Partager via

En savoir plus sur les types de groupes, les types d’appartenance et la gestion des accès

Microsoft Entra ID fournit plusieurs façons de gérer l’accès aux ressources, aux applications et aux tâches. Avec les groupes Microsoft Entra, vous pouvez accorder l’accès et les autorisations à un groupe d’utilisateurs au lieu de chaque utilisateur individuel. Limiter l’accès aux ressources Microsoft Entra aux seuls utilisateurs qui ont besoin d’un accès est l’un des principes de sécurité clés de la Confiance Zéro.

Cet article fournit une vue d’ensemble de la façon dont les groupes et les droits d’accès peuvent être utilisés ensemble pour faciliter la gestion de vos utilisateurs Microsoft Entra, tout en appliquant également les meilleures pratiques de sécurité.

Note

Certains groupes ne peuvent pas être gérés dans le portail Azure ou dans le Centre d’administration Microsoft Entra.

  • Les groupes synchronisés à partir d’Active Directory local ne peuvent être gérés que localement.
  • Les listes de distribution et les groupes de sécurité à extension messagerie ne peuvent être gérés que dans le Centre d’administration Exchange ou dans le Centre d’administration Microsoft 365. Vous devez vous connecter et disposer des autorisations appropriées pour ce centre d’administration pour gérer ces groupes.

Vue d’ensemble des groupes Microsoft Entra

Une utilisation efficace des groupes peut réduire les tâches manuelles, telles que l’attribution de rôles et d’autorisations à des utilisateurs individuels. Vous pouvez attribuer des rôles à un groupe et affecter des membres à un groupe en fonction de leur fonction de travail ou de leur service. Vous pouvez créer une stratégie d’accès conditionnel qui s’applique à un groupe, puis affecter la stratégie au groupe. En raison des utilisations potentielles pour les groupes, il est important de comprendre comment ils fonctionnent et comment ils sont gérés.

Types de groupes

Vous pouvez gérer deux types de groupes dans le Centre d’administration Microsoft Entra :

  • Groupes de sécurité : Permet de gérer l’accès aux ressources partagées.

    • Les membres d’un groupe de sécurité peuvent inclure des utilisateurs, des appareils, des principaux de service.
    • Les groupes peuvent être membres d’autres groupes, parfois appelés groupes imbriqués. Voir la note.
    • Les utilisateurs et les principaux de service peuvent être propriétaires d’un groupe de sécurité.

  • Groupes Microsoft 365 : Offrir des opportunités de collaboration.

    • Les membres d’un groupe Microsoft 365 peuvent uniquement inclure des utilisateurs.
    • Les utilisateurs et les principaux de service peuvent être propriétaires d’un groupe Microsoft 365.
    • Les personnes extérieures à votre organisation peuvent être membres d’un groupe.
    • Pour plus d’informations, consultez En savoir plus sur les groupes Microsoft 365.

Note

Lors de l’imbrication d’un groupe de sécurité existant à un autre groupe de sécurité, seuls les membres du groupe parent ont accès aux ressources et applications partagées. Pour plus d’informations sur la gestion des propriétaires de groupes, consultez l’article Gérer des groupes.

Types d’appartenances

  • Groupes affectés : vous permet d’ajouter des utilisateurs spécifiques comme membres d’un groupe et d’avoir des autorisations uniques.
  • Groupe d’appartenance dynamique pour les utilisateurs : Vous permet d’utiliser des règles pour ajouter et supprimer automatiquement des utilisateurs en tant que membres. Si les attributs d’un membre changent, le système examine vos règles relatives aux groupes d’appartenance dynamique pour le répertoire. Le système vérifie si le membre répond aux exigences des règles, auquel cas il est ajouté, ou s'il n'y répond plus, auquel cas il est supprimé.
  • Groupe d’appartenance dynamique pour les appareils : Vous permet d’utiliser des règles pour ajouter et supprimer automatiquement des appareils en tant que membres. Si les attributs d’un appareil changent, le système examine vos règles de groupe d'appartenance dynamique par rapport au répertoire. Le système vérifie alors si l'appareil répond aux exigences des règles, auquel cas il est ajouté, ou s'il n'y répond plus, auquel cas il est supprimé.

Importante

Vous pouvez créer un groupe dynamique pour des appareils ou pour des utilisateurs, mais pas pour les deux. Vous ne pouvez pas créer un groupe d’appareils basé sur des attributs des propriétaires d’appareils. Les règles d’appartenance d’appareil peuvent référencer uniquement des attributions d’appareils. Pour plus d’informations, consultez Créer un groupe dynamique.

Gestion de l’accès

Microsoft Entra ID vous permet d’accéder aux ressources de votre organisation en fournissant des droits d’accès à un seul utilisateur ou à un groupe. L’utilisation de groupes permet au propriétaire de la ressource ou au propriétaire du répertoire Microsoft Entra d’attribuer un ensemble d’autorisations d’accès à tous les membres du groupe. Le propriétaire de la ressource ou de l’annuaire peut également accorder des droits de gestion de groupe à une personne telle qu’un responsable de service ou un administrateur du support technique, ce qui permet à cette personne d’ajouter et de supprimer des membres. Pour plus d’informations sur la gestion des propriétaires de groupes, consultez l’article Gérer des groupes.

Les ressources auxquelles les groupes Microsoft Entra peuvent gérer l’accès peuvent être les suivantes :

  • Partie de votre organisation Microsoft Entra, telle que des autorisations pour gérer les utilisateurs, les applications, la facturation et d’autres objets.
  • Externe à votre organisation, comme les applications SaaS (Software as a Service) non-Microsoft.
  • Services Azure
  • Sites SharePoint
  • Ressources locales

Chaque application, ressource et service qui nécessite des autorisations d’accès doit être gérée séparément, car les autorisations pour une application peuvent ne pas être identiques à celles d’une autre. Accordez l’accès à l’aide du principe du moindre privilège pour réduire le risque d’attaque ou de violation de sécurité.

Types d’affectation

Après avoir créé un groupe, vous devez décider comment gérer son accès.

  • Assignation directe. Le propriétaire de la ressource assigne directement l’utilisateur à la ressource.

  • Assignation de groupe. Le propriétaire de la ressource assigne un groupe Microsoft Entra à la ressource, ce qui accorde automatiquement l’accès à la ressource à tous les membres du groupe. Le propriétaire du groupe et le propriétaire de la ressource gèrent tout deux l'appartenance au groupe, ce qui leur permet d’ajouter ou de supprimer des membres du groupe. Pour plus d’informations sur la gestion des appartenances à des groupes, consultez l’article Groupes gérés.

  • Assignation basée sur des règles. Le propriétaire de la ressource crée un groupe et utilise une règle pour définir quels sont les utilisateurs assignés à une ressource spécifique. La règle est basée sur des attributs qui sont assignés à des utilisateurs individuels. Le propriétaire de la ressource gère la règle, en déterminant les attributs et les valeurs nécessaires pour autoriser l’accès à la ressource. Pour plus d’informations, consultez Créer un groupe dynamique.

  • Assignation d’autorité externe. L’accès provient d’une source externe, comme un répertoire local ou une application SaaS. Dans cette situation, le propriétaire de la ressource assigne un groupe pour fournir l’accès à la ressource, puis la source externe gère les membres du groupe.

Meilleures pratiques pour la gestion des groupes dans le cloud

Voici les meilleures pratiques pour la gestion des groupes dans le cloud :

  • Activer la gestion des groupes en libre-service : Permettre aux utilisateurs de rechercher et de joindre des groupes ou de créer et gérer leurs propres groupes Microsoft 365.
    • Permet aux équipes de s’organiser tout en réduisant la charge administrative sur le service informatique.
    • Appliquez une stratégie de nommage de groupe pour bloquer l’utilisation de mots restreints et garantir la cohérence.
    • Empêchez les groupes inactifs de persister en activant les politiques d'expiration de groupes, qui suppriment automatiquement les groupes inutilisés après une période spécifiée, sauf si un propriétaire de groupe renouvelle le groupe.
    • Configurez des groupes pour accepter automatiquement tous les utilisateurs qui rejoignent ou nécessitent une approbation.
    • Pour plus d’informations, consultez Configurer la gestion de groupes en libre-service dans Microsoft Entra ID.
  • Tirez parti des étiquettes de confidentialité : Utilisez des étiquettes de confidentialité pour classifier et régir les groupes Microsoft 365 en fonction de leurs besoins en matière de sécurité et de conformité.
  • Automatisez l’appartenance à des groupes dynamiques : Implémentez des règles d’appartenance dynamique pour ajouter ou supprimer automatiquement des utilisateurs et des appareils de groupes en fonction d’attributs tels que le service, l’emplacement ou le titre du travail.
    • Réduit les mises à jour manuelles et réduit le risque d’accès persistant.
    • Cette fonctionnalité s’applique aux groupes Microsoft 365 et aux groupes de sécurité.
  • Effectuer des révisions d’accès périodiques : Utilisez les fonctionnalités de gouvernance des identités Microsoft Entra pour planifier des révisions d’accès régulières.
  • Gérer l’appartenance avec des packages d’accès : Créez des packages d’accès avec Microsoft Entra Identity Governance pour simplifier la gestion de plusieurs appartenances à un groupe. Les packages d’accès peuvent :
  • Attribuez plusieurs propriétaires de groupe : Affectez au moins deux propriétaires à un groupe pour garantir la continuité et réduire les dépendances d’un seul individu.
  • Utilisez des licences basées sur des groupes : La gestion des licences basées sur un groupe simplifie l’approvisionnement des utilisateurs et garantit des attributions de licence cohérentes.
  • Appliquer des contrôles d’accès en fonction du rôle (RBAC) : Attribuez des rôles pour contrôler qui peut gérer les groupes.

Contenu connexe

  • Last updated on