Partager via


Prise en main de la gestion des accès privilégiés

Cet article vous guide tout au long de l’activation et de la configuration de la gestion des accès privilégiés dans votre organization. Vous pouvez utiliser powershell Centre d'administration Microsoft 365 ou Gestion Exchange pour gérer et utiliser l’accès privilégié.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Avant de commencer

Avant de commencer à utiliser la gestion des accès privilégiés, vous devez confirmer votre abonnement Microsoft 365 et tous les modules complémentaires.

Avant de commencer à utiliser la gestion des accès privilégiés, vous devez confirmer votre abonnement Microsoft 365 et tous les modules complémentaires. Pour accéder à la gestion des accès privilégiés et l’utiliser, votre organization doit disposer d’abonnements ou de modules complémentaires de prise en charge. Pour plus d’informations, consultez les conditions d’abonnement pour la gestion des accès privilégiés.

Si vous n’avez pas d’offre Office 365 Entreprise E5 existante et que vous souhaitez essayer la gestion des accès privilégiés, vous pouvez ajouter Microsoft 365 à votre abonnement Office 365 existant ou vous inscrire à une version d’évaluation de Microsoft 365 Entreprise E5.

Activer et configurer la gestion des accès privilégiés

Procédez comme suit pour configurer et utiliser l’accès privilégié dans votre organization :

  • Étape 1 : Créer le groupe d’un approbateur

    Avant de commencer à utiliser l’accès privilégié, déterminez qui a besoin de l’autorité d’approbation pour les demandes entrantes permettant d’accéder à des tâches avec élévation de privilèges. Tout utilisateur faisant partie du groupe d’approbateurs peut approuver les demandes d’accès. Ce groupe est activé en créant un groupe de sécurité à extension messagerie dans Office 365.

  • Étape 2 : Activer l’accès privilégié

    Les accès privilégiés doivent être activés de manière explicite dans Office 365 avec le groupe d’approbateurs par défaut, y compris un ensemble de comptes système que vous souhaitez exclure du contrôle d’accès par gestion des accès privilégiés.

  • Étape 3 : Créer une stratégie d’accès

    La création d’une stratégie d’approbation vous permet de définir les exigences d’approbation spécifiques d’une tâche spécifique. Les options type d’approbation sont Automatiques ou Manuelles.

  • Étape 4 : Envoyer/approuver des demandes d’accès privilégié

    Une fois activé, l’accès privilégié nécessite des approbations pour toutes les tâches auxquelles une stratégie d’approbation associée est définie. Pour les tâches incluses dans une stratégie d’approbation, les utilisateurs doivent demander et se voir autoriser d’accès afin d’obtenir les autorisations nécessaires pour exécuter la tâche.

Une fois l’approbation accordée, l’utilisateur demandeur peut exécuter la tâche prévue et l’accès privilégié autorise et exécute la tâche au nom de l’utilisateur. L’approbation reste valide pendant la durée demandée (la durée par défaut est de 4 heures), période durant laquelle le demandeur peut effectuer la tâche prévue plusieurs fois. Toutes ces réalisations sont enregistrées et mises à disposition pour l’audit sur la sécurité et la conformité.

Remarque

Si vous souhaitez utiliser PowerShell de gestion Exchange pour activer et configurer l’accès privilégié, suivez les étapes décrites dans Se connecter à Exchange Online PowerShell à l’aide de l’authentification multifacteur pour vous connecter à Exchange Online PowerShell avec vos informations d’identification Office 365. Vous n’avez pas besoin d’activer l’authentification multifacteur pour votre organization d’utiliser les étapes permettant d’activer l’accès privilégié lors de la connexion à Exchange Online PowerShell. La connexion avec l’authentification multifacteur crée un jeton d’authentification utilisé par l’accès privilégié pour la signature de vos demandes.

Étape 1 : Créer le groupe d’un approbateur

  1. Connectez-vous au Centre d'administration Microsoft 365 à l’aide des informations d’identification d’un compte administrateur dans votre organization.

  2. Dans le Centre d’administration, accédez à Groupes>Ajouter un groupe.

  3. Sélectionnez groupe de sécurité à extension messagerie , puis renseignez les champs Nom, Adresse e-mail du groupe et Description pour le nouveau groupe.

  4. Enregistrez le groupe. La configuration totale du groupe peut prendre quelques minutes et s’affiche dans le Centre d’administration Microsoft 365.

  5. Sélectionnez le nouveau groupe d’approbateurs et sélectionnez Modifier pour ajouter des utilisateurs au groupe.

  6. Enregistrez le groupe.

Étape 2 : Activer l’accès privilégié

Dans le centre Administration Microsoft 365

  1. Connectez-vous au Centre Administration Microsoft 365 à l’aide des informations d’identification d’un compte administrateur dans votre organization.

  2. Dans le Centre d’administration, accédez à Paramètres Paramètres>de l’organisation Sécurité>& Confidentialité>Accès privilégié.

  3. Activez le contrôle Exiger des approbations pour les tâches privilégiées .

  4. Affectez le groupe d’approbateurs que vous avez créé à l’étape 1 comme groupe d’approbateurs par défaut.

  5. Enregistrer et fermer.

Dans PowerShell de gestion Exchange

Pour activer l’accès privilégié et affecter le groupe de l’approbateur, exécutez la commande suivante dans Exchange Online PowerShell :

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

Exemple :

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

Remarque

La fonctionnalité comptes système est mise à disposition pour garantir que certaines automatisations au sein de votre organisation peuvent fonctionner sans dépendance sur l’accès privilégié. Toutefois, il est recommandé que ces exclusions soient exceptionnelles et que celles autorisées soient approuvées et auditées régulièrement.

Étape 3 : Créer une stratégie d’accès

Vous pouvez créer et configurer jusqu’à 30 stratégies d’accès privilégié pour votre organization.

Dans le centre Administration Microsoft 365

  1. Connectez-vous au Centre Administration Microsoft 365 à l’aide des informations d’identification d’un compte administrateur dans votre organization.

  2. Dans le Centre Administration, accédez à Paramètres Paramètres>de l’organisation Sécurité>& Confidentialité>Accès privilégié.

  3. Sélectionnez Gérer les stratégies d’accès et les demandes.

  4. Sélectionnez Configurer des stratégies , puis Ajouter une stratégie.

  5. Dans les champs de liste déroulante, sélectionnez les valeurs appropriées pour votre organization :

    Type de stratégie : tâche, rôle ou groupe de rôles

    Étendue de la stratégie : Exchange

    Nom de la stratégie : sélection parmi les stratégies disponibles

    Type d’approbation : manuel ou automatique

    Groupe d’approbation : sélection du groupe d’approbateurs créé à l’Étape 1.

  6. Sélectionnez Créer , puis Fermer. La configuration et l’activation complètes de la stratégie peuvent prendre quelques minutes.

Dans PowerShell de gestion Exchange

Pour créer et définir une stratégie d’approbation, exécutez la commande suivante dans Exchange Online PowerShell :

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

Exemple :

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'

Étape 4 : Envoyer/approuver des demandes d’accès privilégié

Demander une autorisation d’élévation pour l’exécution de tâches privilégiées

Les demandes d’accès privilégié sont valables pendant 24 heures après l’envoi de la demande. Si elles ne sont pas approuvées ou refusées, les demandes expirent et l’accès n’est pas approuvé.

Dans le centre Administration Microsoft 365

  1. Connectez-vous au Centre Administration Microsoft 365 à l’aide de vos informations d’identification.

  2. Dans le Centre Administration, accédez à Paramètres Paramètres>de l’organisation Sécurité>& Confidentialité>Accès privilégié.

  3. Sélectionnez Gérer les stratégies d’accès et les demandes.

  4. Sélectionnez Nouvelle demande. Dans les champs de liste déroulante, sélectionnez les valeurs appropriées pour votre organization :

    Type de demande : tâche, rôle ou groupe de rôles

    Étendue de la demande : Exchange

    Demande pour : sélection parmi les stratégies disponibles

    Durée (heures) : nombre d’heures d’accès demandé. Le nombre d’heures pouvant être demandées n’est pas limité.

    Commentaires : champ de texte pour les commentaires liés à votre demande d’accès

  5. Sélectionnez Enregistrer , puis Fermer. Votre demande sera envoyée au groupe de l’approbateur par e-mail.

Dans PowerShell de gestion Exchange

Exécutez la commande suivante dans Exchange Online PowerShell pour créer et envoyer une demande d’approbation au groupe de l’approbateur :

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

Exemple :

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4

Afficher le statut des demandes d’élévation

Une fois qu’une demande d’approbation est créée, les status de demande d’élévation peuvent être examinées dans le centre d’administration ou dans PowerShell de gestion Exchange à l’aide du associé à l’ID de demande.

Dans le Centre d’administration Microsoft 365

  1. Connectez-vous au Centre d'administration Microsoft 365 avec vos informations d’identification.

  2. Dans le Centre d’administration, accédez à Paramètres Paramètres>de l’organisation Sécurité>& Confidentialité>Accès privilégié.

  3. Sélectionnez Gérer les stratégies d’accès et les demandes.

  4. Sélectionnez Afficher pour filtrer les demandes envoyées par status en attente, Approuvé, Refusé ou Customer Lockbox.

Dans PowerShell de gestion Exchange

Exécutez la commande suivante dans Exchange Online PowerShell pour afficher une demande d’approbation status pour un ID de demande spécifique :

Get-ElevatedAccessRequest -Identity <request ID> | select RequestStatus

Exemple :

Get-ElevatedAccessRequest -Identity 28560ed0-419d-4cc3-8f5b-603911cbd450 | select RequestStatus

Approbation d’une demande d’autorisation d’élévation

Lorsqu’une demande d’approbation est créée, les membres du groupe d’approbateurs approprié reçoivent une notification par e-mail et peuvent approuver la demande associée à l’ID de demande. Le demandeur est informé de l’approbation ou du refus par message électronique.

Dans le Centre d’administration Microsoft 365

  1. Connectez-vous au Centre d'administration Microsoft 365 avec vos informations d’identification.

  2. Dans le Centre d’administration, accédez à Paramètres Paramètres>de l’organisation Sécurité>& Confidentialité>Accès privilégié.

  3. Sélectionnez Gérer les stratégies d’accès et les demandes.

  4. Sélectionnez une demande répertoriée pour afficher les détails et prendre des mesures sur la demande.

  5. Sélectionnez Approuver pour approuver la demande ou Refuser pour refuser la demande. L’accès aux demandes précédemment approuvées peut être révoqué en sélectionnant Révoquer.

Dans PowerShell de gestion Exchange

Pour approuver une demande d’autorisation d’élévation, exécutez la commande suivante dans Exchange Online PowerShell :

Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

Exemple :

Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

Pour refuser une demande d’autorisation d’élévation, exécutez la commande suivante dans Exchange Online PowerShell :

Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

Exemple :

Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

Supprimer une stratégie d’accès privilégié dans Office 365

Si elle n’est plus nécessaire dans votre organization, vous pouvez supprimer une stratégie d’accès privilégié.

Dans le Centre d’administration Microsoft 365

  1. Connectez-vous au Centre d'administration Microsoft 365 à l’aide des informations d’identification d’un compte administrateur dans votre organization.

  2. Dans le Centre d’administration, accédez à Paramètres Paramètres>de l’organisation Sécurité>& Confidentialité>Accès privilégié.

  3. Sélectionnez Gérer les stratégies d’accès et les demandes.

  4. Sélectionnez Configurer les stratégies.

  5. Sélectionnez la stratégie que vous souhaitez supprimer, puis sélectionnez Supprimer la stratégie.

  6. Sélectionnez Fermer.

Dans PowerShell de gestion Exchange

Pour supprimer une stratégie d’accès privilégié, exécutez la commande suivante dans Exchange Online PowerShell :

Remove-ElevatedAccessApprovalPolicy -Identity <identity GUID of the policy you want to delete>

Désactiver l’accès privilégié dans Office 365

Si nécessaire, vous pouvez désactiver la gestion des accès privilégiés pour votre organization. La désactivation de l’accès privilégié ne supprime pas les stratégies d’approbation ou les groupes d’approbateurs associés.

Dans le Centre d’administration Microsoft 365

  1. Connectez-vous au Centre d'administration Microsoft 365 avec les informations d’identification d’un compte administrateur dans votre organization.

  2. Dans le Centre Administration, accédez à Paramètres Paramètres>de l’organisation Sécurité>& Confidentialité>Accès privilégié.

  3. Activez l’option Exiger des approbations pour le contrôle d’accès privilégié .

Dans PowerShell de gestion Exchange

Pour désactiver l’accès privilégié, exécutez la commande suivante dans Exchange Online PowerShell :

Disable-ElevatedAccessControl