Gérer l’accès des invités avec les révisions d’accès
Avec les révisions d'accès, vous pouvez facilement activer la collaboration au-delà des frontières organisationnelles en utilisant la fonctionnalité Microsoft Entra B2B. Les utilisateurs invités depuis d’autres locataires peuvent être invités par les administrateurs ou par d’autres utilisateurs. Cela s’applique également aux identités de réseaux sociaux tels que des comptes Microsoft.
Vous pouvez également facilement vous assurer que les utilisateurs invités disposent de droits d’accès appropriés. Vous pouvez demander directement aux invités ou à un décisionnaire de participer à une révision d’accès et de re-certifier (ou attester) l’accès invité. Les réviseurs peuvent donner leur avis sur le besoin de chaque utilisateur en matière d'accès continu, sur la base des suggestions de Microsoft Entra ID. Lorsqu’une révision d’accès est terminée, vous pouvez effectuer des modifications et supprimer l’accès des invités qui n’en ont plus besoin.
Notes
Ce document se concentre sur la revue de l’accès des utilisateurs invités. Si vous souhaitez réviser l’accès de tous les utilisateurs, et pas uniquement celui des invités, consultez l’article Manage user access with access reviews (Gérer l’accès utilisateur à l’aide des révisions d’accès). Si vous souhaitez passer en revue l’appartenance des utilisateurs à des rôles administratifs tels que le rôle Administrateur général, consultez Démarrer une révision des accès dans Microsoft Entra Privileged Identity Management.
Prérequis
- Microsoft Entra ID P2 ou gouvernance de Microsoft Entra ID
Pour plus d’informations, consultez Conditions de licence.
Créer et exécuter une révision d’accès pour des invités
Tout d’abord, un des rôles suivants doit vous être attribué :
- Administrateur général
- Administrateur d’utilisateurs
- (Préversion) Microsoft 365 ou Microsoft Entra Security Group propriétaire du groupe à réviser
Remarque
En accord avec le principe de l’accès au privilège minimum, nous vous recommandons d’utiliser le rôle Administrateur d’utilisateurs ou d’être le propriétaire du groupe de sécurité pour cette tâche.
Accédez ensuite à la page Gouvernance des identités pour vous assurer que les révisions d’accès sont prêtes pour votre organisation.
Microsoft Entra ID permet plusieurs scénarios pour examiner les utilisateurs invités.
Vous pouvez réviser :
- Un groupe dans Microsoft Entra ID qui compte un ou plusieurs invités comme membres.
- Une application connectée à Microsoft Entra ID à laquelle est attribué un ou plusieurs utilisateurs invités.
Lors de la révision de l'accès des utilisateurs invités aux groupes Microsoft 365, vous pouvez créer une révision d'accès pour chaque groupe individuellement, ou activer des révisions d'accès automatiques et récurrentes pour les utilisateurs invités dans tous les groupes Microsoft 365. Pour plus d'informations sur les révisions d'accès récurrentes des utilisateurs invités, regardez la vidéo suivante :
Vous pouvez alors décider de demander à chaque invité de revoir leur propre accès ou de demander à un ou plusieurs utilisateurs de revoir l’accès de chaque invité.
Ces scénarios sont traités dans les sections suivantes.
Demander aux invités de revoir leur propre appartenance à un groupe
Vous pouvez utiliser les révisions d’accès pour vous assurer que les utilisateurs qui ont été invités et ajoutés à un groupe ont toujours besoin de leur accès. Vous pouvez facilement demander aux invités de revoir leur propre appartenance à ce groupe.
Pour créer une révision d’accès pour le groupe, choisissez d’y inclure uniquement les utilisateurs invités et faites-leur faire la révision eux-mêmes. Pour plus d’informations, consultez Créer une révision d’accès de groupes ou d’applications.
Demandez à chaque invité de revoir sa propre appartenance. Par défaut, chaque invité ayant accepté une invitation reçoit un e-mail de Microsoft Entra ID avec un lien vers la révision d'accès. Microsoft Entra ID contient des instructions destinées aux invités sur la manière de vérifier l'accès aux groupes ou aux applications.
Une fois que les réviseurs ont fait part de leur avis, arrêtez la révision d’accès et appliquez les modifications. Pour plus d’informations, consultez Effectuer une révision d’accès de groupes ou d’applications.
En plus des utilisateurs indiquant n’avoir plus besoin d’un accès continu, vous pouvez également retirer les utilisateurs n’ayant pas répondu. Il est probable que les utilisateurs qui ne répondent pas ne reçoivent plus de courrier électronique.
Si le groupe n’est pas utilisé pour la gestion des accès, vous pouvez également retirer les utilisateurs qui n’ont pas été sélectionnés pour participer à la révision car ils n’ont pas accepté leur invitation. Cela peut être dû à une faute de frappe dans l’adresse e-mail de l’utilisateur invité. Si un groupe est utilisé comme liste de distribution, il est possible que certains utilisateurs invités n’aient pas été sélectionnés pour participer parce qu’ils sont des objets contact.
Demander à un utilisateur autorisé de revoir l’appartenance d’un invité à un groupe
Vous pouvez demander à un utilisateur autorisé, tel que le propriétaire d’un groupe, d’évaluer si un invité a toujours besoin d’appartenir à un groupe.
Pour créer une révision d’accès pour le groupe, choisissez d’y inclure uniquement les utilisateurs invités. Spécifiez ensuite un ou plusieurs réviseurs. Pour plus d’informations, consultez Créer une révision d’accès de groupes ou d’applications.
Demandez aux réviseurs de donner leur avis. Par défaut, ils reçoivent chacun un e-mail de Microsoft Entra ID avec un lien vers le panneau d’accès, où ils examinent l’accès aux groupes ou aux applications.
Une fois que les réviseurs ont fait part de leur avis, arrêtez la révision d’accès et appliquez les modifications. Pour plus d’informations, consultez Effectuer une révision d’accès de groupes ou d’applications.
Demander aux invités de revoir leur propre accès à une application
Vous pouvez utiliser les révisions d’accès pour vous assurer que les utilisateurs qui ont été invités pour une application spécifique ont toujours besoin de leur accès. Vous pouvez facilement demander aux invités de revoir eux-mêmes leur besoin d’accès.
Pour créer une révision d’accès pour l’application, choisissez d’y inclure uniquement les invités et de leur faire revoir leur accès eux-mêmes. Pour plus d’informations, consultez Créer une révision d’accès de groupes ou d’applications.
Demandez à chaque invité de revoir son propre accès à l’application. Par défaut, chaque invité ayant accepté une invitation reçoit un e-mail de Microsoft Entra ID. Ce message contient un comprenant un lien vers la révision d’accès dans le volet d’accès de votre organisation. Microsoft Entra ID contient des instructions destinées aux invités sur la manière de vérifier l'accès aux groupes ou aux applications.
Une fois que les réviseurs ont fait part de leur avis, arrêtez la révision d’accès et appliquez les modifications. Pour plus d’informations, consultez Effectuer une révision d’accès de groupes ou d’applications.
En plus des utilisateurs indiquant n’avoir plus besoin d’un accès continu, vous pouvez également retirer les utilisateurs invités n’ayant pas répondu. Il est probable que les utilisateurs qui ne répondent pas ne reçoivent plus de courrier électronique. Vous pouvez également supprimer les utilisateurs invités qui n’ont pas été sélectionnées pour participer, surtout s’ils n’ont pas été récemment invités. N’ayant pas accepté leur invitation, ces utilisateurs n’avaient donc pas accès à l’application.
Demander à un utilisateur autorisé de revoir l’accès d’un invité à une application
Vous pouvez demander à un utilisateur autorisé, tel que le propriétaire d'une application, de vérifier si l'invité a besoin de continuer à accéder à l'application.
Pour créer une révision d’accès pour l’application, choisissez d’y inclure uniquement les invités. Définissez ensuite un ou plusieurs utilisateurs comme réviseurs. Pour plus d’informations, consultez Créer une révision d’accès de groupes ou d’applications.
Demandez aux réviseurs de donner leur avis. Par défaut, ils reçoivent chacun un e-mail de Microsoft Entra ID avec un lien vers le panneau d’accès, où ils examinent l’accès aux groupes ou aux applications.
Une fois que les réviseurs ont fait part de leur avis, arrêtez la révision d’accès et appliquez les modifications. Pour plus d’informations, consultez Effectuer une révision d’accès de groupes ou d’applications.
Demander aux invités de revoir leurs besoins d’accès en général
Dans certaines organisations, les invités peuvent ne pas être conscients de leur appartenance à un groupe.
Remarque
Dans les versions antérieures du portail, les utilisateurs de type Invité ne pouvaient pas disposer d’un accès administratif. Dans certains cas, il est possible qu’un administrateur de votre répertoire ait défini la valeur UserType d’un invité sur Membre à l’aide de PowerShell. Si cette modification avait auparavant été apportée dans votre répertoire, il est possible que la requête précédente n’inclue pas tous les utilisateurs invités qui disposaient auparavant de droits d’accès administratif. Dans ce cas, vous devez modifier le type d’utilisateur de l’invité ou inclure manuellement l’invité dans le groupe.
Créez un groupe de sécurité dans Microsoft Entra ID avec les invités comme membres, si un groupe approprié n'existe pas déjà. Par exemple, vous pouvez créer un groupe pour lequel l’appartenance des invités est gérée manuellement. Ou bien, vous pouvez créer un groupe dynamique doté d’un nom tel que « Invités de Contoso » pour les utilisateurs dans le client Contoso dont la valeur d’attribut UserType est configurée sur Invité. Pour plus d’efficacité, assurez-vous que le groupe est principalement formé d’invités. Ne sélectionnez pas un groupe dont les utilisateurs sont des membres, car ils n’ont pas besoin d’être examinés. En outre, n’oubliez pas qu’un utilisateur invité membre du groupe peut voir les autres membres du groupe.
Pour créer une révision d’accès pour ce groupe, choisissez les membres comme réviseurs. Pour plus d’informations, consultez Créer une révision d’accès de groupes ou d’applications.
Demandez à chaque invité de revoir sa propre appartenance. Par défaut, chaque invité qui a accepté une invitation reçoit un e-mail de Microsoft Entra ID avec un lien vers la révision d'accès dans le panneau d'accès de votre organisation. Microsoft Entra ID contient des instructions destinées aux invités sur la manière de vérifier l'accès aux groupes ou aux applications. Les invités qui n’ont pas accepté leur invitation apparaissent dans les résultats de la révision comme « Non averti ».
Une fois que les réviseurs ont fait part de leur avis, arrêtez la révision d’accès. Pour plus d’informations, consultez Effectuer une révision d’accès de groupes ou d’applications.
Vous pouvez supprimer automatiquement les comptes Microsoft Entra B2B des utilisateurs invités dans le cadre d'une révision d'accès lorsque vous configurez une révision d'accès pour Sélectionnez Team + Groups. Cette option n’est pas disponible pour Tous les groupes Microsoft 365 avec des utilisateurs invités.
Pour ce faire, sélectionnez Appliquer automatiquement les résultats à la ressource, car cela entraîne la suppression automatique de l’utilisateur de la ressource. Si les réviseurs ne répondent pas doit avoir la valeur Supprimer l’accès, et Action à appliquer aux utilisateurs invités refusés doit avoir la valeur Empêcher l’utilisateur de se connecter pendant 30 jours, puis supprimer l’utilisateur du locataire.
Cela bloquera immédiatement la connexion au compte d'utilisateur invité, puis supprimera automatiquement son compte Microsoft Entra B2B après 30 jours.