Modifier les paramètres d'approbation et d'informations relatives au demandeur d'un package d'accès dans la gestion des droits d'utilisation
Chaque package d’accès doit avoir une ou plusieurs stratégies d’attribution de package d’accès pour qu’un utilisateur puisse se voir attribuer l’accès. Lorsqu'un paquet d'accès est créé dans le centre d'administration Microsoft Entra, le centre d'administration Microsoft Entra crée automatiquement la première politique d'attribution de paquet d'accès pour ce paquet d'accès. La stratégie détermine qui peut demander l’accès et qui, le cas échéant, doit approuver l’accès.
En tant que gestionnaire de packages d’accès, vous pouvez à tout moment modifier les paramètres d’approbation et d’informations du demandeur d’un package d’accès en modifiant une stratégie existante ou en ajoutant une nouvelle stratégie supplémentaire de requête d’accès.
Cet article explique comment modifier les paramètres d’approbation et d’informations sur le demandeur d’un package d’accès existant via une stratégie de package d’accès.
Approbation
Dans la section Approbation, vous spécifiez si une approbation est nécessaire quand les utilisateurs demandent ce package d’accès. Les paramètres d’approbation fonctionnent de la façon suivante :
- La demande n’a besoin d’être approuvée que par un seul des approbateurs sélectionnés ou approbateurs de secours pour une approbation en une étape.
- Seul l’un des approbateurs sélectionnés de chaque étape doit approuver une requête d’approbation en plusieurs étapes pour que la requête passe à l’étape suivante.
- Si l’un des approuvés sélectionnés dans une étape refuse une requête avant qu’un autre approbateur de cette phase l’approuve, ou si aucun n’approuve, la requête se termine et l’utilisateur ne reçoit pas d’accès.
- L’approbateur peut être un utilisateur ou un membre spécifique d’un groupe, le manager du demandeur, le commanditaire interne ou le commanditaire externe en fonction de la personne qui régit l’accès à la stratégie.
Pour une démonstration de l’ajout d’approbateurs à une stratégie de demande, regardez la vidéo suivante :
Pour obtenir une démonstration de l’ajout d’une approbation en plusieurs étapes à une stratégie de demande, regardez la vidéo suivante :
Remarque
Les approbateurs ne peuvent pas approuver leurs propres demandes de package d’accès.
Modifier les paramètres d’approbation d’une stratégie d’attribution de package d’accès existante
Conseil
Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.
Pour spécifier les paramètres d’approbation des demandes de package d’accès au moyen d’une stratégie, procédez comme suit :
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.
Conseil
Parmi les autres rôles avec des privilèges minimum pouvant effectuer cette tâche figurent le Propriétaire du catalogue et le Gestionnaire d’attribution de package d’accès.
Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès.
Dans la page Packages d’accès, ouvrez un package d’accès.
Sélectionnez une stratégie à modifier ou ajoutez une nouvelle stratégie au package d'accès.
- Sélectionnez Stratégies, puis sur Ajouter une stratégie si vous souhaitez créer une nouvelle stratégie.
- Sélectionnez la stratégie que vous souhaitez modifier, puis sélectionnez Modifier.
Accédez à l'onglet Requête.
Pour exiger une approbation pour des demandes des utilisateurs sélectionnés, définissez Exiger une approbation sur Oui. Ou bien, pour que les demandes soient approuvées automatiquement, définissez cette valeur sur Non. Si la stratégie permet à des utilisateurs externes à votre organisation de demander un accès, vous devez exiger une approbation, de sorte qu’il y ait une surveillance des personnes ajoutées à l’annuaire de votre organisation.
Pour exiger des utilisateurs une justification pour demander le package d’accès, affectez la valeur Oui à Exiger la justification du demandeur.
À présent, déterminez si les requêtes nécessitent une approbation en une ou plusieurs étapes. Définissez l’option Combien d’étapes sur le nombre d’étapes d’approbation nécessaires.
Suivez les étapes ci-dessous pour ajouter des approbateurs après avoir sélectionné le nombre d’étapes dont vous avez besoin :
Approbation en une seule étape
Ajoutez le Premier approbateur :
Si la stratégie est définie pour régir l’accès des utilisateurs dans votre annuaire, vous pouvez sélectionner Gestionnaire comme approbateur. Vous pouvez également ajouter un utilisateur spécifique en sélectionnant Ajouter des approbateurs après avoir sélectionné Choisir des approbateurs spécifiques dans le menu déroulant.
Si cette stratégie est définie pour régir l’accès des utilisateurs qui ne sont pas dans votre annuaire, vous pouvez sélectionner Sponsor externe ou Sponsor interne. Vous pouvez également ajouter un utilisateur spécifique en cliquant Ajouter des approbateurs ou des groupes sous Choisir des approbateurs spécifiques.
Si vous avez sélectionné Gestionnaire en tant qu’approbateur principal, cliquez sur Ajouter un utilisateur de secours pour sélectionner un ou plusieurs utilisateurs ou groupes dans votre répertoire en tant qu’approbateurs de secours. Les approbateurs de secours reçoivent la demande si la gestion des droits d’utilisation ne peut pas trouver le gestionnaire de l’utilisateur demandant l’accès.
La gestion des droits d’utilisation trouve le gestionnaire à l’aide de l’attribut Manager. L’attribut se trouve dans le profil de l’utilisateur dans Microsoft Entra ID. Pour plus d’informations, consultez Ajouter ou mettre à jour les informations du profil de l’utilisateur avec Microsoft Entra ID.
Si vous avez sélectionné Choisir des approbateurs spécifiques, cliquez sur Ajouter des approbateurs pour choisir dans votre répertoire un ou plusieurs utilisateurs ou groupes devant assumer la fonction d’approbateurs.
Dans la zone sous La décision doit être prise dans combien de jours ? , spécifiez le nombre de jours dont dispose un approbateur pour examiner une demande pour ce package d’accès.
Si une requête n’est pas approuvée dans ce délai, elle est automatiquement refusée. L’utilisateur doit envoyer une autre requête de package d’accès.
Pour exiger des approbateurs une justification de leur décision, définissez Exiger la justification de l’approbateur sur Oui.
La justification est visible par les autres approbateurs et le demandeur.
Approbation en plusieurs étapes
Si vous avez sélectionné une approbation en plusieurs étapes, vous devez ajouter un approbateur pour chaque étape supplémentaire.
Ajoutez le Deuxième approbateur :
Si les utilisateurs se trouvent dans votre annuaire, ajoutez un utilisateur spécifique en tant que deuxième approbateur en sélectionnantAjouter des approbateurs sous Choisir des approbateurs spécifiques.
Si les utilisateurs ne se sont pas dans votre annuaire, sélectionnez Sponsor interne ou Sponsor externe comme deuxième approbateur. Après avoir sélectionné l’approbateur, ajoutez les approbateurs de secours.
Spécifiez le nombre de jours pendant lesquels le deuxième approbateur doit approuver la demande dans la zone sous La décision doit être prise dans combien de jours ? .
Définissez le commutateur Exiger la justification de l’approbateur sur Oui ou Non.
Vous pouvez également ajouter une étape supplémentaire pour un processus d’approbation en trois étapes. Par exemple, vous souhaiterez peut-être qu’un gestionnaire d’employés soit le premier approbateur de l’étape d’un package d’accès. Toutefois, l’une des ressources du package d’accès contient des informations confidentielles. Dans ce cas, vous pouvez désigner le propriétaire de la ressource en tant que deuxième approbateur et un réviseur de sécurité comme troisième approbateur. Une équipe de sécurité dispose ainsi d’un aperçu du processus et peut, par exemple, rejeter une requête basée sur des critères de risque inconnus du propriétaire de la ressource.
Ajoutez le Troisième approbateur :
Si les utilisateurs se trouvent dans votre annuaire, ajoutez un utilisateur spécifique en tant que troisième approbateur en cliquant sur Ajouter des approbateurs sous Choisir des approbateurs spécifiques.
Si les utilisateurs ne se sont pas dans votre annuaire, vous pouvez également sélectionner Sponsor interne ou Sponsor externe comme troisième approbateur. Après avoir sélectionné l’approbateur, ajoutez les approbateurs de secours.
Notes
- À l’instar de la deuxième étape, si les utilisateurs se trouvent dans votre annuaire et que **Manager en tant qu’approbateur** est sélectionné lors de la première ou de la deuxième étape de l’approbation, vous ne verrez qu’une option permettant de sélectionner des approbateurs spécifiques pour la troisième étape de l’approbation.
- Si vous souhaitez désigner le manager comme troisième approbateur, vous pouvez ajuster vos sélections au cours des étapes d’approbation précédentes pour vous assurer que **Manager en tant qu’approbateur** n’est pas sélectionné. Vous devriez alors voir **Manager en tant qu’approbateur** en tant qu’option dans la liste déroulante.
- Si les utilisateurs ne sont pas dans votre annuaire et que vous n’avez pas sélectionné **Sponsor interne** ou **Sponsor externe** en tant qu’approbateurs dans les étapes précédentes, vous les verrez en tant qu’options pour **Troisième approbateur**. Dans le cas contraire, vous ne pourrez sélectionner que **Choisir des approbateurs spécifiques**.
Spécifiez le nombre de jours pendant lesquels le troisième approbateur doit approuver la requête dans la zone sous La décision doit être prise dans combien de jours ?.
Définissez le commutateur Exiger la justification de l’approbateur sur Oui ou Non.
Approbateurs de substitution
Vous pouvez spécifier d’autres approbateurs, comme vous spécifiez les approbateurs principaux autorisés à approuver des requêtes à chaque étape. Le fait de disposer d’approbateurs de substitution garantit que les requêtes sont approuvées ou refusées avant leur expiration (délai d’expiration). Vous pouvez répertorier d’autres approbateurs en même temps que l’approbateur principal à chaque étape.
En spécifiant d’autres approbateurs pour une étape, si les principaux approbateurs n’ont pas été en mesure d’approuver ou de refuser la requête, la requête en attente est transférée aux autres approbateurs, conformément à la planification de transfert que vous avez spécifiée lors de la configuration de la stratégie. Ils reçoivent un e-mail pour approuver ou refuser la demande en attente.
Une fois la demande transférée aux approbateurs de substitution, les approbateurs principaux peuvent toujours l’approuver ou la refuser. Pour approuver ou refuser la demande en attente, les approbateurs de substitution utilisent le même site Mon Accès.
Nous pouvons répertorier les personnes ou groupes de personnes qui doivent être approbateurs et approbateurs de substitution. Veillez à répertorier des groupes de personnes différents pour les premier et deuxième approbateurs ainsi que les approbateurs de substitution. Par exemple, si vous avez mentionné Alice et Bob comme approbateurs de la première étape, mentionnez Carol et Dave comme approbateurs de substitution. Pour ajouter des approbateurs de substitution à un package d’accès, procédez comme suit :
Sous l’approbateur d’une étape, sélectionnez Afficher les paramètres de la requête avancée.
Définissez l’option En l’absence d’action, transférer à d’autres approbateurs ? sur Oui.
Cliquez sur Ajouter des approbateurs de substitution, puis sélectionnez les approbateurs de substitution dans la liste.
Si vous sélectionnez Manager comme approbateur pour le Premier approbateur, vous disposez d’une option supplémentaire : Manager de second niveau en tant qu’approbateur de substitution, sélectionnable dans le champ d’approbateur de substitution. Si vous sélectionnez cette option, vous devez ajouter un approbateur de secours auquel transférer la demande au cas où le système ne peut pas trouver le gestionnaire de second niveau.
Dans la zone Passer aux autres approbateurs après combien de jours ? , entrez le nombre de jours dont les approbateurs disposent pour approuver ou refuser une demande. Si aucun approbateur n’a approuvé ou refusé la requête pendant la durée de la requête, celle-ci expire (délai d’expiration) et l’utilisateur doit soumettre une autre requête de package d’accès.
Les demandes ne peuvent être transférées aux approbateurs de substitution qu’un jour après que l’initiation de la demande. Pour utiliser une approbation de substitution, le délai d'expiration de la requête doit être d'au moins 4 jours.
Activer les demandes
Si vous souhaitez que le package d’accès soit immédiatement disponible afin d’être demandé par les utilisateurs dans la stratégie de demandes, déplacez le bouton bascule Activer sur Oui.
Vous pouvez toujours l’activer plus tard, après avoir créé le package d’accès.
Si vous avez sélectionné Aucun (attributions directes d’administrateur uniquement) et que vous affectez la valeur No à Activer, les administrateurs ne pourront pas attribuer directement ce package d’accès.
Lorsque de nouvelles demandes sont activées, vous pouvez spécifier si vous souhaitez Autoriser les responsables à effectuer une demande pour le compte d’employés (préversion).
Cliquez sur Suivant.
Collecter des informations supplémentaires sur le demandeur pour approbation
Pour veiller à ce que les utilisateurs aient accès aux packages d’accès appropriés, vous pouvez demander aux demandeurs de compléter un champ de texte personnalisé ou de répondre à des questions à choix multiples au moment de la demande. Les questions seront ensuite présentées aux approbateurs pour les aider à prendre une décision.
Accédez à l'onglet Informations sur le demandeur, puis cliquez sur le sous-onglet Questions.
Tapez ce que vous souhaitez demander au demandeur, également appelé « chaîne d’affichage », pour la question dans la zone Question.
Si les utilisateurs qui ont besoin d'accéder au package d'accès n’ont pas tous la même langue d'interface par défaut de l'utilisateur, vous pouvez améliorer leur expérience de requête d’accès sur myaccess.microsoft.com. Pour ce faire, vous pouvez fournir des chaînes d'affichage alternatives dans différentes langues. Par exemple, si le navigateur web d'un utilisateur est défini sur Espagnol et que vous avez configuré des chaînes d'affichage en espagnol, ces chaînes sont affichées sur l'écran de l'utilisateur demandeur. Pour configurer la localisation des demandes, sélectionnez Ajouter une localisation.
- Une fois dans le volet Ajouter des localisations pour les questions, sélectionnez le code de la langue dans laquelle vous localisez la question.
- Dans la langue que vous avez configurée, tapez la question dans la zone Texte localisé.
- Une fois que vous avez ajouté toutes les localisations nécessaires, cliquez sur Enregistrer.
Sélectionnez le Format de la réponse dans lequel vous souhaitez que les demandeurs répondent : Les formats de réponse incluent : texte court, choix multiples et texte long.
Si vous sélectionnez Choix multiples, cliquez sur le bouton Modifier et localiser pour configurer les options de réponse.
- Après avoir sélectionné Modifier et localiser, le volet Afficher/modifier la question s’ouvre.
- Tapez les options de réponse que vous souhaitez donner au demandeur lorsqu’il répond à la question dans les zones Valeurs de réponse .
- Tapez le nombre de réponses dont vous avez besoin.
- Si vous souhaitez ajouter votre propre localisation pour les options à choix multiples, sélectionnez le Code langue facultatif de la langue dans laquelle vous souhaitez localiser une option spécifique.
- Dans la langue que vous avez configurée, tapez la question dans la zone de texte Localisé.
- Une fois que vous avez ajouté toutes les localisations nécessaires pour chaque option à choix multiples, sélectionnez Enregistrer.
Si vous souhaitez inclure une vérification syntaxique des réponses de texte aux questions, vous pouvez également spécifier un modèle d’expression régulière personnalisé.
Si vous souhaitez inclure une vérification syntaxique des réponses de texte aux questions, vous pouvez également spécifier un modèle d’expression régulière personnalisé.Pour exiger que les demandeurs répondent à cette question lorsqu'ils demandent l'accès à un package d'accès, cochez la case située sous Obligatoire.
Complétez les autres onglets (Cycle de vie par exemple) en fonction de vos besoins.
Après avoir configuré les informations du demandeur dans la stratégie de votre package d’accès, vous pouvez afficher les réponses aux questions du demandeur. Pour obtenir des conseils sur l'affichage des informations relatives au demandeur, consultez la section Afficher les réponses du demandeur aux questions.