Décrire la Gouvernance des ID Microsoft Entra

  • 4 minutes

Microsoft Entra ID Governance vous permet de bénéficier de la visibilité et des processus appropriés pour répondre aux besoins de votre organisation en termes de sécurité et de productivité des employés. À mesure que les rôles des employés changent au sein d’une organisation, vous pouvez utiliser Gouvernance Microsoft Entra ID pour vous assurer automatiquement que les bonnes personnes ont l’accès approprié aux ressources appropriées, avec l’automatisation des processus d’identité et d’accès, la délégation à des groupes métier et une visibilité accrue.

La Gouvernance des ID permet aux organisations d’effectuer les tâches suivantes :

  • Gouverner le cycle de vie des identités.
  • Gouverner le cycle de vie des accès.
  • Sécuriser l’accès privilégié pour l’administration.

Ces actions peuvent être effectuées pour les employés, les partenaires commerciaux et les fournisseurs, ainsi qu’entre les services et applications, localement et dans le cloud.

Cette solution est destinée à aider les entreprises à répondre à ces quatre questions clés :

  • Quels utilisateurs doivent pouvoir accéder à quelles ressources ?
  • Que font les utilisateurs de cet accès ?
  • Des contrôles organisationnels efficaces sont-ils disponibles pour gérer l’accès ?
  • Des auditeurs peuvent-ils vérifier que les contrôles fonctionnent ?

Cycle de vie des identités

La gestion du cycle de vie des identités des utilisateurs est au cœur de la gouvernance des identités.

Lors de la planification de la gestion du cycle de vie des identités pour les employés, par exemple, de nombreuses organisations modélisent le processus « rejoindre, déplacer et quitter ». Quand une personne rejoint une organisation pour la première fois, une nouvelle identité numérique est créée s’il n’y en a pas déjà une à disposition. Quand une personne se déplace entre des limites, il peut être nécessaire d’ajouter ou de supprimer des autorisations d’accès à son identité numérique. Lorsqu'une personne quitte l'entreprise, l'accès peut devoir être supprimé et l'identité peut ne plus être nécessaire, sauf à des fins d'audit.

Le diagramme qui suit montre une version simplifiée du cycle de vie des identités.

Diagramme montrant le cycle de vie des identités des employés. Ce cycle est représenté sous la forme d’un cercle, qui débute par une phase sans accès, suivie d’une phase d’intégration dans l’organisation, d’une phase de changement de rôle, et enfin d’une phase de départ de l’organisation. Puis, le cycle recommence.

Pour de nombreuses organisations, ce cycle de vie des identités pour les employés est lié à la représentation de cet utilisateur dans un système de ressources humaines (RH), tel que Workday ou SuccessFactors. Le système RH fait autorité pour fournir la liste actuelle des employés et certaines de leurs propriétés, telles que le nom ou le service. Les organisations doivent automatiser le processus de création d’une identité pour un nouvel employé, déclenché par un signal provenant de leur système RH, afin que l’employé puisse être productif dès le premier jour.

Dans Gouvernance Microsoft Entra ID, vous pouvez automatiser le cycle de vie des identités des utilisateurs en utilisant :

  • L’approvisionnement entrant provenant des sources RH de votre organisation pour gérer automatiquement les identités utilisateur à la fois dans Microsoft Entra ID et dans Active Directory.
  • Des workflows de cycle de vie pour automatiser les tâches des workflows qui s’exécutent lors de certains événements clés, par exemple avant qu’un nouvel employé ne commence à travailler au sein de l’organisation, à mesure qu’il change de statut pendant qu’il travaille pour l’organisation, et quand il quitte celle-ci.
  • Stratégies d’attribution automatique dans la gestion des droits d’utilisation pour ajouter et supprimer les appartenances aux groupes d’un utilisateur, les rôles d’application et les rôles de site SharePoint, en fonction des modifications apportées aux attributs de l’utilisateur. Les informations sur la gestion des droits d’utilisation sont traitées dans une unité ultérieure.
  • L’approvisionnement des utilisateurs pour créer, mettre à jour et supprimer des comptes d’utilisateurs dans d’autres applications, avec des connecteurs vers des centaines d’applications cloud et locales.

En règle générale, la gestion du cycle de vie d’une identité consiste à mettre à jour l’accès dont les utilisateurs ont besoin, que ce soit via l’intégration à un système RH ou via des applications de provisionnement d’utilisateurs.

Cycle de vie des accès

Le cycle de vie de l'accès est le processus de gestion de l'accès tout au long de la vie organisationnelle de l'utilisateur. Les utilisateurs ont besoin de différents niveaux d'accès depuis le moment où ils rejoignent une organisation jusqu'à celui où ils la quittent. À différentes étapes entre les deux, ils ont besoin de droits d’accès à différentes ressources en fonction de leur rôle et de leurs responsabilités.

Les organisations ont besoin d’un processus pour gérer l’accès au-delà de ce qui a été initialement configuré pour un utilisateur lors de la création de son identité. En outre, les entreprises doivent pouvoir procéder efficacement à une mise à l’échelle pour être en mesure de développer et d’appliquer des contrôles et une stratégie d’accès de manière continue.

Avec Gouvernance Microsoft Entra ID, les services informatiques peuvent établir les droits d’accès dont les utilisateurs doivent disposer sur différentes ressources, ainsi que les vérifications nécessaires de leur application.

Les organisations peuvent automatiser le processus du cycle de vie des accès grâce à des technologies telles que les groupes dynamiques. Les groupes dynamiques permettent aux administrateurs de créer des règles basées sur les attributs pour déterminer l’appartenance à des groupes. Lorsqu’un attribut d’un utilisateur ou d’un appareil change, le système évalue toutes les règles de groupe dynamique d’un annuaire pour voir si la modification déclenche des ajouts ou suppressions d’utilisateurs dans un groupe. Si un utilisateur ou un appareil respecte une règle d’un groupe, il est ajouté en tant que membre de ce groupe. S’ils ne répondent plus à la règle, ils sont supprimés.

La gestion des droits d’utilisation permet aux organisations de définir comment les utilisateurs demandent l’accès pour différents packages d’appartenance aux groupes et aux équipes, aux rôles d’application et aux rôles SharePoint Online, et d’appliquer des vérifications sur la séparation des tâches pour les demandes d’accès.

Les organisations peuvent passer en revue les droits d’accès régulièrement en utilisant des révisions d’accès Microsoft Entra récurrentes pour la recertification des accès.

Cycle de vie des accès privilégiés

La surveillance de l’accès privilégié est un élément clé de la gouvernance des identités. Lorsque les employés, les fournisseurs et les sous-traitants se voient attribuer des droits d’administration, il doit y avoir un processus de gouvernance en raison du risque d’utilisation abusive.

Microsoft Entra Privileged Identity Management (PIM) fournit des contrôles supplémentaires personnalisés pour la sécurisation des droits d’accès. PIM vous aide à réduire le nombre de personnes ayant accès aux ressources dans Microsoft Entra ID, Azure et d’autres services en ligne Microsoft Online Services. PIM fournit un ensemble complet de contrôles de gouvernance pour vous aider à sécuriser les ressources de votre entreprise.

Diagramme montrant le cycle de vie des droits d’accès des identités. Le cycle de vie est représenté sous la forme d’un cercle, qui débute par une phase sans administrateur, suivie d’une phase avec un premier rôle d’administrateur, d’une phase avec un deuxième rôle d’administrateur, puis de la sortie du service informatique.