Résoudre les problèmes de gestion des droits d’utilisation
Cet article décrit certains éléments que vous devriez vérifier pour vous aider à résoudre les problèmes de gestion des droits d’utilisation.
Administration
Si vous obtenez un message d’accès refusé lors de la configuration de la gestion des droits d’utilisation et que vous êtes administrateur général, vérifiez que votre annuaire dispose d’une licence Microsoft Entra ID P2 ou Gouvernance des ID Microsoft Entra (ou EMS E5). Si vous avez récemment renouvelé un abonnement Microsoft Entra ID P2 ou Gouvernance des ID Microsoft Entra expiré, jusqu’à 8 heures peuvent s’écouler pour que le renouvellement de cette licence soit visible.
Si la licence Microsoft Entra ID P2 ou Gouvernance Microsoft Entra ID de votre locataire expire, vous ne pourrez pas traiter de nouvelles requêtes d’accès ni effectuer de révisions d’accès.
Si vous obtenez un message d’accès refusé lors de la création ou de la consultation de packages d’accès et que vous êtes membre d’un groupe Créateur de catalogue, vous devez créer un catalogue avant de créer votre premier package d’accès.
Ressources
Les rôles des applications sont définis par l’application elle-même, et gérés dans Microsoft Entra ID. Si une application n’a pas de rôle de ressource, la gestion des droits d’utilisation affecte aux utilisateurs un rôle Accès par défaut.
Le centre d’administration Microsoft Entra peut également afficher les principaux de service des services qui ne peuvent pas être sélectionnés en tant qu’applications. En particulier, Exchange Online et SharePoint Online sont des services, pas des applications disposant de rôles de ressources dans l’annuaire. Ils ne peuvent donc pas être inclus dans un package d’accès. Utilisez plutôt la gestion des licences par groupe pour établir une licence appropriée, destinée à un utilisateur qui a besoin d’accéder à ces services.
Les applications qui prennent uniquement en charge les utilisateurs de comptes Microsoft personnels pour l’authentification, et non les comptes professionnels de votre annuaire, ne disposent pas de rôles d’application et ne peuvent pas être ajoutées pour accéder aux catalogues de packages.
Pour qu’un groupe soit une ressource dans un package d’accès, il doit pouvoir être modifiable dans Microsoft Entra ID. Les groupes issus d’Active Directory local ne peuvent pas être attribués en tant que ressources, car leurs attributs de propriétaire ou de membre ne sont pas modifiables dans Microsoft Entra ID. Les groupes qui proviennent d’Exchange Online en tant que groupes de distribution ne peuvent pas non plus être modifiés dans Microsoft Entra ID.
Les documents individuels et les bibliothèques SharePoint Online ne peuvent pas être ajoutés en tant que ressources. Créez plutôt un groupe de sécurité Microsoft Entra, ajoutez ce groupe et un rôle de site dans le package d’accès, puis utilisez ce groupe dans SharePoint Online pour contrôler l’accès au document ou à la bibliothèque de documents.
Si des utilisateurs ont déjà été affectés à une ressource que vous souhaitez gérer avec un package d’accès, assurez-vous qu’ils sont affectés au package d’accès avec une stratégie appropriée. Par exemple, vous envisagez d’inclure un groupe dans un package d’accès qui contient déjà des utilisateurs dans le groupe. Si ces utilisateurs dans le groupe nécessitent un accès permanent, ils doivent avoir une stratégie appropriée pour les packages d’accès, afin de ne pas perdre leur accès au groupe. Vous pouvez affecter le package d’accès soit en indiquant aux utilisateurs qu’ils demandent le package d’accès contenant cette ressource, soit en les affectant directement au package d’accès. Pour plus d’informations, consultez Changer les paramètres de demande et d’approbation pour un package d’accès.
Lorsque vous supprimez un membre d’une équipe, il est également supprimé du groupe Microsoft 365. La suppression de la fonctionnalité de conversation de l’équipe peut être retardée. Pour plus d’informations, consultez l’article Appartenance au groupe.
Packages d’accès
- Si vous tentez de supprimer un package d’accès ou une stratégie et qu’un message d’erreur apparaît, indiquant qu’il existe des affectations actives alors que vous ne voyez aucun utilisateur doté d’affectations, regardez si certains des utilisateurs supprimés récemment possèdent encore des affectations. Pendant la fenêtre de 30 jours qui suit la suppression d’un utilisateur, le compte d’utilisateur peut être restauré.
Utilisateurs externes
Quand n utilisateur externe souhaite demander l’accès à un package d’accès, veillez à ce qu’il utilise le lien du portail Mon Accès pour le package. Pour plus d’informations, consultez Partager le lien pour demander un package d’accès. Si un utilisateur externe visite seulement myaccess.microsoft.com sans utiliser le lien complet du portail Mon Accès, il voit les packages d’accès disponibles dans sa propre organisation et non ceux de la vôtre.
Si un utilisateur externe n’est pas en mesure de demander l’accès à un package d’accès ou ne peut pas accéder aux ressources, vérifiez vos paramètres pour les utilisateurs externes.
Si un utilisateur externe, qui ne s’est pas encore connecté à votre annuaire, reçoit un package d’accès incluant un site SharePoint Online, son package d’accès s’affiche comme n’étant pas entièrement livré tant que son compte n’est pas approvisionné dans SharePoint Online. Pour plus d’informations sur le partage des paramètres, voir Vérifier les paramètres de partage externe SharePoint Online.
Demandes
Quand un utilisateur souhaite demander l’accès à un package d’accès, vérifiez qu’il utilise le lien du portail Mon Accès pour le package. Pour plus d’informations, consultez Partager le lien pour demander un package d’accès.
Si vous ouvrez le portail Mon Accès avec votre navigateur en mode privé ou incognito, il peut se produire un conflit avec le comportement de connexion. Nous vous recommandons de ne pas utiliser le mode privé ou incognito de votre navigateur lorsque vous visitez le portail Mon Accès.
Lorsqu’un utilisateur qui ne figure pas encore dans votre annuaire se connecte au portail Mon Accès pour demander un package d’accès, assurez-vous qu’il s’authentifie à l’aide de son compte professionnel ou scolaire. Le compte professionnel ou scolaire peut être un compte présent dans l’annuaire de ressources, ou dans un annuaire qui est inclus dans l’une des stratégies du package d’accès. Si le compte de l’utilisateur n’est pas un compte professionnel ou scolaire, ou si l’annuaire auquel il s’authentifie n’est pas inclus dans la stratégie, l’utilisateur ne voit pas le package d’accès. Pour plus d’informations, consultez Demander l’accès à un package d’accès.
Si un utilisateur est empêché de se connecter à l’annuaire de ressources, il est dans l’incapacité de demander l’accès dans le portail Mon accès. Avant que l’utilisateur puisse demander l’accès, vous devez supprimer le bloc de connexion du profil de l’utilisateur. Pour supprimer le bloc de connexion, dans le centre d’administration Microsoft Entra, sélectionnez Identité, Utilisateurs, choisissez l’utilisateur, puis sélectionnez Profil. Modifiez la section Paramètres et remplacez Bloquer la connexion par Non. Pour plus d’informations, consultez Ajouter ou mettre à jour les informations du profil de l’utilisateur avec Microsoft Entra ID. Vous pouvez également vérifier si l’utilisateur a été bloqué en raison d’une détection des risques Protection des ID Microsoft Entra.
Dans le portail Mon Accès, si un utilisateur est à la fois demandeur et approbateur, il ne peut pas voir sa demande de package d’accès dans la page Approbations. Ce comportement est intentionnel : un utilisateur ne peut pas approuver sa propre demande. Vérifiez que le package d’accès demandé compte des approbateurs supplémentaires configurés sur la stratégie. Pour plus d’informations, consultez Changer les paramètres de demande et d’approbation pour un package d’accès.
Afficher les erreurs de remise d’une requête
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.
Conseil
D’autres rôles de privilège minimum pouvant effectuer cette tâche incluent le Propriétaire du catalogue, le Gestionnaire de package d’accès et le Gestionnaire d’attribution de package d’accès.
Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès.
Sélectionnez Requêtes.
Sélectionnez la requête à afficher.
Si la requête contient des erreurs de livraison, l’état de la demande est Non livrée ou Partiellement livrée.
Le cas échéant, un décompte des erreurs de livraison est affiché dans le volet des détails de la requête.
Sélectionnez ce nombre pour voir toutes les erreurs de livraison de la requête.
Retraiter une demande
Si une erreur est rencontrée après le déclenchement d’une demande de retraitement d’un package d’accès, vous devez patienter pendant que le système retraite la demande. Le système essaie de retraiter à plusieurs reprises et sur une période de plusieurs heures, vous ne pouvez donc pas forcer le retraitement pendant cette période.
Vous ne pouvez retraiter qu’une demande dont l’état est Échec de livraison ou Partiellement remis avec une date de fin inférieure à une semaine. Dans le cas contraire, le bouton Retraiter est grisé.
Si l’erreur est corrigée pendant la fenêtre d’essais, l’état de la demande passe à Livraison en cours. La requête est à nouveau traitée sans autres actions de l’utilisateur.
Si l’erreur n’a pas été corrigée pendant la fenêtre d’essais, l’état de la demande peut être Échec de livraison ou Partiellement livrée. Vous pouvez ensuite utiliser le bouton Retraiter. Vous avez sept jours pour traiter à nouveau la requête.
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.
Conseil
D’autres rôles de privilège minimum pouvant effectuer cette tâche incluent le Propriétaire du catalogue, le Gestionnaire de package d’accès et le Gestionnaire d’attribution de package d’accès.
Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès pour ouvrir un package d’accès.
Sélectionnez Requêtes.
Sélectionnez la demande à retraiter.
Dans le volet des détails de la requête, sélectionnez Retraiter la demande.
Annuler une demande en attente
Vous pouvez uniquement annuler une requête en attente qui n’a pas encore été livrée ou dont la livraison a échoué. Dans le cas contraire, le bouton Annuler est grisé.
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.
Conseil
D’autres rôles de privilège minimum pouvant effectuer cette tâche incluent le Propriétaire du catalogue, le Gestionnaire de package d’accès et le Gestionnaire d’attribution de package d’accès.
Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès pour ouvrir un package d’accès.
Sélectionnez Requêtes.
Sélectionnez la requête à annuler.
Dans le volet des détails de la requête, sélectionnez Annuler la demande.
Stratégies d’affectation automatique
- Chaque politique d’attribution automatique peut inclure au maximum 15 000 utilisateurs dans le champ d’application de sa règle. D’autres utilisateurs dans l’étendue de la règle peuvent ne pas se voir attribuer d’accès.
Stratégies multiples
La gestion des droits d’utilisation suit les meilleures pratiques des privilèges minimum. Lorsqu’un utilisateur demande l’accès à un package d’accès auquel plusieurs stratégies s’appliquent, la gestion des droits d’utilisation comporte une logique qui permet de garantir que les stratégies plus strictes ou plus spécifiques sont prioritaires par rapport aux stratégies génériques. Si une stratégie est générique, la gestion des droits d’utilisation est susceptible de ne pas la présenter au demandeur ou d’en sélectionner automatiquement une plus stricte.
Prenons par exemple un package d’accès comportant deux stratégies pour les utilisateurs dans le répertoire, qui s’appliquent toutes deux au demandeur. La première concerne des utilisateurs spécifiques, dont fait partie le demandeur. La deuxième stratégie concerne tous les utilisateurs dans le répertoire. Dans ce scénario, la première stratégie est automatiquement sélectionnée pour le demandeur, car elle est plus stricte. Le demandeur n’a pas la possibilité de sélectionner la deuxième.
Lorsque plusieurs stratégies s’appliquent, la stratégie sélectionnée automatiquement ou les stratégies présentées au demandeur suivent la logique de priorité suivante :
Priorité de la stratégie Étendue P1 Utilisateurs et groupes spécifiques du répertoire OU Organisations connectées spécifiques P2 Tous les membres du répertoire (à l’exception des invités) P3 Tous les utilisateurs du répertoire (y compris les invités) OU Organisations connectées spécifiques P4 Toutes les organisations connectées configurées OU Tous les utilisateurs (toutes les organisations connectées + tous les nouveaux utilisateurs externes) Si une stratégie se trouve dans une catégorie de priorité plus élevée, les catégories de priorité inférieure sont ignorées. Pour savoir par le biais d’un exemple comment plusieurs stratégies de même priorité sont présentées au demandeur, voir Sélectionner une stratégie.