Blog IDECSI

Revue des accès et des partages : nouvelle priorité pour Microsoft ?

Rédigé par Caroline Bourgoin | Apr 3, 2023 10:45:00 AM

Le sujet de la maîtrise des accès dans le temps, du suivi de la donnée et donc de la revue des accès et des partages devient prioritaire pour les entreprises. 

D’ailleurs, lors du dernier évènement Ignite en octobre 2022, Microsoft annonçait des évolutions et des nouveautés produits pour faciliter cette revue des droits. 

Nous revenons dans cet article sur deux solutions natives dans Microsoft 365 pour activer des campagnes de revues de droits et impliquer les propriétaires de données. 



Microsoft Azure AD Access Reviews

La première solution de Microsoft pour la revue des accès est Azure AD Access Reviews, qui existe depuis quelques années. 

Azure AD Access Reviews permet de créer des revues pour les propriétaires de groupes Microsoft 365 (Teams, SharePoint) ou des groupes de sécurité Azure AD pour revoir les membres et les accès du groupe. 
Attention cet outil nécessite d'avoir des permissions élevées Azure AD P2. 

La revue des accès s’appliquera uniquement aux membres des groupes. Les permissions ou liens de partages réalisés en dehors des membres d’une équipe Teams (sur SharePoint par exemple) ne pourront pas faire partie de la campagne de recertification.

Il y a deux campagnes possibles :

  • Revues des invités externes : permet de cibler tous les groupes mais la revue se fera uniquement sur les membres externes à l’organisation
  • Campagne ciblée sur un groupe particulier pour revoir l’intégralité des membres

Lors de la configuration, les administrateurs peuvent activer des options :

  • Sur les propriétaires / réviseurs : activer plusieurs validations, sélectionner qui revoit, la récurrence
  • Sur la campagne : appliquer la remédiation, aider à la prise décision

Une fois la campagne lancée, les propriétaires des groupes recevront un email pour faire la vérification. 
Si plusieurs propriétaires sont concernés, le dernier qui revoit les accès aura le dernier mot sur la validation. Ils accèderont à une plateforme nommée MyAccess pour la revue des accès.

L’expérience est simplifiée pour l’utilisateur, Microsoft donne des indications et des suggestions pour l’aider dans sa prise de décision : exemple un utilisateur ne s’est pas connecté depuis 30 jours, vous pouvez le supprimer.

C’est une première solution proposée par Microsoft pour la revue des accès et qui facilite fortement la gouvernance des invités externes sur l’AD. Cependant, il n’y a pas encore de mécanisme pour revoir l’ensemble des groupes et des membres sur Microsoft 365.

 

Microsoft Data Governance

Microsoft Data Governance est une des nouveautés annoncées dans Microsoft Ignite fin 2022. Cette fonction arrivera courant 2023 uniquement pour les entreprises dotées de licences E5. 

Microsoft Data Governance est une nouvelle brique dans le centre d’administration SharePoint. Les administrateurs peuvent désormais accéder à des rapports sur les liens de partage et les données sensibles.

3 rapports de partages sur les liens sont disponibles :

Attention, il est possible de lancer les rapports maximum une fois par jour.

Dans le cas d’un rapport sur les partages anonymes, une liste des 100 sites SharePoint avec le plus de liens anonymes sur les 30 derniers jours sera générée. Ce rapport met en avant la personne qui a créé le lien et le nombre de partages mais il n’y aura pas de granularité sur les partages en question. Concrètement, Microsoft regarde uniquement les logs des 30 derniers jours. 

Il sera ensuite possible de générer une campagne par site. Attention il est uniquement possible de lancer les campagnes site par site et non sur l’ensemble des sites.

Comme sur les campagnes Access Reviews, un email sera envoyé par l'administrateur à l'utilisateur. L’utilisateur/propriétaire pourra alors accéder à une page d’administration du site SharePoint pour revoir la liste des liens anonymes ou des liens de partages.

Microsoft Data Governance est une nouvelle solution de Microsoft pour améliorer la gestion des liens de partage SharePoint dans le temps. Cela reste applicable qu’à SharePoint pour le moment et il faut avoir en tête que les campagnes ne sont pas encore massives sur l’ensemble des sites et des liens.

IDECSI facilite la revue des accès et des partages dans Microsoft 365

IDECSI propose une solution complémentaire pour faciliter la revue des accès et des partages : MyDataSecurity. La solution IDECSI permet de résoudre les contraintes de volumétrie et de complexité dans les campagnes de revue de droits, permettant de maintenir dans le temps la sécurité des données.

Les administrateurs disposent d’une plateforme pour planifier des campagnes de recertification. Le paramétrage est simplifié et permet de lancer des campagnes périodiques pour maintenir les accès et les partages dans le temps.
Des rapports sur les campagnes sont également générés sous Power BI pour suivre les validations des utilisateurs et les remédiations initiées.

L’utilisateur dispose d’un tableau de bord de sécurité pour mettre en place une gouvernance sur ses données et une revue des droits, des accès, des partages depuis un portail unique, nommé MyDataSecurity.