Partager via

Tutoriel : Gouverner et superviser les applications

  • Article

L’administrateur informatique de Fabrikam a ajouté et configuré une application à partir de la galerie d’applications Microsoft Entra. Ils ont également fait en sorte que l’accès puisse être géré et que l’application soit sécurisée à l’aide des informations contenues dans Tutoriel : Gérer la sécurité et l’accès aux applications. Ils doivent maintenant comprendre les ressources disponibles pour gouverner et superviser l'application.

À l’aide des informations contenues dans ce tutoriel, un administrateur de l’application apprend à :

  • Créer une révision d’accès
  • Accéder aux journaux d’audit
  • Accéder aux connexions
  • Envoyer des journaux à Azure Monitor

Prérequis

  • Compte Azure avec un abonnement actif. Si vous n’en avez pas déjà un, créez un compte gratuitement.
  • L’un des rôles suivants : Administrateur de la gouvernance des identités, Administrateur de rôle privilégié, Administrateur d’application cloud ou Administrateur d’application.
  • Une application d’entreprise qui a été configurée dans votre tenant (locataire) Microsoft Entra.

Créer une révision d’accès

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

L'administrateur veut s'assurer que les utilisateurs ou les invités disposent d’un accès approprié. Ils décident de demander aux utilisateurs de l'application de participer à une révision d’accès et de redéfinir ou de confirmer leur besoin d'accès. Lorsque la révision d’accès est terminée, ils peuvent effectuer des modifications et supprimer l’accès des utilisateurs qui n’en ont plus besoin. Pour plus d'informations, voir Gérer l’accès des utilisateurs et des utilisateurs invités à l’aide des révisions d’accès.

Pour créer une révision d’accès :

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Gouvernance des identités,>Révision d'accès.
  3. Sélectionnez Nouvelle révision d’accès pour créer une révision d’accès.
  4. Dans Sélectionner le contenu à réviser, sélectionnez Applications.
  5. Sélectionnez Sélectionner une ou plusieurs applications, choisissez l'application, puis cliquez sur Sélectionner.
  6. Désormais, vous pouvez sélectionner l’étendue de la révision. Vos options sont :
    • Utilisateurs invités uniquement : cette option limite la révision des accès aux seuls utilisateurs invités Microsoft Entra B2B de votre annuaire.
    • Tous les utilisateurs : cette option permet d’étendre la révision d’accès à tous les objets utilisateur associés à la ressource. Sélectionnez Tous les utilisateurs.
  7. Sélectionnez Suivant : Révision.
  8. Dans la section Spécifier les réviseurs, dans la case Sélectionner les réviseurs, sélectionnez Utilisateur(s) ou groupe(s) sélectionné(s), choisissez Sélectionner des réviseurs, puis sélectionnez le compte utilisateur attribué à la demande.
  9. Dans la section Spécifier la récurrence de la révision, précisez les éléments suivants :
    • Durée (en jours) : acceptez la valeur par défaut de 3.
    • Récurrence de l’évaluation : sélectionnez Une fois.
    • Date de début : acceptez la date du jour comme date de début.
  10. Sélectionnez Suivant : Paramètres.
  11. Dans la section Paramètres de saisie semi-automatique, vous pouvez spécifier ce qui se produit une fois la révision terminée. Sélectionnez Appliquer automatiquement les résultats à la ressource.
  12. Sélectionnez Suivant : Vérifier + créer.
  13. Nommez la révision d’accès. Si vous le souhaitez, vous pouvez fournir une description de cette révision. Les réviseurs ont accès au nom et à la description de la révision.
  14. Vérifiez les informations, puis sélectionnez Créer.

Démarrer la révision d’accès

La révision d’accès démarre en quelques minutes et apparaît dans votre liste avec un indicateur de son état.

Par défaut, Microsoft Entra ID envoie un e-mail aux réviseurs peu de temps après le début de la révision. Si vous choisissez de ne pas laisser Microsoft Entra ID envoyer l'e-mail, assurez-vous d'informer les réviseurs qu'une révision d'accès les attend. Vous pouvez leur montrer les instructions relatives à la révision d’accès aux groupes ou aux applications. Si votre révision s’adresse à des invités qui doivent réviser leur propre accès, donnez-leur des instructions sur la méthode à suivre pour réviser leur accès à des groupes ou à des applications.

Si vous avez attribué des invités en tant que réviseurs et qu’ils n’ont pas accepté leur invitation au locataire, ils ne recevront pas d’e-mail concernant les révisions d’accès. Ils doivent d’abord accepter l’invitation avant de pouvoir commencer les révisions.

Visualiser l’état d’une révision d’accès

Vous pouvez suivre la progression des révisions d’accès à mesure qu’elles sont terminées.

  1. Allez à Identité>Gouvernance des identités,>Révision d'accès.
  2. Dans la liste, sélectionnez la révision d’accès que vous avez créée.
  3. Dans la page Vue d’ensemble, vérifiez la progression de la révision d’accès.

La page Résultats fournit des informations supplémentaires sur chaque utilisateur évalué dans l’instance, dont la possibilité d’arrêter, de réinitialiser et de télécharger les résultats. Pour en savoir plus, consultez l’article Terminer une révision d’accès des groupes et des applications dans les révisions d’accès Microsoft Entra.

Accéder aux journaux d’audit

Les journaux d’audit Microsoft Entra capturent une grande variété d’activités au sein de votre locataire. Ces journaux fournissent des informations précieuses sur les activités que vous devez surveiller. Pour plus d’informations, consultez l’article Journaux d’audit dans Microsoft Entra ID.

Pour accéder aux journaux d'audit, accédez à Identité>Surveillance de l'état>Journaux d'audit.

Les journaux d’audit capturent les activités qui se trouvent dans les catégories suivantes. Cette liste n’est pas exhaustive. Pour obtenir la liste complète des catégories et activités du journal d’audit, consultez activités du journal d’audit.

  • Activité de réinitialisation de mot de passe
  • Activité de l’enregistrement de la réinitialisation de mot de passe
  • Activité de groupes en libre-service
  • Changements de nom de groupe d’Office 365
  • Activité d’approvisionnement de compte
  • État de substitution de mot de passe
  • Erreurs de configuration de compte

Accéder aux journaux de connexion

Les journaux de connexion de Microsoft Entra capturent les connexions interactives, non interactives, d'identité managée et de principal de service. Pour plus d’informations, consultez les journaux de connexion dans Microsoft Entra ID.

Pour accéder aux journaux de connexion, accédez à Identité>Surveillance de l'état >Journaux de connexions.

Vous pouvez également afficher les informations de connexion aux applications à partir de la zone Applications d’entreprise. Les journaux de connexion ouvrent les mêmes journaux d’activité de Surveillance & intégrité>journaux de connexion, mais le filtre est déjà défini sur l’application sélectionnée. Le rapport Utilisation & Insights résume également l’activité de connexion de l’application.

Envoyer des journaux à Azure Monitor

Les journaux d’activité Microsoft Entra stockent uniquement les informations pendant sept jours pour Microsoft Entra ID Gratuit et 30 jours pour Microsoft Entra ID P1/P2. Selon vos besoins, vous pouvez nécessiter un stockage supplémentaire pour sauvegarder les données des journaux d’activité.

À l’aide des journaux Azure Monitor, vous pouvez conserver les données plus longtemps et activer de puissants outils d’analyse, tels que la visualisation et les alertes. Pour plus d’informations sur l’intégration des journaux avec les journaux Azure Monitor, consultez Intégrer les journaux Microsoft Entra à Azure Monitor.

Pour envoyer des journaux à Azure Monitor, vous avez besoin d'un espace de travail Log Analytics. Une fois créé, vous configurez les paramètres de diagnostic pour l’intégrer à Log Analytics. Il existe des considérations relatives aux coûts liées à l’intégration des journaux avec Azure Monitor et Log Analytics. Nous vous recommandons donc de consulter cette section des journaux d’activité Microsoft Entra dans Azure Monitor avant de continuer.

Avec un espace de travail Log Analytics configuré :

  1. Sélectionnez Paramètres de diagnostic, puis sélectionnez Ajouter un paramètre de diagnostic. Vous pouvez également sélectionner Exporter les paramètres à partir de la page Journaux d’audit ou Connexions pour accéder à la page de configuration des paramètres de diagnostic.
  2. Choisissez les journaux que vous souhaitez diffuser, sélectionnez l’option Envoyer à l’espace de travail Log Analytics et renseignez les champs.
  3. Sélectionnez Enregistrer.

Au bout de 15 minutes, vérifiez que les événements sont diffusés dans votre espace de travail Log Analytics.

Étapes suivantes

Passez à l’article suivant pour savoir comment…

Gérer le consentement pour les applications et évaluer les demandes de consentement