Forum Aux Questions (FAQ)
Cet article répond aux questions fréquentes (FAQ) sur la gestion des autorisations Microsoft Entra.
Qu’est-ce que la gestion des autorisations Microsoft Entra ?
La gestion des autorisations Microsoft Entra (ou Gestion des autorisations) est une solution de gestion des droits d’utilisation d’infrastructure cloud (CIEM) qui offre une visibilité complète des autorisations attribuées à toutes les identités. Par exemple, des ressources, des actions et des identités d’utilisateur et de charge de travail sur-privilégiées dans des infrastructures multiclouds au sein de Microsoft Azure, Amazon Web Services (AWS) et Google Cloud Platform (GCP). Gestion des autorisations détecte, dimensionne automatiquement et supervise en permanence les autorisations inutilisées et excessives. Il approfondit la stratégie de sécurité Confiance Zéro en renforçant le principe d’accès avec le privilège minimum.
Quels sont les prérequis à l’utilisation de Permissions Management ?
Permissions Management prend en charge la collecte de données à partir d’AWS, GCP et/ou Microsoft Azure. Pour la collecte et l’analyse des données, les clients doivent disposer d’un compte Microsoft Entra pour pouvoir utiliser Permissions Management.
Un client peut-il utiliser la gestion des autorisations s’il a d’autres identités qui donnent accès à sa plateforme IaaS et qui ne se trouvent pas encore dans Microsoft Entra ID ?
Oui, un client peut détecter, atténuer et superviser les risques liés aux comptes AWS IAM ou GCP ou ceux d’autres fournisseurs d’identité tels qu’Okta ou AWS IAM.
Où les clients peuvent-ils accéder à Permissions Management ?
Les clients peuvent accéder à l’interface Gestion des autorisations depuis le Centre d’administration Microsoft Entra.
Les clients sans accès cloud peuvent-ils utiliser la gestion des autorisations localement ?
Non, Permissions Management est une offre hébergée dans le cloud.
Les clients non-Azure peuvent-ils utiliser Permissions Management ?
Oui, les clients ne disposant pas d’Azure peuvent utiliser notre solution. Gestion des autorisations étant une solution multicloud, même les clients qui n’ont pas d’abonnement à Azure peuvent en tirer parti.
Permissions Management est-elle disponible pour les locataires hébergés dans l’Union européenne (UE) ?
Oui, la solution Permissions Management est actuellement disponible pour les locataires hébergés dans l’Union européenne (UE).
Si j’utilise déjà Microsoft Entra ID Privileged Identity Management (PIM) pour Azure, qu’est-ce que Permissions Management offre ?
Permissions Management complète Microsoft Entra PIM. Microsoft Entra PIM fournit un accès juste-à-temps aux rôles d’administrateur dans Azure et Microsoft Online Services et les applications qui utilisent des groupes. La gestion des autorisations autorise une découverte, une correction et un monitoring multiclouds de l’accès privilégié sur Azure, AWS et GCP.
Quelles infrastructures cloud publiques la gestion des autorisations prend-elle en charge ?
Permissions Management prend en charge les trois principaux clouds publics : Amazon Web Services (AWS), Google Cloud Platform (GCP) et Microsoft Azure.
Permissions Management prend-elle en charge les environnements hybrides ?
Actuellement, Permissions Management ne prend pas en charge les environnements hybrides.
La gestion des autorisations prend en charge quels types d’identités ?
Permissions Management prend en charge les identités d’utilisateur (par exemple, les employés, les clients, les partenaires externes) et les identités de charge de travail (par exemple, les machines virtuelles, les conteneurs, les applications web et les fonctions serverless).
Permissions Management est-elle disponible dans les clouds du secteur public ?
Non, Permissions Management n’est actuellement pas disponible dans les clouds du secteur public.
Permissions Management est-elle disponible dans les clouds souverains ?
Non, Permissions Management n’est actuellement pas disponible dans les clouds souverains.
Comment Permissions Management collecte-t-elle des insights sur l’utilisation des autorisations ?
La gestion des autorisations dispose d’un collecteur de données qui collecte les autorisations d’accès attribuées à diverses identités, des journaux d’activité et des métadonnées de ressources. Le collecteur de données offre une visibilité complète des autorisations accordées à toutes les identités pour accéder aux ressources et des détails sur l’utilisation des autorisations accordées.
Comment Permissions Management évalue-t-elle le risque lié aux autorisations dans le cloud ?
Permissions Management offre une visibilité précise de toutes les identités et de leurs autorisations accordées et utilisées, sur les infrastructures cloud pour découvrir toute action effectuée par n’importe quelle identité sur n’importe quelle ressource. La visibilité ne se limite pas aux identités des utilisateurs, elle englobe également les identités de charge de travail, telles que les machines virtuelles, les clés d’accès, les conteneurs et les scripts. Le tableau de bord donne une vue d’ensemble du profil des autorisations pour repérer les ressources et les identités les plus à risque.
Qu’est-ce que le PCI (Permissions Creep Index) ?
Le PCI est une mesure quantitative des risques associés à une identité ou un rôle déterminée en comparant les autorisations accordées et les autorisations exercées. Il permet aux utilisateurs d’évaluer instantanément le niveau de risque associé au nombre d’autorisations inutilisées ou surprovisionnées sur les identités et les ressources. Il mesure la quantité de dommages que les identités peuvent causer en fonction des autorisations dont elles disposent.
Comment les clients peuvent-ils utiliser Permissions Management pour supprimer les autorisations inutilisées ou excessives ?
Permissions Management permet aux utilisateurs de dimensionner de façon appropriée les autorisations excessives et d’automatiser l’application de stratégies de moindre privilège en quelques clics. La solution analyse en permanence les données d’utilisation des autorisations historiques pour chaque identité et donne aux clients la possibilité de redimensionner les autorisations de cette identité aux autorisations utilisées uniquement pour les opérations quotidiennes. Toutes les autorisations inutilisées et les autres autorisations à risque peuvent être automatiquement supprimées.
Pourquoi un utilisateur que j’ai supprimé demeure visible sous l’onglet Analytics ?
Vérifiez si l’utilisateur s’est vu octroyer un rôle d’Administrateur classique. Les rôles d’administrateur classiques ne disparaissent pas à la suppression d’un utilisateur. Pour résoudre ce problème, accédez à la page d’administration classique et supprimez cette attribution de rôle séparément pour l’utilisateur.
Comment les clients peuvent-ils accorder des autorisations à la demande avec Permissions Management ?
Pour les scénarios de secours ou ponctuels où une identité doit exécuter un ensemble spécifique d’actions sur un ensemble de ressources spécifiques, l’identité peut demander ces autorisations à la demande pendant une période limitée avec un workflow libre-service. Les clients peuvent utiliser le moteur de workflow intégré ou leur outil de gestion des services informatiques (ITSM). L’expérience utilisateur est la même pour tout type d’identité, source d’identité (locale, annuaire d’entreprise ou fédérée) et cloud.
Quelle est la différence entre les autorisations à la demande et l’accès juste-à-temps ?
L’accès juste-à-temps (JIT) est une méthode utilisée pour appliquer le principe du moindre privilège afin de garantir que les identités disposent du niveau minimal d’autorisations nécessaires pour effectuer la tâche en cours. Les autorisations à la demande sont un type d’accès JIT qui autorise l’élévation temporaire des autorisations, permettant ainsi aux identités d’accéder à des ressources à la demande, sur une base temporelle.
Comment les clients peuvent-ils superviser l’utilisation des autorisations avec Permissions Management ?
Les clients doivent uniquement suivre l’évolution de leur index PCI (Permissions Creep Index) pour superviser l’utilisation des autorisations. Les clients peuvent superviser l’index PCI dans l’onglet Analytique de leur tableau de bord Gestion des autorisations.
Les clients peuvent-ils générer des rapports d’utilisation des autorisations ?
Oui, Permissions Management dispose de différents types de rapports système qui capturent des jeux de données spécifiques. Ces rapports permettent aux clients d’effectuer les opérations suivantes :
- Prendre des décisions en temps voulu.
- Analyser les tendances d’utilisation et les performances du système/des utilisateurs.
- Identifier les zones à haut risque.
Pour plus d’informations sur les rapports d’utilisation des autorisations, consultez Générer et télécharger le rapport d’analytique des autorisations.
Permissions Management s’intègre-t-elle à des outils ITSM (gestion des services informatiques) tiers ?
L’intégration aux outils ITMS, par exemple ServiceNow, fait partie de la future feuille de route.
Comment Permissions Management est-elle déployée ?
Les clients affectés au rôle Administrateur de gestion des autorisations doivent d’abord intégrer la gestion des autorisations à leur locataire Microsoft Entra, puis intégrer leurs comptes AWS, leurs projets GCP et leurs abonnements Azure. Pour plus d’informations sur l’intégration, consultez la documentation du produit.
Combien de temps faut-il pour déployer Permissions Management ?
Cela dépend de chaque client et du nombre de comptes AWS, de projets GCP et d’abonnements Azure qu’il détient.
Une fois Permissions Management déployée, combien de temps faut-il pour obtenir des insights sur les autorisations ?
Une fois l’intégration pleinement effectuée avec la collecte de données configurée, les clients peuvent accéder aux insights sur l’utilisation des autorisations dans les quelques heures qui suivent. Notre moteur de machine learning actualise l’index PCI toutes les heures ; ainsi, les clients peuvent commencer l’évaluation des risques immédiatement.
Permissions Management collecte-t-elle et stocke-t-elle des données personnelles sensibles ?
Non, Permissions Management n’a pas accès aux données personnelles sensibles.
Où puis-je trouver plus d’informations sur Permissions Management ?
Vous pouvez lire notre blog et visiter notre page Web. Vous pouvez également contacter votre point de contact Microsoft pour planifier une démonstration.
Qu’est-ce que le processus de destruction/désaffectation de données ?
Si un client lance une Gestion des autorisations de 45 jours et ne passe pas en licence payants dans les 45 jours suivant l’expiration de la d’évaluation, toutes les données collectées sont supprimées dans les 30 jours suivant la date d’expiration de la version d’évaluation.
Si un client décide d’interrompre la licence du service, toutes les données collectées précédemment sont supprimées dans les 30 jours suivant la fin de la licence.
Les clients peuvent également supprimer, exporter ou modifier des données spécifiques si un administrateur de gestion des autorisations qui utilise le service Gestion des autorisations soumet une demande officielle de personne concernée. Pour envoyer une demande :
Si vous êtes un client d’entreprise, vous pouvez contacter votre représentant Microsoft, votre équipe de compte ou votre administrateur de locataire pour envoyer un ticket de support IcM à priorité élevée avec une demande des titulaires des données. N’incluez pas de détails ou d’informations d’identification personnelle dans la demande IcM. Nous vous contacterons pour obtenir ces détails uniquement après le dépôt d’une IcM.
Si vous êtes un client libre-service (vous configurez une version d’évaluation ou une licence payante dans le Centre d'administration Microsoft 365), vous pouvez contacter l’équipe de confidentialité de Gestion des autorisations en sélectionnant le menu déroulant de votre profil, puis Paramètres du compte dans Gestion des autorisations. Suivez les instructions pour effectuer une demande de données à caractère personnel.
En savoir plus sur les demandes des titulaires des données Azure.
Dois-je disposer d’une licence pour utiliser Microsoft Entra Permissions Management ?
Oui, depuis le 1er juillet 2022, les nouveaux clients doivent acquérir une licence d’essai gratuit de 45 jours ou une licence payante pour pouvoir utiliser le service. Vous pouvez activer un essai gratuit ici (https://aka.ms/TryPermissionsManagement), ou acheter directement une licence basée sur une ressource ici (https://aka.ms/BuyPermissionsManagement).
Comment les prix de la solution Gestion des autorisations sont-ils fixés ?
La solution Gestion des autorisations est facturée sur la base de 125 dollars US par ressource/an (10,40 dollars US par ressource/mois). La solution Gestion des autorisations nécessite des licences pour les charges de travail incluant toute ressource qui utilise du calcul ou de la mémoire.
Dois-je payer pour toutes les ressources ?
Bien que la solution Gestion des autorisations prenne en charge toutes les ressources, Microsoft nécessite des licences uniquement pour des ressources facturables par environnement cloud. Pour en savoir plus sur les ressources facturables, consultez Afficher les ressources facturables listées dans votre système d’autorisation.
Comment calculer le nombre de ressources facturables dont je dispose ?
Pour calculer les ressources facturables dont vous disposez dans votre infrastructure multicloud, vous devez au préalable activer un essai gratuit de 45 jours ou acheter une licence de la Gestion des autorisations. Dans Gestion des autorisations, sélectionnez Paramètres (icône d’engrenage), puis cliquez sur l’onglet Ressources facturables. Affichez le nombre de ressources facturables dans la colonne Nombre total de licences.
Que dois-je faire si j’utilise la version héritée du service CloudKnox ?
Nous travaillons actuellement au développement d’un plan de migration pour aider les clients du service CloudKnox d’origine à passer au nouveau service Microsoft Entra Permissions Management plus tard en 2022.
Puis-je utiliser Microsoft Entra Permissions Management dans l’UE ?
Oui, le produit est conforme.
Comment faire pour activer l’une des 18 nouvelles langues prises en charge dans la version en disponibilité générale ?
Le service est actuellement localisé dans 18 langues. Nous respectons le paramétrage de votre navigateur mais vous pouvez activer manuellement la langue de votre choix en ajoutant un suffixe de chaîne de requête à votre URL Microsoft Entra Permissions Management :
?lang=xx-XX
Où xx-XX est l’un des paramètres de langue disponibles suivants : « cs-CZ », « de-DE », « en-US », « es-ES », « fr-FR », « hu-HU », « id-ID », « it-IT », « ja-JP », « ko-KR », « nl-NL », « pl-PL », « pt-BR », « pt-PT », « ru-RU », « sv-SE », « tr-TR », « zh-CN » ou « zh-TW ».
Ressources
- Blog Microsoft Entra
- Page web de Permissions Management
- Pour plus d’informations sur les conditions de confidentialité et de sécurité de Microsoft, consultez le Contrat de licence commerciale.
- Pour plus d’informations sur les conditions de traitement des données et de sécurité de Microsoft lorsque vous vous abonnez à un produit, consultez l’Addendum sur la protection des données des produits et services Microsoft (« DPA »).
- Pour plus d’informations, consultez Demandes des titulaires des données en lien avec des données Azure dans le cadre du RGPD et du CCPA.
Étapes suivantes
- Pour obtenir une vue d’ensemble de la gestion des autorisations, consultez Qu’est-ce que la gestion des autorisations Microsoft Entra ?
- Allez plus loin dans votre apprentissage grâce au module Learn Introduction à la gestion des autorisations Microsoft Entra.
- Pour plus d’informations sur l’intégration de Permissions Management pour votre organisation, consultez Activer Permissions Management dans votre organisation.