# Mise en œuvre de Privileged Identity Management (PIM) avec le portail RealmJoin ### Overview Ce guide vous accompagne dans la mise en œuvre de Microsoft Entra ID Privileged Identity Management (PIM) pour Groups avec l’accès administratif de RealmJoin Portal. PIM fournit un accès administratif juste-à-temps, réduisant les risques de sécurité en exigeant des utilisateurs qu’ils activent leurs rôles privilégiés lorsque cela est nécessaire. En mettant en œuvre PIM avec RealmJoin, les administrateurs doivent activer explicitement leurs privilèges d’administration pour une période définie, créant ainsi une piste d’audit et réduisant la surface d’attaque liée à un accès administratif persistant. ### Prérequis * Licences Microsoft Entra ID P2 pour les utilisateurs nécessitant un accès PIM * Autorisations d’administrateur général ou d’administrateur de rôles privilégiés * Accès à la configuration de RealmJoin Portal * Compréhension de Microsoft Entra ID Groups et des attributions de rôles ### Étapes de mise en œuvre #### Étape 1 : Créer des groupes attribuables à des rôles Créez deux Security Group dans Microsoft Entra ID. Bien que l’attribut « role-assignable » ne soit plus un prérequis strict, il reste recommandé pour une fonctionnalité PIM optimale. **Groupe 1 : Groupe d’éligibilité** * **Nom**: `sec - PIM-Eligibility - RealmJoin Portal - Admins` * **Objectif**: Contient les utilisateurs éligibles à l’accès administrateur RealmJoin * **Type**: Security Group * **Attribuable à des rôles**: Recommandé (Oui) **Groupe 2 : Groupe d’administrateurs actifs** * **Nom**: `sec - PIM-Enabled - RealmJoin Portal - Admins` * **Objectif**: Le groupe cible qui fournit les autorisations d’administration RealmJoin réelles * **Type**: Security Group * **Attribuable à des rôles**: Recommandé (Oui) #### Étape 2 : Configurer PIM pour Groups **Activer PIM pour Groups** 1. Accédez à **Microsoft Entra ID** > **Privileged Identity Management** 2. Sélectionnez **Groupes** dans le volet de navigation de gauche 3. Choisissez **Découvrir les groupes** pour identifier les groupes éligibles à la gestion PIM 4. Sélectionnez vos groupes nouvellement créés pour les placer sous le contrôle de PIM Pour connaître les étapes de configuration détaillées, reportez-vous à la documentation officielle Microsoft : * [Vue d’ensemble de Privileged Identity Management (PIM) pour Groups](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/concept-pim-for-groups) * [Intégrer des groupes dans Privileged Identity Management](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/groups-discover-groups) **Configurer les paramètres du groupe** 1. Définir la durée d’activation (recommandé : 1 à 8 heures) 2. Configurer les exigences d’approbation si nécessaire 3. Définir les exigences d’activation (MFA, justification métier) 4. Définir les politiques de durée maximale d’activation #### Étape 3 : Attribuer l’éligibilité Configurez l’éligibilité des utilisateurs pour le groupe activé par PIM : 1. Dans PIM, accédez à **Groupes** > **Affectations** 2. Sélectionnez le `sec - PIM-Enabled - RealmJoin Portal - Admins` groupe 3. Choisissez **Ajouter des attributions** 4. Sélectionnez **Éligible** type d’attribution 5. Choisissez des utilisateurs ou le groupe d’éligibilité (`sec - PIM-Eligibility - RealmJoin Portal - Admins`) 6. Définissez la durée et le planning de l’attribution selon les besoins Pour des conseils complets sur les attributions, consultez : [Attribuer l’éligibilité pour un groupe dans Privileged Identity Management](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/groups-assign-member-owner) ### Logique de configuration #### Flux de gestion des utilisateurs 1. **Ajouter des utilisateurs au groupe d’éligibilité**: Ajoutez des comptes utilisateurs à `sec - PIM-Eligibility - RealmJoin Portal - Admins` * Ce groupe sert de source d’utilisateurs pouvant demander un accès administrateur * Les utilisateurs de ce groupe peuvent activer leur appartenance au groupe activé par PIM 2. **Configurer RealmJoin Portal**: Définir `sec - PIM-Enabled - RealmJoin Portal - Admins` comme groupe administratif dans les paramètres de RealmJoin Portal * Seuls les membres actifs de ce groupe disposeront des autorisations d’administration * Les utilisateurs doivent activer leur appartenance via PIM pour obtenir l’accès #### Processus d’activation de l’accès Lorsque les utilisateurs ont besoin d’un accès administrateur RealmJoin : 1. L’utilisateur accède à **Mon accès** portail ou interface PIM 2. Demande l’activation de l’appartenance à `sec - PIM-Enabled - RealmJoin Portal - Admins` 3. Fournit une justification métier (si nécessaire) 4. Termine le défi MFA (si configuré) 5. Obtient un accès administrateur limité dans le temps à RealmJoin Portal 6. L’accès expire automatiquement à l’issue de la durée définie ### Avantages en matière de sécurité * **Accès juste-à-temps**: Les privilèges d’administration ne sont accordés qu’en cas de besoin * **Piste d’audit**: Toutes les demandes et approbations d’activation sont consignées * **Surface d’attaque réduite**: Moins de comptes d’administrateur persistants * **Conformité**: Prend en charge les exigences réglementaires en matière de gestion des accès privilégiés * **Durée contrôlée**: L’accès administrateur expire automatiquement * **Flux d’approbation**: Processus d’approbation facultatifs pour les rôles sensibles ### Bonnes pratiques * **Revues d’accès régulières**: Révisez périodiquement les appartenances aux groupes et les attributions PIM * **Durée appropriée**: Définissez les périodes d’activation en fonction de la durée habituelle des tâches d’administration * **Application du MFA**: Exigez toujours l’authentification multifacteur pour l’activation * **Justification métier**: Exigez des utilisateurs qu’ils fournissent un motif pour leurs demandes d’accès * **Surveillance**: Examinez régulièrement les journaux d’audit PIM pour repérer des schémas d’activation inhabituels * **la documentation**: Maintenez des procédures claires pour les scénarios d’accès d’urgence ### Dépannage #### Problèmes courants * **Les utilisateurs ne voient pas l’option d’activation**: Vérifiez la licence PIM et les attributions de groupe * **L’activation échoue**: Vérifiez la configuration du MFA et du flux de travail d’approbation * **Accès RealmJoin refusé**: Confirmez que le groupe correct est configuré dans les paramètres de RealmJoin Portal #### Étapes de vérification 1. Testez le processus d’activation avec un utilisateur pilote 2. Vérifiez que RealmJoin Portal reconnaît le groupe activé par PIM 3. Confirmez que la journalisation d’audit fonctionne correctement 4. Testez les procédures d’accès d’urgence ### Ressources supplémentaires * [Documentation Microsoft Entra ID Governance](https://learn.microsoft.com/en-us/entra/id-governance/) * [Bonnes pratiques PIM](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/pim-deployment-plan) * [Documentation de RealmJoin Portal](https://docs.realmjoin.com/) --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.realmjoin.com/fr/parametres-realmjoin/permission/implementing-privileged-identity-management-pim-with-realmjoin-portal.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.