Agent de révision d’accès

Dites au revoir à la recherche fastidieuse et à l’incertitude des décisions pressées. L’Agent de révision d’accès fonctionne pour vos réviseurs en collectant automatiquement des insights et en générant des recommandations. Il guide ensuite les réviseurs dans le processus de révision dans Microsoft Teams avec un langage naturel, avec des résumés simples et des décisions proposées, afin qu’ils puissent passer l’appel final avec confiance et clarté.

Prerequisites

• Vous devez disposer de licences Microsoft Entra ID Governance ou Microsoft Entra Suite.
• Vous devez intégrer Security Copilot avec au moins une unité de calcul de sécurité (SCU) provisionnée.
  • La réalisation d’une révision d’accès incluant 20 décisions consomme en moyenne 4,5 SCU. Cela inclut l’agent qui collecte des insights et génère des recommandations et la conversation en langage naturel du réviseur dans Microsoft Teams avec l’agent. La consommation de la SCU peut varier en fonction de la longueur de conversation entre le réviseur et l’agent.
• Les administrateurs doivent avoir au moins tous les rôles suivants pour configurer et gérer l’agent dans le Centre d’administration Microsoft Entra :
  • Administrateur de gouvernance des identités
  • Administrateur des workflows de cycle de vie
  • Contributeur Copilot Sécurité dans Copilot Sécurité
• Pour que les réviseurs utilisent l’agent de révision d’accès, ils doivent avoir accès à Microsoft Teams et doivent disposer d’une révision d’accès active qui leur est attribuée. Ils doivent également avoir au moins le rôle Contributeur Copilot Security qui leur est attribué.
• Passer en revue la confidentialité et la sécurité des données dans Microsoft Security Copilot

Limites

• Une fois les agents démarrés, ils ne peuvent pas être arrêtés ou suspendus. L'exécution peut prendre quelques minutes.
• Nous vous recommandons d’exécuter l’agent à partir du Centre d’administration Microsoft Entra.

Scénarios pris en charge

Les tableaux suivants montrent la prise en charge actuelle de l’Agent de révision d’accès en fonction des scénarios de révision :

Fonctionnement

L’agent de révision d’accès analyse de manière proactive les révisions d’accès actives dans votre locataire qui sont signalées pour traitement par l’agent. L’agent analyse ensuite les révisions identifiées en collectant des insights supplémentaires et génère une recommandation (approuver/refuser) et un résumé de justification pour chaque décision. Une fois que l’agent analyse les recommandations et les résumés de justification correspondants, il est en mesure de guider les réviseurs, en langage naturel, via le processus de révision dans Microsoft Teams. Les réviseurs sont autorisés à effectuer leurs révisions par le biais de l’expérience de conversation en langage naturel dans Microsoft Teams. À mesure que l’agent les guide tout au long de la révision, il peut examiner le raisonnement de l’agent derrière les recommandations, poser des questions dans le contexte de l’examen lui-même et enfin prendre sa propre décision éclairée.

La recommandation des agents (approuver/refuser) pour chaque décision s’appuie sur un mécanisme de scoring déterministe alimenté par plusieurs signaux. Les signaux utilisés pour la recommandation sont ensuite utilisés pour fournir un résumé de justification convivial à l’utilisateur final alimenté par un modèle de langage volumineux (LLM). L’expérience de conversation en langage naturel suivante dans Microsoft Teams est facilitée par le modèle de langage volumineux avec des recommandations et des résumés de justification précédemment générés en tant que contexte disponible.

L’agent prend en compte les signaux suivants :

• Inactivité de l’utilisateur : si l’utilisateur s’est connecté
• Affiliation de l’utilisateur à groupe : si l’utilisateur a une faible affiliation avec d’autres utilisateurs disposant de cet accès
• Compte activé : si le compte de l’utilisateur est activé (propriété accountEnabled)
• État de l’emploi : si l’emploi de l’utilisateur s’est terminé (propriété employeeLeaveDateTime)
• Historique des flux de travail de cycle de vie : si l’utilisateur a eu un flux de travail de déplacement exécuté pour lui au cours des 30 derniers jours
• Décisions des révisions précédentes : pour les révisions périodiques, les décisions des itérations de révision précédentes sont prises en compte
• Historique des demandes d’accès : pour les révisions d’affectation de package d’accès, l’historique des demandes et des approbations est pris en compte.

En tant qu’administrateur, vous pouvez passer en revue les recommandations (approuver/refuser) et les résumés de justification. Pour plus d’informations, consultez les journaux et les métriques de l’Agent de révision d’accès (préversion). Notez que les recommandations de l’agent peuvent différer des recommandations affichées sur le portail My Access et l’expérience révision d’accès dans le Centre d’administration Microsoft Entra.

Mise en route

Configuration de l’agent de révision d’accès

1. Avec un compte qui a au moins tous les rôles suivants, connectez-vous au Centre d’administration Microsoft Entra :

   • Administrateur de gouvernance des identités
   • Administrateur des workflows de cycle de vie
   • Contributeur Copilot de sécurité

2. Dans la nouvelle page d'accueil, sélectionnez Accéder aux agents à partir de la carte de notification de l'agent.

   • Vous pouvez également sélectionner Agents dans le menu de navigation de gauche.

3. Sélectionnez Afficher les détails de la vignette Agent de révision d’accès.

4. Sélectionnez Démarrer l’agent pour commencer votre première exécution.

   • Évitez d’utiliser un compte avec un rôle activé via PIM.
   • Un message indiquant que « L’agent démarre sa première exécution » apparaît dans le coin supérieur droit.
   • Le premier cycle peut prendre quelques minutes.

Activer l’agent de révision d’accès pour les révisions d’accès existantes

Une fois l’agent de révision d’accès démarré, vous devez marquer les révisions d’accès à traiter par l’agent de révision d’accès. L’agent de révision d’accès est en mesure de traiter les révisions d’accès nouvelles et existantes. Les sections suivantes vous guident tout au long du traitement de la révision d’accès par l’agent de révision d’accès.

Activer l’agent de révision d’accès pour les révisions d’accès de groupe et d’application existantes

Pour mettre à jour une révision d’accès existante à traiter par l’Agent de révision d’accès, procédez comme suit :

1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’administrateur de la gouvernance des identités au minimum.

2. Accédez à Gouvernance d'ID>Révisions d'accès.

3. Sélectionnez la révision d’accès à prendre en charge par l’agent.

4. Dans la page vue d’ensemble de la révision d’accès, sélectionnez Paramètres sous Gérer s’il s’agit d’une révision ponctuelle, ou Paramètres sous Série s’il s’agit d’une révision périodique.

5. Sous Paramètres avancés, cochez la case sur le paramètre qui indique Access Review Agent (préversion) .

6. Cliquez sur Enregistrer.

Activer l’Agent de révision d’accès pour les révisions d’affectation de package d’accès existantes

Pour mettre à jour une révision d’accès existante à traiter par l’Agent de révision d’accès, procédez comme suit :

1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’administrateur de la gouvernance des identités au minimum.

2. Accédez à Gouvernance des identifiants>Gestion des droits>Package d'accès.

3. Sélectionnez le package d’accès que vous souhaitez prendre en charge par l’agent.

4. Dans la page vue d’ensemble du package d’accès, sélectionnez Stratégies, puis sélectionnez la stratégie à mettre à jour et sélectionnez Modifier.

5. Dans la page modifier la stratégie, sélectionnez Cycle de vie.

6. Sous l’onglet Cycle de vie, sélectionnez Paramètres avancés de révision d’accès et cochez la case Activer dans le paramètre indiquant Access Review Agent (préversion) .

7. Cliquez sur Enregistrer.

Vérifier que les réviseurs peuvent utiliser l’agent de révision d’accès

Les réviseurs accèdent à l’Agent de révision d’accès via une application Microsoft Teams. Si les paramètres d’application à l’échelle de l’organisation microsoft Teams de votre organisation autorisent l’absence d’action requise pour les applications Microsoft. Si votre organisation a désactivé les applications Microsoft dans les paramètres d’application à l’échelle de l’organisation Microsoft Teams, l’administrateur Microsoft Teams de votre organisation doit approuver explicitement l’application.

Vous devez également vous assurer que tous les réviseurs ont au moins le rôle Contributeur Copilot de sécurité afin qu’ils puissent utiliser l’agent pour terminer leurs révisions. Cela est nécessaire, car la conversation en langage naturel dans Microsoft Teams ouvre une session Microsoft Security Copilot en arrière-plan. Les réviseurs participants accèdent à l’expérience agentique via Microsoft Teams, mais avec l’attribution de rôle, ils ont le droit d’accéder au portail Security Copilot ou à l’expérience Security Copilot dans d’autres portails d’administration microsoft Security. Si les réviseurs accèdent à Security Copilot en dehors de Microsoft Teams, leur accès aux données avec Security Copilot est toujours soumis aux autorisations utilisateur par défaut.

Utilisation de l’agent de révision d’accès en tant que réviseur

Avec le démarrage de l’Agent de révision d’accès, les réviseurs ont attribué des autorisations appropriées et l’application qui leur est disponible, vos réviseurs sont maintenant prêts à effectuer leurs révisions avec l’aide de l’agent. L’agent de révision d’accès est accessible directement dans Microsoft Teams (lien direct). Les notifications par e-mail de révision d’accès envoyées aux réviseurs incluent également un lien direct vers Microsoft Teams.

1. Ouvrez votre application Microsoft Teams connectée en tant qu’utilisateur affecté en tant que réviseur.

2. Sélectionnez le lien Agent de révision d’accès pour ouvrir l’agent

3. Dans la page Applications, recherchez l’Agent de révision d’accès, puis sélectionnez Ajouter.

4. Une fois l’agent ajouté, sélectionnez Ouvrir.

5. Lorsque vous êtes ouvert, vous pouvez sélectionner l’invite disponible pour démarrer la conversation avec l’agent

Paramètres

Une fois l’agent activé, vous pouvez ajuster quelques paramètres. Vous pouvez accéder aux paramètres en procédant comme suit dans le Centre d’administration Microsoft Entra :

• À partir des paramètres del’agent de révision d’accès des>agents>.

Déclencheur

L’agent est configuré pour s’exécuter toutes les 24 heures en fonction du moment où il est initialement configuré. Vous pouvez l’exécuter à un moment spécifique en désactivant le paramètre Déclencheur , puis en arrière lorsque vous souhaitez qu’il s’exécute.

Suppression de l’agent

Si vous ne souhaitez plus utiliser l’agent de révision d’accès, sélectionnez Supprimer l’agent en haut de la fenêtre de l’agent. L’activité et les métriques de l’agent existantes sont supprimées, mais les recommandations et les justifications pour les révisions déjà traitées sont conservées par l’agent dans Microsoft Teams et continuent à être en mesure d’aider les réviseurs avec ces révisions. Pour terminer la suppression, vous devez également annuler la suppression des révisions d’accès précédemment marquées pour être traitées par l’agent.

Désactiver l’agent de révision d’accès pour les révisions d’accès aux groupes et aux applications existants

1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’administrateur de la gouvernance des identités au minimum.

2. Accédez à la gouvernance des identités>Examens d'accès.

3. Sélectionnez la révision d’accès sur laquelle la prise en charge de l’agent est activée.

4. Dans la page vue d’ensemble de la révision d’accès, sélectionnez Paramètres sous Gérer s’il s’agit d’une révision ponctuelle, ou Paramètres sous Série s’il s’agit d’une révision périodique.

5. Sous Paramètres avancés, décochez la case sur le paramètre qui indique Access Review Agent (préversion) .

6. Cliquez sur Enregistrer.

Désactiver l’Agent de révision d’accès pour les révisions d’affectation de package d’accès existantes

1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’administrateur de la gouvernance des identités au minimum.

2. Accédez à Gouvernance des identifiants>Gestion des droits>Package d'accès.

3. Sélectionnez le package d’accès que vous souhaitez prendre en charge par l’agent.

4. Dans la page vue d’ensemble du package d’accès, sélectionnez Stratégies, puis sélectionnez la stratégie à mettre à jour et sélectionnez Modifier.

5. Dans la page modifier la stratégie, sélectionnez Cycle de vie.

6. Sous l’onglet Cycle de vie, cochez la case Désactiver dans le paramètre qui indique Access Review Agent (préversion) .

7. Cliquez sur Enregistrer.

Révoquer l’accès Security Copilot

Vous pouvez révoquer l’accès contributeur Du copilote de sécurité des réviseurs si aucun autre scénario ne les oblige à accéder à Security Copilot.

Identité et autorisations

Une identité d’agent unique est créée lorsque l’agent est activé. Pour plus d’informations, consultez : gérer les identités d’agent.

L'agent utilise cette identité pour analyser votre tenant afin de détecter des examens d'accès actifs, recueillir des informations supplémentaires et enregistrer ses recommandations et justifications pour l'examinateur. Pour plus d’informations, consultez : Fonctionnement

Permissions

• Obtenir des détails pour les révisions d’accès
• Lire les détails et l’historique du flux de travail du cycle de vie des utilisateurs, des groupes, des applications et des packages d’accès
• Enregistrer les recommandations et les justifications de révision d’accès

Les décisions finales, soumises par le biais de la conversation Microsoft Teams, utilisent l’identité du réviseur.

La page paramètres de l’agent affiche l’identité actuellement affectée à l’agent :

Si votre agent a été précédemment configuré à l’aide de l’identité d’un administrateur, vous devez le migrer vers une identité d’agent dédiée. Effectuez cette migration en sélectionnant l’option « Créer une identité d’agent » située dans la bannière bleue de la page vue d’ensemble de l’agent ou dans la page paramètres de l’agent.

Envoi de commentaires

Utilisez le bouton Donner des commentaires Microsoft en haut de la fenêtre de l’agent pour fournir des commentaires à Microsoft sur l’agent.

Questions fréquentes (FAQ)

Pourquoi l’agent dans Microsoft Teams répond-il avec « Il semble que l’agent de révision d’accès n’a pas encore été activé pour votre organisation ou a rencontré des problèmes inattendus. Contactez votre service informatique pour obtenir de l’aide. En attendant, vous pouvez effectuer vos révisions en attente dans le portail Mon accès » ?

Si l’agent répond avec ce message, il est probable que le programme d’installation de l’agent, tel que le démarrage de l’agent, l’attribution de l’accès de relecteurs Security Copilot et l’activation de l’agent pour les révisions existantes, n’est pas terminée.

Pourquoi l’agent dans Microsoft Teams répond-il avec « Les choses sont un peu occupées à l’instant, et je n’ai pas pu traiter votre demande pour le moment. Pourriez-vous réessayer en un peu de temps ? Si vous êtes pressé, le portail Mon accès est toujours disponible.

L’agent répond avec ce message si votre locataire n’est pas approvisionné et surapprovisionnement de la capacité copilote de sécurité.

Contenu connexe

• Journaux et métriques de l’Agent de révision d’accès (préversion)
• Passer en revue les recommandations pour les révisions d’accès
• En savoir plus sur Microsoft Security Copilot