Surveillez et nettoyez des comptes invités obsolètes à l’aide de révisions d’accès
Lorsque des utilisateurs collaborent avec des partenaires externes, de nombreux comptes invités peuvent être créés dans des locataires Microsoft Entra au fil du temps. Lorsque la collaboration se termine et que les utilisateurs n’accèdent plus à votre locataire, ces comptes Invité peuvent devenir obsolètes. Les administrateurs peuvent surveiller à grande échelle les comptes invités en utilisant des insights sur les invités inactifs. Les administrateurs peuvent utiliser des Révisions d’accès pour réviser automatiquement les utilisateurs invités inactifs, les empêcher de se connecter et les supprimer de l’annuaire.
Pour en savoir plus, consultez le Guide pratique pour gérer les comptes d’utilisateur inactifs dans Microsoft Entra ID.
Il existe quelques modèles recommandés qui sont efficaces pour surveiller et nettoyer des comptes invités obsolètes :
Surveillez à grande échelle les comptes invités avec des insights intelligents sur les invités inactifs dans votre organisation grâce au rapport d’invité inactif. Personnalisez le seuil d’inactivité en fonction des besoins de votre organisation, réduisez l’étendue des utilisateurs invités que vous souhaitez surveiller et identifiez les utilisateurs invités qui peuvent être inactifs.
Créez une révision en plusieurs étapes dans laquelle les invités attestent eux-mêmes qu’ils ont toujours besoin d’un accès. Un réviseur à la deuxième étape évalue les résultats et prend une décision finale. Les invités dont l’accès est refusé sont désactivés, puis supprimés ultérieurement.
Créez une révision pour supprimer les invités externes inactifs. Les administrateurs définissent une période de jours d’inactivité. Ils désactivent, puis suppriment ultérieurement les invités qui ne se connectent pas au locataire dans ce délai. Par défaut, cela n’affecte pas les utilisateurs créés récemment. Apprenez-en davantage sur la manière d’identifier des comptes inactifs.
Utilisez les instructions suivantes pour apprendre à améliorer la surveillance à grande échelle des comptes invités inactifs et créer des révisions d’accès qui suivent ces modèles. Prenez en compte les recommandations de configuration, puis apportez les modifications nécessaires appropriées pour votre environnement.
Conditions de licence :
L’utilisation de cette fonctionnalité nécessite des licences Gouvernance Microsoft Entra ID ou Suite Microsoft Entra. Pour trouver la licence adaptée à vos besoins, consultez Notions de base sur les licences Gouvernances des ID Microsoft Entra.
Surveiller les comptes invités à grande échelle avec des insights sur les invités inactifs
Conseil
Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.
Connectez-vous au centre d’administration Microsoft Entra.
Accédez à Gouvernance des identités>Tableau de bord
Accédez au rapport sur le compte invité inactif par la carte gouvernance de l’accès invité, puis sélectionnez Afficher les invités inactifs.
Vous verrez le rapport d’invité inactif contenant des informations sur les utilisateurs invités inactifs sur la période de 90 jours d’inactivité. Le seuil est défini sur 90 jours par défaut, mais peut être configuré en utilisant l’option « modifier le seuil d’inactivité » en fonction des besoins de votre organisation.
Les informations suivantes sont mises à disposition dans le cadre de ce rapport :
- Vue d’ensemble du compte invité (nombre total d’invités et d’invités inactifs avec une classification supplémentaire des invités qui ne se sont jamais connectés ou qui se sont connectés au moins une fois)
- Distribution d’inactivité de l’invité (pourcentage de distribution des utilisateurs invités en fonction des jours depuis la dernière connexion)
- Vue d’ensemble de l’inactivité de l’invité (conseils d’inactivité invité pour configurer le seuil d’inactivité)
- Récapitulatif des comptes invités (vue tabulaire exportable contenant les détails de tous les comptes invités avec des insights sur leur état d’activité. L’état peut être actif ou inactif en fonction du seuil d’inactivité configuré)
Les jours inactifs sont calculés en fonction de la date de dernière connexion si l’utilisateur s’est connecté au moins une fois. Pour les utilisateurs qui ne se sont jamais connectés, les jours inactifs sont calculés à partir de la date de création du compte.
Remarque
Le rapport contenant les insights sur les invités peut être téléchargé en utilisant « Télécharger toutes les données ». Chaque action à télécharger peut prendre un certain temps, en fonction du nombre d’utilisateurs invités, et permet de télécharger jusqu’à 1 million d’utilisateurs invités.
Créer une révision en plusieurs étapes permettant aux invités d’attester eux-même la nécessité de maintenir leur accès
Créez un groupe dynamique pour les utilisateurs invités que vous souhaitez réviser. Par exemple,
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)
Pour créer une Révision d’accès pour le groupe dynamique, accédez à Microsoft Entra ID > Identity Governance > Révisions d’accès.
Sélectionnez Nouvelle révision d’accès.
Configurez le type de révision.
Propriété Valeur Sélectionner ce qu’il faut réviser Équipes + groupes Étendue de la révision Sélectionner Équipes + groupes Groupe Sélectionner le groupe dynamique Étendue Utilisateurs invités uniquement (Facultatif) Révisez les invités inactifs Activez la case à cocher Utilisateurs inactifs (au niveau locataire) uniquement.
Entrez le nombre de jours constituant une inactivité.Sélectionnez Suivant : Révision.
Configurer des révisions :
Propriété Valeur Révision de première étape Évaluation en plusieurs phases Activer la case Sélectionner des réviseurs Les utilisateurs révisent leur propre accès Durée de l’étape (en jours) Entrez le nombre de jours Révision de deuxième étape Sélectionner des réviseurs Propriétaire(s) de groupe ou Utilisateur(s) ou groupe(s) sélectionné(s) Durée de l’étape (en jours) Entrez le nombre de jours.
(Facultatif) Spécifiez un réviseur de secours.Spécifier la récurrence de la révision Récurrence de la révision Sélectionner votre préférence dans la liste déroulante Date de début Sélectionner une date End Sélectionner votre préférence Spécifier les personnes faisant l’objet de la révision pour passer à l’étape suivante Personnes faisant l’objet de la révision passant à l’étape suivante Sélectionnez les personnes faisant l’objet de la révision. Par exemple, sélectionnez des utilisateurs qui se sont auto-approuvés ou qui ont répondu qu’ils ne savaient pas. Sélectionnez Suivant : Paramètres.
Configurer les paramètres :
Propriété Valeur Paramètres de saisie semi-automatique Appliquer automatiquement les résultats à la ressource Activer la case Si les réviseurs ne répondent pas Supprimer l’accès Action à appliquer aux utilisateurs invités refusés Empêcher l’utilisateur de se connecter pendant 30 jours, puis supprimer l’utilisateur du locataire (Facultatif) À la fin de la révision, envoyer une notification à Spécifiez d’autres utilisateurs ou groupes à notifier. Activer les aides à la décision du réviseur Contenu supplémentaire pour l’e-mail du réviseur Ajouter un message personnalisé pour les réviseurs Tous les autres champs Conservez les valeurs par défaut pour les options restantes. Sélectionnez Suivant : Vérifier + créer
Entrez un nom de Révision d’accès. (Facultatif) Fournissez une description.
Sélectionnez Create (Créer).
Créer une révision pour supprimer les invités externes inactifs
Créez un groupe dynamique pour les utilisateurs invités que vous souhaitez réviser. Par exemple,
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)
Pour créer une révision d’accès pour le groupe dynamique, accédez à Microsoft Entra ID > Identity Governance > Révisions d’accès.
Sélectionnez Nouvelle révision d’accès.
Configurez le type de révision :
Propriété Valeur Sélectionner ce qu’il faut réviser Équipes + groupes Étendue de la révision Sélectionner Équipes + groupes Groupe Sélectionner le groupe dynamique Étendue Utilisateurs invités uniquement Utilisateurs inactifs (au niveau locataire) uniquement Activer la case Jours inactifs Entrez le nombre de jours constituant une inactivité Notes
Le temps d’inactivité que vous configurez n’affecte pas les utilisateurs créés récemment. La Révision d’accès vérifie si un utilisateur a été créé durant le délai d’exécution configuré, et ignore les utilisateurs qui n’ont pas existé pendant au moins cette période. Par exemple, si vous définissez la durée d’inactivité sur 90 jours et qu’un utilisateur invité a été créé ou invité il y a moins de 90 jours, l’utilisateur invité ne sera pas visé par la Révision d’accès. Cela garantit que les invités peuvent se connecter une fois avant d’être supprimés.
Sélectionnez Suivant : Révision.
Configurer des révisions :
Propriété Valeur Spécifier des réviseurs Sélectionner des réviseurs Sélectionnez soit un ou plusieurs Propriétaire(s) de groupe, soit un utilisateur ou un groupe.
(Facultatif) Pour permettre que le processus reste automatisé, sélectionnez un réviseur qui n’entreprendra aucune action.Spécifier la récurrence de la révision Durée (en jours) Entrez ou sélectionnez une valeur selon votre préférence Récurrence de la révision Sélectionner votre préférence dans la liste déroulante Date de début Sélectionner une date End Choisir une option Sélectionnez Suivant : Paramètres.
Configurer les paramètres :
Propriété Valeur Paramètres de saisie semi-automatique Appliquer automatiquement les résultats à la ressource Activer la case Si les réviseurs ne répondent pas Supprimer l’accès Action à appliquer aux utilisateurs invités refusés Empêcher l’utilisateur de se connecter pendant 30 jours, puis supprimer l’utilisateur du locataire Activer les aides à la décision du réviseur Aucune connexion en 30 jours Activer la case Tous les autres champs Cochez/décochez les cases selon vos préférences. Sélectionnez Suivant : Vérifier + créer.
Entrez un nom de Révision d’accès. (Facultatif) Fournissez une description.
Sélectionnez Create (Créer).
Les utilisateurs invités qui ne se connectent pas au locataire pendant le nombre de jours que vous avez configurés sont désactivés pendant 30 jours, puis supprimés. Après suppression, vous pouvez restaurer des invités pendant jusqu’à 30 jours, après quoi une nouvelle invitation est nécessaire.
Remarque
Si les décisions de révision d’accès ne sont pas encore appliquées, vous pouvez utiliser l’API accessReviewInstance: stopApplyDecisions pour arrêter les décisions d’application actives.