Décrire les révisions d’accès

  • 5 minutes

Les révisions d’accès de Microsoft Entra permettent aux organisations de gérer efficacement les appartenances aux groupes, l’accès aux applications d’entreprise ainsi que l’attribution de rôle. Les révisions d’accès régulières garantissent que seules les bonnes personnes ont accès aux ressources. Les droits d’accès excessifs représentent un risque de sécurité connu. Toutefois, lorsque les utilisateurs se déplacent d’une équipe à l’autre, ou prennent des responsabilités ou les perdent, les droits d’accès peuvent être difficiles à contrôler.

Microsoft Entra ID vous permet de collaborer avec des utilisateurs internes à votre organisation et avec des utilisateurs externes. Les utilisateurs peuvent se joindre à des groupes, inviter des personnes, se connecter à des applications cloud et travailler à distance à partir de leurs appareils personnels ou professionnels. Cette facilité d’utilisation a créé un besoin pour des fonctionnalités de gestion des accès plus élaborées.

Il existe de nombreux cas d’usage dans lesquels les révisions d’accès doivent être utilisées. En voici quelques exemples.

  • Trop d’utilisateurs dans des rôles privilégiés : Il est judicieux de vérifier le nombre d’utilisateurs disposant d’un accès d’administration. Il est également recommandé de vérifier s’il existe des invités ou des partenaires qui n’ont pas été supprimés une fois qu’une tâche d’administration leur a été affectée. Vous pouvez recertifier l’attribution de rôles des utilisateurs dans les rôles Microsoft Entra, par exemple Administrateurs généraux, ou les rôles liés aux ressources Azure, par exemple Administrateur d’accès utilisateur dans l’expérience Microsoft Entra Privileged Identity Management (PIM).
  • Accès aux données critiques pour l’entreprise : Pour certaines ressources, par exemple les applications critiques pour l’entreprise, il peut être nécessaire, dans le cadre des processus de conformité, de demander aux utilisateurs de justifier la raison pour laquelle ils ont besoin d’un accès continu, et de reconfirmer l’opération régulièrement.
  • Pour gérer la liste d’exceptions d’une stratégie : Parfois, certains cas métier vous obligent à faire des exceptions aux stratégies. En tant qu’administrateur informatique, vous pouvez gérer cette tâche, et fournir aux auditeurs la preuve que ces exceptions sont révisées régulièrement.
  • Demander aux propriétaires de groupe de confirmer qu’ils ont encore besoin d’invités dans leurs groupes : Si un groupe permet à des invités d’accéder à du contenu sensible pour l’entreprise, il incombe au propriétaire du groupe de vérifier si les invités ont toujours un besoin métier légitime de cet accès.
  • Procédez régulièrement à des révisions : Vous pouvez configurer des révisions d’accès des utilisateurs récurrentes à des fréquences définies, par exemple hebdomadaires, mensuelles, trimestrielles ou annuelles. Les réviseurs sont avertis au début de chaque révision et une fois qu’elle est terminée, ils approuvent ou refusent l’accès via une interface utilisateur conviviale et avec l’aide de recommandations intelligentes.

Gérer l’accès des utilisateurs et des utilisateurs invités à l’aide des révisions d’accès – Azure AD

Grâce aux révisions d’accès, vous pouvez facilement vous assurer que les utilisateurs ou les invités ont un accès approprié. Vous pouvez demander directement aux utilisateurs ou bien à un décisionnaire de prendre part à une révision d’accès et de renouveler la certification (ou d’effectuer une « attestation ») pour l’accès utilisateur. Les réviseurs peuvent donner leur avis sur les besoins en accès continu de chaque utilisateur, selon les suggestions de Microsoft Entra ID. Lorsqu’une révision d’accès est terminée, vous pouvez effectuer des modifications et supprimer l’accès des utilisateurs qui n’en ont plus besoin.

Les administrateurs qui créent des révisions d’accès peuvent suivre la progression à mesure que les réviseurs terminent leur processus. Aucun droit d'accès n'est modifié tant que la révision n'est pas terminée. Toutefois, vous pouvez arrêter une révision avant qu’elle n’atteigne la fin de tâche planifiée.

Quand la révision terminée, vous pouvez choisir d’appliquer manuellement ou automatiquement les modifications pour supprimer l’accès d’une appartenance à un groupe ou d’une affectation d’application, excepté pour un groupe dynamique ou un groupe provenant d’un site local. Dans ce cas, les modifications doivent être appliquées directement au groupe.

Révisions d’accès multiphases

Les révisions d’accès Microsoft Entra prennent en charge jusqu’à trois étapes de révision, dans lesquelles plusieurs types de réviseurs s’engagent à déterminer qui a encore besoin d’accéder aux ressources de l’entreprise.

Les révisions d’accès en plusieurs étapes vous permettent, à vous et à votre organisation, de permettre aux flux de travail complexes de répondre aux exigences de recertification et d’audit, appelant plusieurs réviseurs à attester l’accès des utilisateurs dans une séquence particulière. Il vous aide également à concevoir des révisions plus efficaces pour vos propriétaires et auditeurs de ressources en réduisant le nombre de décisions dont chaque réviseur est responsable.

Capture d’écran d’une notification de révision d’accès qui invite les utilisateurs à réviser leurs droits d’accès.