Partager via


Surveillez et nettoyez des comptes invités obsolètes à l’aide de révisions d’accès

Lorsque des utilisateurs collaborent avec des partenaires externes, de nombreux comptes invités peuvent être créés dans des locataires Microsoft Entra au fil du temps. Lorsque la collaboration se termine et que les utilisateurs n’accèdent plus à votre locataire, ces comptes Invité peuvent devenir obsolètes. Les administrateurs peuvent surveiller à grande échelle les comptes invités en utilisant des insights sur les invités inactifs. Les administrateurs peuvent utiliser des Révisions d’accès pour réviser automatiquement les utilisateurs invités inactifs, les empêcher de se connecter et les supprimer de l’annuaire.

Pour en savoir plus, consultez le Guide pratique pour gérer les comptes d’utilisateur inactifs dans Microsoft Entra ID.

Il existe quelques modèles recommandés qui sont efficaces pour surveiller et nettoyer des comptes invités obsolètes :

  1. Surveillez à grande échelle les comptes invités avec des insights intelligents sur les invités inactifs dans votre organisation grâce au rapport d’invité inactif. Personnalisez le seuil d’inactivité en fonction des besoins de votre organisation, réduisez l’étendue des utilisateurs invités que vous souhaitez surveiller et identifiez les utilisateurs invités qui peuvent être inactifs.

  2. Créez une révision en plusieurs étapes dans laquelle les invités attestent eux-mêmes qu’ils ont toujours besoin d’un accès. Un réviseur à la deuxième étape évalue les résultats et prend une décision finale. Les invités dont l’accès est refusé sont désactivés, puis supprimés ultérieurement.

  3. Créez une révision pour supprimer les invités externes inactifs. Les administrateurs définissent une période de jours d’inactivité. Ils désactivent, puis suppriment ultérieurement les invités qui ne se connectent pas au locataire dans ce délai. Par défaut, cela n’affecte pas les utilisateurs créés récemment. Apprenez-en davantage sur la manière d’identifier des comptes inactifs.

Utilisez les instructions suivantes pour apprendre à améliorer la surveillance à grande échelle des comptes invités inactifs et créer des révisions d’accès qui suivent ces modèles. Prenez en compte les recommandations de configuration, puis apportez les modifications nécessaires appropriées pour votre environnement.

Conditions de licence :

L’utilisation de cette fonctionnalité nécessite des licences Gouvernance Microsoft Entra ID ou Suite Microsoft Entra. Pour trouver la licence adaptée à vos besoins, consultez Notions de base sur les licences Gouvernances des ID Microsoft Entra.

Surveiller les comptes invités à grande échelle avec des insights sur les invités inactifs

Conseil

Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.

  1. Connectez-vous au centre d’administration Microsoft Entra.

  2. Accédez à Gouvernance des identités>Tableau de bord

  3. Accédez au rapport sur le compte invité inactif par la carte gouvernance de l’accès invité, puis sélectionnez Afficher les invités inactifs.

  4. Vous verrez le rapport d’invité inactif contenant des informations sur les utilisateurs invités inactifs sur la période de 90 jours d’inactivité. Le seuil est défini sur 90 jours par défaut, mais peut être configuré en utilisant l’option « modifier le seuil d’inactivité » en fonction des besoins de votre organisation.

  5. Les informations suivantes sont mises à disposition dans le cadre de ce rapport :

    • Vue d’ensemble du compte invité (nombre total d’invités et d’invités inactifs avec une classification supplémentaire des invités qui ne se sont jamais connectés ou qui se sont connectés au moins une fois)
    • Distribution d’inactivité de l’invité (pourcentage de distribution des utilisateurs invités en fonction des jours depuis la dernière connexion)
    • Vue d’ensemble de l’inactivité de l’invité (conseils d’inactivité invité pour configurer le seuil d’inactivité)
    • Récapitulatif des comptes invités (vue tabulaire exportable contenant les détails de tous les comptes invités avec des insights sur leur état d’activité. L’état peut être actif ou inactif en fonction du seuil d’inactivité configuré)
  6. Les jours inactifs sont calculés en fonction de la date de dernière connexion si l’utilisateur s’est connecté au moins une fois. Pour les utilisateurs qui ne se sont jamais connectés, les jours inactifs sont calculés à partir de la date de création du compte.

Remarque

Le rapport contenant les insights sur les invités peut être téléchargé en utilisant « Télécharger toutes les données ». Chaque action à télécharger peut prendre un certain temps, en fonction du nombre d’utilisateurs invités, et permet de télécharger jusqu’à 1 million d’utilisateurs invités.

Créer une révision en plusieurs étapes permettant aux invités d’attester eux-même la nécessité de maintenir leur accès

  1. Créez un groupe dynamique pour les utilisateurs invités que vous souhaitez réviser. Par exemple,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. Pour créer une Révision d’accès pour le groupe dynamique, accédez à Microsoft Entra ID > Identity Governance > Révisions d’accès.

  3. Sélectionnez Nouvelle révision d’accès.

  4. Configurez le type de révision.

    Propriété Valeur
    Sélectionner ce qu’il faut réviser Équipes + groupes
    Étendue de la révision Sélectionner Équipes + groupes
    Groupe Sélectionner le groupe dynamique
    Étendue Utilisateurs invités uniquement
    (Facultatif) Révisez les invités inactifs Activez la case à cocher Utilisateurs inactifs (au niveau locataire) uniquement.
    Entrez le nombre de jours constituant une inactivité.

    Capture d’écran montrant la boîte de dialogue du type de révision pour une révision en plusieurs étapes permettant aux invités d’attester eux-mêmes la nécessité de maintenir leur accès.

  5. Sélectionnez Suivant : Révision.

  6. Configurer des révisions :

    Propriété Valeur
    Révision de première étape
    Évaluation en plusieurs phases Activer la case
    Sélectionner des réviseurs Les utilisateurs révisent leur propre accès
    Durée de l’étape (en jours) Entrez le nombre de jours
    Révision de deuxième étape
    Sélectionner des réviseurs Propriétaire(s) de groupe ou Utilisateur(s) ou groupe(s) sélectionné(s)
    Durée de l’étape (en jours) Entrez le nombre de jours.
    (Facultatif) Spécifiez un réviseur de secours.
    Spécifier la récurrence de la révision
    Récurrence de la révision Sélectionner votre préférence dans la liste déroulante
    Date de début Sélectionner une date
    End Sélectionner votre préférence
    Spécifier les personnes faisant l’objet de la révision pour passer à l’étape suivante
    Personnes faisant l’objet de la révision passant à l’étape suivante Sélectionnez les personnes faisant l’objet de la révision. Par exemple, sélectionnez des utilisateurs qui se sont auto-approuvés ou qui ont répondu qu’ils ne savaient pas.

    Capture d’écran montrant la révision de première étape pour une révision en plusieurs étapes permettant aux invités d’attester eux-mêmes la nécessité de maintenir leur accès.

  7. Sélectionnez Suivant : Paramètres.

  8. Configurer les paramètres :

    Propriété Valeur
    Paramètres de saisie semi-automatique
    Appliquer automatiquement les résultats à la ressource Activer la case
    Si les réviseurs ne répondent pas Supprimer l’accès
    Action à appliquer aux utilisateurs invités refusés Empêcher l’utilisateur de se connecter pendant 30 jours, puis supprimer l’utilisateur du locataire
    (Facultatif) À la fin de la révision, envoyer une notification à Spécifiez d’autres utilisateurs ou groupes à notifier.
    Activer les aides à la décision du réviseur
    Contenu supplémentaire pour l’e-mail du réviseur Ajouter un message personnalisé pour les réviseurs
    Tous les autres champs Conservez les valeurs par défaut pour les options restantes.

    Capture d’écran montrant la boîte de dialogue des paramètres pour une révision en plusieurs étapes permettant aux invités d’attester eux-mêmes la nécessité de maintenir leur accès.

  9. Sélectionnez Suivant : Vérifier + créer

  10. Entrez un nom de Révision d’accès. (Facultatif) Fournissez une description.

  11. Sélectionnez Create (Créer).

Créer une révision pour supprimer les invités externes inactifs

  1. Créez un groupe dynamique pour les utilisateurs invités que vous souhaitez réviser. Par exemple,

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. Pour créer une révision d’accès pour le groupe dynamique, accédez à Microsoft Entra ID > Identity Governance > Révisions d’accès.

  3. Sélectionnez Nouvelle révision d’accès.

  4. Configurez le type de révision :

    Propriété Valeur
    Sélectionner ce qu’il faut réviser Équipes + groupes
    Étendue de la révision Sélectionner Équipes + groupes
    Groupe Sélectionner le groupe dynamique
    Étendue Utilisateurs invités uniquement
    Utilisateurs inactifs (au niveau locataire) uniquement Activer la case
    Jours inactifs Entrez le nombre de jours constituant une inactivité

    Notes

    Le temps d’inactivité que vous configurez n’affecte pas les utilisateurs créés récemment. La Révision d’accès vérifie si un utilisateur a été créé durant le délai d’exécution configuré, et ignore les utilisateurs qui n’ont pas existé pendant au moins cette période. Par exemple, si vous définissez la durée d’inactivité sur 90 jours et qu’un utilisateur invité a été créé ou invité il y a moins de 90 jours, l’utilisateur invité ne sera pas visé par la Révision d’accès. Cela garantit que les invités peuvent se connecter une fois avant d’être supprimés.

    Capture d’écran montrant la boîte de dialogue du type de révision pour supprimer les invités externes inactifs.

  5. Sélectionnez Suivant : Révision.

  6. Configurer des révisions :

    Propriété Valeur
    Spécifier des réviseurs
    Sélectionner des réviseurs Sélectionnez soit un ou plusieurs Propriétaire(s) de groupe, soit un utilisateur ou un groupe.
    (Facultatif) Pour permettre que le processus reste automatisé, sélectionnez un réviseur qui n’entreprendra aucune action.
    Spécifier la récurrence de la révision
    Durée (en jours) Entrez ou sélectionnez une valeur selon votre préférence
    Récurrence de la révision Sélectionner votre préférence dans la liste déroulante
    Date de début Sélectionner une date
    End Choisir une option
  7. Sélectionnez Suivant : Paramètres.

    Capture d’écran montrant la boîte de dialogue Révisions pour supprimer les invités externes inactifs.

  8. Configurer les paramètres :

    Propriété Valeur
    Paramètres de saisie semi-automatique
    Appliquer automatiquement les résultats à la ressource Activer la case
    Si les réviseurs ne répondent pas Supprimer l’accès
    Action à appliquer aux utilisateurs invités refusés Empêcher l’utilisateur de se connecter pendant 30 jours, puis supprimer l’utilisateur du locataire
    Activer les aides à la décision du réviseur
    Aucune connexion en 30 jours Activer la case
    Tous les autres champs Cochez/décochez les cases selon vos préférences.

    Capture d’écran montrant la boîte de dialogue Paramètres pour supprimer les invités externes inactifs.

  9. Sélectionnez Suivant : Vérifier + créer.

  10. Entrez un nom de Révision d’accès. (Facultatif) Fournissez une description.

  11. Sélectionnez Create (Créer).

Les utilisateurs invités qui ne se connectent pas au locataire pendant le nombre de jours que vous avez configurés sont désactivés pendant 30 jours, puis supprimés. Après suppression, vous pouvez restaurer des invités pendant jusqu’à 30 jours, après quoi une nouvelle invitation est nécessaire.

Remarque

Si les décisions de révision d’accès ne sont pas encore appliquées, vous pouvez utiliser l’API accessReviewInstance: stopApplyDecisions pour arrêter les décisions d’application actives.