Partager des comptes avec Microsoft Entra ID

Vue d’ensemble

Dans Microsoft Entra ID, qui fait partie de Microsoft Entra, les organisations doivent parfois utiliser un seul nom d'utilisateur et un seul mot de passe pour plusieurs personnes, ce qui se produit souvent dans les cas suivants :

• Au moment d’accéder à des applications qui nécessitent un nom de connexion et un mot de passe uniques pour chaque utilisateur, qu’il s’agisse d’applications locales ou de services cloud grand public (par exemple, les comptes de réseaux sociaux d’entreprise).
• Pendant la création d’environnements multi-utilisateurs. Vous pouvez avoir un compte local unique qui dispose de privilèges élevés et est utilisé pour les activités d’installation, d’administration et de récupération de base. Par exemple, le compte local Administrateur général pour Microsoft 365 ou le compte racine dans Salesforce.

En règle générale, ces comptes sont partagés en distribuant les informations d’identification (nom d’utilisateur et mot de passe) aux personnes appropriées ou en les stockant dans un emplacement partagé où peuvent accéder plusieurs agents de confiance.

Le modèle traditionnel de partage présente plusieurs inconvénients :

• Pour autoriser l’accès à de nouvelles applications, vous devez distribuer les informations d’identification à toutes les personnes qui ont besoin d’un accès.
• Chaque application partagée peut nécessiter son propre jeu d’informations d’identification partagées, obligeant les utilisateurs à mémoriser plusieurs jeux d’informations d’identification. Si les utilisateurs doivent mémoriser plusieurs informations d’identification, le risque augmente qu’ils recourent à des pratiques risquées, comme écrire les mots de passe.
• Vous ne pouvez pas savoir qui a accès à une application.
• Vous ne pouvez pas savoir qui a accédé à une application.
• Quand vous supprimez l’accès à une application, vous devez mettre à jour les informations d’identification et les redistribuer à toutes les personnes qui ont besoin d’accéder à cette application.

Partage de compte Microsoft Entra

Microsoft Entra ID propose une nouvelle approche d'utilisation des comptes partagés qui élimine ces inconvénients.

L'administrateur Microsoft Entra configure les applications auxquelles un utilisateur peut accéder à l'aide du panneau d'accès et en choisissant le type d'authentification unique le mieux adapté à cette application. L'un de ces types, l'authentification unique basée sur un mot de passe, permet à Microsoft Entra ID d'agir comme une sorte de « courtier » pendant le processus de connexion à cette application.

Les utilisateurs se connectent une fois avec leur compte professionnel. Ce compte est le même que celui qu’ils utilisent régulièrement pour accéder à leur Bureau ou e-mail. Ils peuvent découvrir les applications auxquelles ils sont affectés et accéder uniquement à celles-ci. Grâce aux comptes partagés, cette liste d’applications peut inclure un nombre quelconque d’informations d’identification partagées. L’utilisateur final n’a pas besoin de mémoriser ou de noter les différents comptes qu’il peut être amené à utiliser.

Outre accroître la supervision et améliorer la facilité d’utilisation, les comptes partagés renforcent votre sécurité. Les utilisateurs autorisés à utiliser les informations d’identification ne voient pas le mot de passe partagé, mais plutôt obtiennent l’autorisation d’utiliser le mot de passe dans le cadre d’un flux d’authentification orchestré. De plus, certaines applications SSO de mot de passe vous offrent la possibilité d'utiliser Microsoft Entra ID pour renouveler (mettre à jour) périodiquement les mots de passe. Le système utilise des mots de passe longs et complexes, ce qui renforce la sécurité du compte. L’administrateur peut facilement accorder ou révoquer l’accès à une application et sait qui a accès au compte et qui y a accédé dans le passé.

Microsoft Entra ID prend en charge les comptes partagés pour tout plan de licence Enterprise Mobility Suite (EMS) ou Microsoft Entra ID P1 ou P2, sur tous les types d'applications d'authentification unique par mot de passe. Vous pouvez partager des comptes pour des milliers d’applications déjà intégrées dans la galerie d’applications et vous pouvez ajouter votre propre application d’authentification avec mot de passe aux applications d’authentification unique personnalisées.

Les fonctionnalités de Microsoft Entra qui permettent le partage de compte incluent :

• Authentification unique avec mot de passe
• Agent d’authentification unique avec mot de passe
• Affectation de groupe
• Applications de mot de passe personnalisé
• Tableau de bord/rapports d’utilisation des applications
• Portails d’accès des utilisateurs finaux
• Proxy d’application
• Azure Marketplace

Partage d’un compte

Pour utiliser Microsoft Entra ID pour partager un compte, vous devez :

• Ajouter une application à la galerie d’applications ou aux applications personnalisées.
• Configurer l’application pour l’authentification unique avec mot de passe.
• Utiliser l’affectation basée sur le groupe et sélectionner l’option permettant d’entrer des informations d’identification partagées.

Vous pouvez également rendre votre compte partagé plus sécurisé grâce à l'authentification multifacteur (MFA) (en savoir plus sur la sécurisation des applications avec Microsoft Entra ID) et vous pouvez déléguer la possibilité de gérer qui a accès à l'application à l'aide de la gestion de groupe en libre-service Microsoft Entra.

Étapes suivantes

• Gestion des applications dans Microsoft Entra ID
• Protection des applications avec un accès conditionnel
• Gestion des groupes en libre service/accès aux applications en libre-service