Les modèles PIM Access Review vous permettent de configurer des révisions récurrentes pour les accès privilégiés gérés via Microsoft Entra Privileged Identity Management (PIM). Ces modèles prennent en charge la validation périodique des accès élevés afin de contribuer à réduire les privilèges excessifs et à répondre aux exigences internes de Governance ou de conformité.

Les modèles PIM Access Review peuvent être utilisés pour examiner des scénarios tels que :

• Affectations de rôles permanentes
• Affectations de rôles éligibles, y compris les affectations de rôles activées, éligibles à durée limitée et éligibles permanentes.

Configurer les autorisations Microsoft Entra pour les modèles PIM access review

Les modèles PIM access review nécessitent un enregistrement d’application Microsoft Entra dédié ainsi que des autorisations d’application Microsoft Graph spécifiques avant de pouvoir être utilisés.

La configuration s’applique uniquement aux modèles suivants :

• Rôles d’administrateur avec affectations permanentes
• Rôles d’administrateur avec affectations éligibles

Sans cette configuration, ces deux modèles restent indisponibles. Les autres modèles d’access review ne sont pas affectés.

Pourquoi cette configuration est requise

Microsoft Entra Privileged Identity Management pour les rôles d’annuaire est exposé via la gestion des rôles Microsoft Graph et les API de planification. Pour récupérer les données requises pour ces révisions, la plateforme a besoin d’une identité d’application approuvée par le tenant avec accès aux données pertinentes de planification des affectations de rôles et d’éligibilité.

Prérequis

L’administrateur qui effectue la configuration doit disposer d’autorisations suffisantes dans le tenant pour créer ou gérer des enregistrements d’application et pour accorder le consentement administrateur pour les autorisations d’application.

Configurer l’application dans Microsoft Entra

Étape 1 : créer un enregistrement d’application

1. Connectez-vous au centre d’administration Microsoft Entra.
2. Accédez à « Entra ID » > « Enregistrements d’application ».
3. Sélectionnez « Nouvel enregistrement ».

4. Saisissez un nom explicite, par exemple « CoreView PIM Access Review ».
5. Sous « Types de comptes pris en charge », sélectionnez l’option appropriée pour le tenant. 
6. Sélectionnez « Enregistrer ».

Après l’enregistrement, l’« ID d’application (client) » est disponible sur la page « Vue d’ensemble » de l’application.

Étape 2 : ajouter des autorisations d’application Microsoft Graph

1. Ouvrez le nouvel enregistrement d’application.
2. Accédez à « Autorisations d’API ».
3. Sélectionnez « Ajouter une autorisation ».

4. Choisissez « Microsoft Graph ».
5. Choisissez « Autorisations d’application ».
6. Ajoutez les autorisations requises pour ces modèles PIM.

Les autorisations requises sont :

• RoleAssignmentSchedule.ReadWrite.Directory
• RoleEligibilitySchedule.ReadWrite.Directory

Ces autorisations sont requises pour récupérer les données d’affectation de rôles PIM et d’éligibilité utilisées par les deux modèles.

Étape 3 : accorder le consentement administrateur

1. Dans « Autorisations d’API », sélectionnez « Accorder le consentement administrateur pour <nom du tenant> ».
2. Confirmez l’action.
3. Actualisez la page.
4. Vérifiez que les deux autorisations affichent le statut « Accordé ».

Étape 4 : créer un secret client

1. Accédez à « Certificats et secrets ».
2. Sous « Secrets client », sélectionnez « Nouveau secret client ».
3. Saisissez une description.
4. Choisissez la période d’expiration.
5. Sélectionnez « Ajouter ».

Stocker le secret client

Copiez immédiatement la valeur du secret et stockez-la de manière sécurisée. La valeur du secret n’est affichée qu’une seule fois et n’est plus disponible après avoir quitté la page.

 

Étape 5 : collecter les détails de l’application

Depuis l’enregistrement d’application, copiez et stockez les valeurs suivantes :

• ID d’application (client)
• Valeur du secret client
• Date d’expiration du secret

Enregistrer l’application dans CoreView

Étape 6 : ouvrir la gestion des applications

Accédez à « Paramètres » > « Paramètres de l’organisation » > « Gestion des applications ».

Cette page peut également être ouverte directement depuis « Access Reviews > Créer une révision à partir d’un modèle ». Depuis cet écran, une bannière redirige vers « Gestion des applications » pour fournir le consentement. 

Dans « Gestion des applications », une entrée d’application dédiée nommée « Gestion des affectations de rôles » est disponible pour la fonctionnalité PIM access review.

Étape 7 : saisir les détails de l’application

Renseignez le formulaire avec les valeurs suivantes :

• ID d’application = ID d’application (client)
• Mot de passe = Valeur du secret client
• Date d’expiration = Date d’expiration du secret

Enregistrez la configuration.

Une fois la configuration enregistrée, la plateforme valide si les autorisations requises sont présentes et accordées.

Étape 8 : vérifier le statut des autorisations

Dans l’entrée de gestion des applications, vérifiez que le tableau du statut des autorisations affiche les autorisations requises comme accordées.

Utiliser les modèles PIM Access Review

Étape 9 : créer l’access review

Une fois l’application correctement configurée, les modèles suivants deviennent disponibles dans Reviews > Access Reviews > Créer une révision à partir d’un modèle :

• Rôles d’administrateur avec affectations permanentes
• Rôles d’administrateur avec affectations éligibles

Remarque : si l’application est absente, incomplète ou si les autorisations requises ne sont pas accordées, ces deux modèles restent désactivés.