Gérer les accès externes avec la gestion des droits Microsoft Entra

Utilisez la fonctionnalité de gestion des droits d’utilisation pour gérer le cycle de vie des identités et des accès. Vous pouvez automatiser les flux de travail de demande d’accès, les affectations d’accès, les révisions et l’expiration. Les non-administrateurs utilisent la gestion des droits d'utilisation pour créer des packages d’accès auxquels les utilisateurs externes d’autres organisations peuvent demander l’accès. Les flux de travail d’approbation à un et plusieurs index peuvent être configurés pour évaluer les demandes et fournissent aux utilisateurs un accès limité dans le temps avec des révisions récurrentes. Utilisez la gestion des droits d'utilisation pour l’approvisionnement et la suppression des privilèges d’accès des comptes externes basés sur des stratégies.

En savoir plus :

• Présentation de la gestion des droits d’utilisation
• Que sont les packages d’accès et quelles ressources gérer avec eux ?
• Présentation du provisionnement

Avant de commencer

Cet article est le numéro 6 d’une série de 10 articles. Nous vous recommandons de consulter les articles dans l’ordre. Accédez à la section Étapes suivantes pour voir la série entière.

Activer la gestion des droits d'utilisation

Les concepts clés suivants sont importants à comprendre pour la Gestion des droits d'utilisation.

Packages d’accès

Un package d’accès est la base de la gestion des droits d’utilisation : il s’agit de regroupements de ressources régies par une stratégie pour permettre aux utilisateurs de collaborer sur un projet ou d’effectuer d’autres tâches. Par exemple, un package d’accès peut inclure les éléments suivants :

• Accès aux sites SharePoint
• Applications d’entreprise, y compris vos applications Software as a Service (SaaS) et internes personnalisées telles que Salesforce
• Microsoft Teams
• Groupes Microsoft 365

Catalogues

Les packages d’accès résident dans des catalogues. Lorsque vous souhaitez regrouper des ressources et des packages d’accès associés et déléguer leur gestion, vous créez un catalogue. Tout d’abord, vous ajoutez des ressources à un catalogue, puis vous pouvez ajouter des ressources aux packages d'accès. Par exemple, vous pouvez créer un catalogue des finances et déléguer sa gestion à un membre de l’équipe des finances. Cette personne peut ensuite ajouter des ressources, créer des packages d’accès et en gérer l’approbation de l’accès.

En savoir plus :

• Créer et gérer un catalogue de ressources dans la gestion des droits d'utilisation
• Délégation et rôles dans la gestion des droits d’utilisation
• Ajouter des ressources à un catalogue

Le diagramme suivant montre un cycle de vie de gouvernance typique d’un utilisateur externe qui accède à un package d’accès avec une expiration.

Accès externe libre-service

Vous pouvez rendre les packages d’accès disponibles via le portail Mon accès Microsoft Entra pour permettre aux utilisateurs externes de demander l’accès. Les stratégies déterminent qui est autorisé à demander un package d’accès. Consultez Demander l’accès à un package d’accès dans la gestion des droits d’utilisation.

Vous spécifiez les personnes autorisées à demander le package d’accès :

• Organisations connectées
  • Consultez Ajouter une organisation connectée dans la gestion des droits d’utilisation
• Organisations connectées configurées
• Utilisateurs d’organisations
• Utilisateurs membres ou invités présents dans votre locataire

Approbations

Les packages d’accès peuvent inclure une approbation obligatoire pour l’accès. Les approbations peuvent être en une ou plusieurs étapes et sont déterminées par des stratégies. Si des utilisateurs internes et externes doivent accéder au même package, vous pouvez définir des stratégies d’accès pour des catégories d’organisations connectées et pour les utilisateurs internes.

Important

Implémentez les processus d’approbation pour les utilisateurs externes.

Expiration

Les packages d’accès peuvent inclure une date d’expiration ou un nombre de jours que vous définissez pour l’accès. Lorsque le package d’accès expire et que l’accès est clos, l’objet utilisateur invité B2B représentant l’utilisateur peut être supprimé ou bloqué à la connexion. Nous vous recommandons d’appliquer l’expiration des packages d’accès pour les utilisateurs externes. Tous les packages d’accès n’ont pas d’expiration.

Important

Pour les packages sans expiration, effectuez des révisions d’accès régulières.

Révisions d’accès

Les packages d’accès peuvent exiger des révisions d’accès périodiques, ce qui implique que le propriétaire du paquet ou une personne désignée atteste de la nécessité de maintenir l'accès des utilisateurs. Consultez Gérer l’accès des invités avec les révisions d’accès.

Avant de configurer votre évaluation, déterminez les critères suivants :

• Qui
  • Critères pour l’accès continu
  • Réviseurs
• Fréquence
  • Les options intégrées sont mensuelles, trimestrielles, bi-annuelles ou annuelles
  • Nous vous recommandons d’effectuer des révisions de packages qui prennent en charge l’accès externe tous les trimestres ou plus fréquemment

Important

Les révisions du package d’accès examinent l’accès accordé par le biais de la gestion des droits d’utilisation. Configurez d’autres processus pour passer en revue l’accès aux utilisateurs externes, en dehors de la gestion des droits d’utilisation.

En savoir plus : Planification du déploiement des révisions d’accès Microsoft Entra.

Utilisation de l’automatisation de la gestion des droits d’utilisation

• Utilisation de l’API de gestion des droits d’utilisation Microsoft Entra
• Type de ressource accessPackage
• Révision d’accès à Microsoft Entra
• Type de ressource connectedOrganization
• Type de ressource entitlementManagementSettings

Recommandations sur la gouvernance des accès externes

Meilleures pratiques

Nous vous recommandons d’utiliser les pratiques suivantes pour régir l’accès externe avec la Gestion des droits d'utilisation.

• Pour les projets avec un ou plusieurs partenaires commerciaux, créez et utilisez des packages d’accès pour intégrer et fournir un accès utilisateur à des ressources.
  • Créer un package d’accès dans la gestion des droits d’utilisation
• Si votre répertoire comprend des utilisateurs B2B, vous pouvez les assigner à des packages d'accès.
• Vous pouvez attribuer l’accès dans le Portail Azure ou avec Microsoft Graph
  • Afficher, ajouter et supprimer des affectations pour un package d’accès dans la gestion des droits d’utilisation
  • Créer un package d’accès dans la gestion des droits d’utilisation

Gouvernance des identités - Paramètres

Utilisez Gouvernance des identités - Paramètres pour supprimer les utilisateurs de votre répertoire lorsque leurs packages d’accès arrivent à expiration. Les paramètres suivants s’appliquent aux utilisateurs intégrés à la gestion des droits d’utilisation.

Déléguer la gestion des catalogues et des packages

Délégez la gestion des catalogues et des packages d’accès aux propriétaires d’entreprise disposant d’informations supplémentaires sur les utilisateurs à qui l’accès est autorisé. Consultez Délégation et rôles dans la gestion des droits d’utilisation

Appliquer l’expiration du package d’accès

Vous pouvez appliquer l’expiration de l’accès pour les utilisateurs externes. Consultez Changer les paramètres de cycle de vie d’un package d’accès dans la gestion des droits d’utilisation.

• Pour la date de fin d’un package d’accès basé sur un projet, utilisez À la date du pour définir la date.
  • Dans le cas contraire, nous recommandons que l’expiration ne fasse pas plus de 365 jours, sauf s’il s’agit d’un projet sur plusieurs années
• Autoriser les utilisateurs à étendre l'accès
  • Exiger une approbation pour accorder l'extension

Appliquer les révisions des packages d’accès invité

Vous pouvez appliquer des révisions de packages d’accès invité pour éviter les accès inappropriés pour les invités. Consultez Gérer l’accès des invités avec les révisions d’accès.

• Appliquer les révisions trimestrielles
• Pour les projets liés à la conformité, définissez les réviseurs comme réviseurs, plutôt qu’une auto-évaluation pour des utilisateurs externes.
  • Vous pouvez utiliser des gestionnaires de package d’accès en tant que réviseurs
• Pour les projets moins sensibles, l’auto-révision des utilisateurs diminue la charge de supprimer l’accès à des utilisateurs qui ne font plus partie de l’organisation.

En savoir plus : Régir l’accès des utilisateurs externes dans la gestion des droits d’utilisation

Étapes suivantes

Utilisez la série d’articles suivante pour découvrir la sécurisation de l’accès externe aux ressources. Nous vous recommandons de suivre l’ordre indiqué.

1. Déterminer votre posture de sécurité pour l’accès externe avec Microsoft Entra ID

2. Découvrir l’état actuel de la collaboration externe avec votre organisation

3. Créer un plan de sécurité pour l’accès externe aux ressources

4. Accès externe sécurisé avec des groupes dans Microsoft Entra ID et Microsoft 365

5. Transition vers une collaboration gouvernée avec la collaboration Microsoft Entra B2B

6. Gérer l’accès externe avec la gestion des droits d’utilisation Microsoft Entra (vous êtes ici)

7. Gérer l’accès externe à des ressources avec des stratégies d’accès conditionnel

8. Contrôler l'accès externe aux ressources dans Microsoft Entra ID avec des étiquettes de sensibilité

9. Accès externe sécurisé à Microsoft Teams, SharePoint et OneDrive Entreprise avec Microsoft Entra ID

10. Convertir les comptes invités locaux en comptes invités Microsoft Entra B2B