présente les fonctionnalités et concepts importants d’Azure AD Privileged Identity Management (PIM).The following video introduces you to important PIM concepts and features.

Motifs d’utilisationReasons to use

Les organisations doivent limiter le nombre de personnes qui ont accès aux informations et aux ressources sécurisées, afin de réduire le risque qu’un acteur malveillant accède à ces données, ou qu’une ressource sensible soit accidentellement impactée par un utilisateur autorisé.Organizations want to minimize the number of people who have access to secure information or resources, because that reduces the chance of a malicious actor getting that access, or an authorized user inadvertently impacting a sensitive resource. Cependant, les utilisateurs doivent pouvoir continuer à effectuer des opérations privilégiées dans les applications Azure AD, Azure, Microsoft 365 ou SaaS.However, users still need to carry out privileged operations in Azure AD, Azure, Microsoft 365, or SaaS apps. Les organisations peuvent donner aux utilisateurs un accès privilégié juste-à-temps aux ressources Azure et à Azure AD.Organizations can give users just-in-time privileged access to Azure resources and Azure AD. Elles doivent alors pouvoir surveiller ce que ces utilisateurs font avec leurs privilèges d’administrateur.There is a need for oversight for what those users are doing with their administrator privileges.

FonctionWhat does it do?

Privileged Identity Management assure une activation de rôle basée sur l’heure et l’approbation pour atténuer les risques d’autorisations d’accès excessives, injustifiées ou malveillantes sur les ressources qui vous intéressent.Privileged Identity Management provides time-based and approval-based role activation to mitigate the risks of excessive, unnecessary, or misused access permissions on resources that you care about. Voici quelques-unes des principales fonctionnalités de Privileged Identity Management :Here are some of the key features of Privileged Identity Management:

  • Fournir un accès privilégié juste-à-temps à Azure AD et aux ressources AzureProvide just-in-time privileged access to Azure AD and Azure resources
  • Affecter un accès aux ressources limité dans le temps à l’aide de dates de début et de finAssign time-bound access to resources using start and end dates
  • Exiger une approbation pour activer les rôles privilégiésRequire approval to activate privileged roles
  • Appliquer l’authentification multifacteur pour l’activation des rôlesEnforce multi-factor authentication to activate any role
  • Utiliser la justification pour comprendre le motif d’activation des utilisateursUse justification to understand why users activate
  • Recevoir des notifications lors de l’activation de rôles privilégiésGet notifications when privileged roles are activated
  • Effectuer des révisions d’accès pour vérifier que les utilisateurs ont toujours besoin de leurs rôlesConduct access reviews to ensure users still need roles
  • Télécharger l’historique des audits (internes ou externes)Download audit history for internal or external audit

À quoi sert PIM ?What can I do with it?

Une fois que vous aurez configuré Privileged Identity Management, vous verrez les options Tâches, Gérer et Activité dans le menu de navigation de gauche.Once you set up Privileged Identity Management, you'll see Tasks, Manage, and Activity options in the left navigation menu. En tant qu’administrateur, vous avez le choix entre des options telles que la gestion des rôles Azure AD, la gestion des rôles de ressources Azure ou les groupes d’accès privilégié.As an administrator, you'll choose between options such as managing Azure AD roles, managing Azure resource roles, or privileged access groups. Lorsque vous choisissez ce que vous souhaitez gérer, vous voyez l’ensemble d’options approprié correspondant à cette option.When you choose what you want to manage, you see the appropriate set of options for that option.

Capture d’écran de Privileged Identity Management dans le portail Azure

Qui peut faire quoi ?Who can do what?

Pour les rôles Azure AD dans Privileged Identity Management, seul un utilisateur qui détient le rôle Administrateur de rôle privilégié ou Administrateur général peut gérer les affectations des autres administrateurs.For Azure AD roles in Privileged Identity Management, only a user who is in the Privileged role administrator or Global administrator role can manage assignments for other administrators. Vous pouvez accorder l’accès à d’autres administrateurs pour la gestion de Privileged Identity Management.You can grant access to other administrators to manage Privileged Identity Management. Les administrateurs généraux, les administrateurs de la sécurité, les lecteurs généraux et les lecteurs Sécurité peuvent aussi consulter les attributions de rôles Azure AD dans Privileged Identity Management.Global Administrators, Security Administrators, Global readers, and Security Readers can also view assignments to Azure AD roles in Privileged Identity Management.

Pour les rôles de ressources Azure dans Privileged Identity Management, seul un administrateur d’abonnement, un propriétaire de ressource ou un administrateur de l’accès utilisateur aux ressources peut gérer les affectations des autres administrateurs.For Azure resource roles in Privileged Identity Management, only a subscription administrator, a resource Owner, or a resource User Access administrator can manage assignments for other administrators. Par défaut, les utilisateurs qui possèdent un rôle d’administrateur de rôle privilégié, d’administrateur de la sécurité ou de lecteur Sécurité ne peuvent pas consulter les attributions de rôles de ressources Azure dans Privileged Identity Management.Users who are Privileged Role Administrators, Security Administrators, or Security Readers do not by default have access to view assignments to Azure resource roles in Privileged Identity Management.

ScénariosScenarios

Privileged Identity Management prend en charge les scénarios suivants :Privileged Identity Management supports the following scenarios:

Autorisations d’administrateur de rôle privilégiéPrivileged Role administrator permissions

  • Activer l’approbation pour des rôles spécifiquesEnable approval for specific roles
  • Spécifier les utilisateurs ou groupes approbateurs pour approuver des demandesSpecify approver users or groups to approve requests
  • Afficher l’historique des demandes et approbations pour tous les rôles privilégiésView request and approval history for all privileged roles

Autorisations d’approbateurApprover permissions

  • Afficher les approbations (demandes) en attenteView pending approvals (requests)
  • Approuver ou rejeter des demandes d’élévation de rôle (unique et en bloc)Approve or reject requests for role elevation (single and bulk)
  • Justifier mon approbation ou rejetProvide justification for my approval or rejection

Autorisations d’utilisateur de rôle éligibleEligible role user permissions

  • Demander l’activation d’un rôle qui nécessite une approbationRequest activation of a role that requires approval
  • Afficher l’état de votre demande d’activationView the status of your request to activate
  • Exécuter la tâche dans Azure AD si l’activation a été approuvéeComplete your task in Azure AD if activation was approved

TerminologieTerminology

Pour mieux comprendre Privileged Identity Management et sa documentation, vous devez connaître les termes suivants.To better understand Privileged Identity Management and its documentation, you should review the following terms.

Terme ou conceptTerm or concept Catégorie d’attribution de rôleRole assignment category DescriptionDescription
Éligibleeligible TypeType Attribution de rôle qui oblige l’utilisateur à effectuer une ou plusieurs actions pour utiliser ce rôle.A role assignment that requires a user to perform one or more actions to use the role. Lorsqu’un utilisateur devient éligible pour un rôle, il peut l’activer pour réaliser des tâches privilégiées.If a user has been made eligible for a role, that means they can activate the role when they need to perform privileged tasks. Il n’existe aucune différence entre un accès accordé de façon permanente à un utilisateur et l’affectation d’un rôle éligible.There's no difference in the access given to someone with a permanent versus an eligible role assignment. La seule différence réside dans le fait que certaines personnes n’ont pas besoin d’un accès permanent.The only difference is that some people don't need that access all the time.
activeactive TypeType Attribution de rôle qui n’exige aucune action de la part de l’utilisateur pour être utilisée.A role assignment that doesn't require a user to perform any action to use the role. Les utilisateurs actifs disposent des privilèges affectés au rôle.Users assigned as active have the privileges assigned to the role.
Activeractivate Processus dans lequel une ou plusieurs actions sont exécutées dans le but d’utiliser un rôle pour lequel un utilisateur est éligible.The process of performing one or more actions to use a role that a user is eligible for. Il peut s’agir de procéder à une vérification de l’authentification multifacteur (MFA), de fournir une justification professionnelle ou de demander une approbation aux approbateurs désignés.Actions might include performing a multi-factor authentication (MFA) check, providing a business justification, or requesting approval from designated approvers.
Affectéassigned StateState Utilisateur qui dispose d’une attribution de rôle active.A user that has an active role assignment.
Activéactivated StateState Utilisateur qui dispose d’une attribution de rôle éligible, qui a effectué les actions nécessaires à l’activation du rôle et qui est maintenant actif.A user that has an eligible role assignment, performed the actions to activate the role, and is now active. Une fois le rôle activé, l’utilisateur peut s’en servir durant une période prédéfinie avant d’être obligé de l’activer à nouveau.Once activated, the user can use the role for a preconfigured period-of-time before they need to activate again.
Éligibilité permanentepermanent eligible DurationDuration Attribution de rôle qui permet à un utilisateur d’être toujours éligible à l’activation du rôle.A role assignment where a user is always eligible to activate the role.
Active en permanencepermanent active DurationDuration Attribution de rôle qui permet à un utilisateur de toujours utiliser un rôle sans effectuer aucune action.A role assignment where a user can always use the role without performing any actions.
éligible avec limitation dans le tempstime-bound eligible DurationDuration Attribution de rôle qui permet à un utilisateur d’être éligible à l’activation d’un rôle uniquement pendant une période.A role assignment where a user is eligible to activate the role only within start and end dates.
actif avec limitation dans le tempstime-bound active DurationDuration Attribution de rôle qui permet à un utilisateur d’utiliser un rôle uniquement pendant une période.A role assignment where a user can use the role only within start and end dates.
Accès juste-à-temps (JIT)just-in-time (JIT) access Modèle où les utilisateurs reçoivent des autorisations temporaires pour effectuer des tâches privilégiées. De cette façon, les utilisateurs malveillants ou non autorisés ne peuvent pas accéder aux ressources une fois que les autorisations ont expiré.A model in which users receive temporary permissions to perform privileged tasks, which prevents malicious or unauthorized users from gaining access after the permissions have expired. L’accès est accordé uniquement au moment où les utilisateurs en ont besoin.Access is granted only when users need it.
Principe des privilèges d’accès minimumprinciple of least privilege access Pratique de sécurité recommandée qui consiste à accorder à chaque utilisateur les privilèges minimum dont il a besoin pour accomplir les tâches qu’il est autorisé à effectuer.A recommended security practice in which every user is provided with only the minimum privileges needed to accomplish the tasks they are authorized to perform. Cette pratique réduit le nombre d’administrateurs généraux et utilise à la place des rôles d’administrateur spécifiques pour certains scénarios.This practice minimizes the number of Global Administrators and instead uses specific administrator roles for certain scenarios.

Conditions de licence :License requirements

L’utilisation de cette fonctionnalité nécessite une licence Azure AD Premium P2.Using this feature requires an Azure AD Premium P2 license. Pour trouver la licence adaptée à vos besoins, consultez Comparaison des fonctionnalités mises à la disposition générale des éditions Gratuit, Applications Office 365 et Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Office 365 Apps, and Premium editions.

Pour plus d’informations sur les licences utilisateur, consultez Exigences relatives aux licences pour l’utilisation de Privileged Identity Management.For information about licenses for users, see License requirements to use Privileged Identity Management.

Étapes suivantesNext steps