Accueil » Accès EPM juste-à-temps

Accès Just-In-Time

Table des matières

Explication de l’accès Just-In-Time

L’accès Just-In-Time (JIT) dans Endpoint Central permet aux administrateurs d’accorder aux utilisateurs des privilèges temporaires et limités uniquement lorsque cela est nécessaire pour des tâches spécifiques, éliminant ainsi le besoin de droits administratifs permanents. L’accès JIT prend en charge deux modèles d’élévation : des stratégies configurées par l’administrateur qui accordent l’accès de manière proactive en fonction de critères prédéfinis, et un modèle basé sur les demandes dans lequel les utilisateurs peuvent initier une élévation à la demande avec une justification et une durée définie. Dans les deux cas, l’accès est strictement contrôlé, limité dans le temps, et peut être restreint à des applications spécifiques à l’aide d’un large éventail de critères tels que l’éditeur, le hachage de fichier, le chemin du dossier, et bien plus encore.

Vue de l’accès Just-In-Time

L’importance de l’accès Just-In-Time

L’octroi permanent de droits administratifs est l’un des facteurs les plus courants contribuant aux vulnérabilités de sécurité : cela élargit la surface d’attaque et augmente le risque de menaces internes ainsi que d’accès non autorisés. L’accès JIT répond directement à ce problème en garantissant que les privilèges élevés ne sont accordés que lorsque cela est nécessaire, uniquement aux bons utilisateurs, et uniquement pour la durée requise. Le modèle d’élévation basé sur les demandes ajoute un niveau supplémentaire de responsabilité, car les utilisateurs doivent fournir une justification avant que l’accès ne soit approuvé, créant ainsi une trace claire et vérifiable de l’utilisation des privilèges. Ensemble, ces fonctionnalités aident les organisations à appliquer le principe du moindre privilège, à renforcer leur posture globale de sécurité et à réduire considérablement la probabilité de violations de données.

Configuration de l’accès Just-In-Time

L’accès temporaire peut être fourni à des ordinateurs spécifiques en suivant les étapes suivantes :

  • Accédez à Just in Time Access sous Policies.
  • Cliquez sur Create pour déléguer une nouvelle stratégie d’accès JIT et sélectionnez Élévation d’application.
  • Indiquez le nom et la description de la stratégie.
  • Indiquez le nom de l’ordinateur pour lequel vous souhaitez fournir un accès JIT et sélectionnez le nom d’utilisateur.
  • Sélectionnez l’utilisateur spécifique ou, pour accorder l’accès à tous les utilisateurs de cet ordinateur, sélectionnez All users.

  • Sélectionnez le type de durée : Fixed ou Window. Si le type de durée est fixe, indiquez la durée de l’accès et, s’il s’agit d’une fenêtre, indiquez la plage horaire pendant laquelle vous souhaitez fournir l’accès JIT.
     

    Création d’une stratégie d’accès JIT

  • Dans les paramètres d’accès, l’option Just In Time Access for self-elevation permettra à l’utilisateur d’élever lui-même ses privilèges pour toutes les applications autorisées ou pour des applications spécifiques. Si vous choisissez All Allowed application(s), l’utilisateur peut élever lui-même n’importe quelle application figurant sur la liste d’autorisation. Si vous choisissez Specific applications, l’utilisateur ne peut élever lui-même que les applications sélectionnées. Les applications spécifiques pour l’élévation peuvent être ajoutées à l’aide de types de règles tels que Éditeur, Produits, Exécutable vérifié, Hachage de fichier, CLSID et Chemin du dossier.

    Types de règles d’accès JIT pour des applications spécifiques

  • Cliquez sur Deploy Immediately.

Demandes d’élévation initiées par l’utilisateur

En plus des stratégies JIT configurées par l’administrateur, Endpoint Central prend également en charge un modèle d’élévation basé sur les demandes dans lequel les utilisateurs peuvent initier eux-mêmes une élévation de privilèges. Cela offre aux utilisateurs finaux la flexibilité de demander un accès temporaire lorsque cela est nécessaire, tout en laissant aux administrateurs le contrôle total sur ce qui est approuvé.

Remarque : Reportez-vous ici pour configurer les demandes initiées par l’utilisateur.

Lorsqu’un utilisateur tente d’exécuter une application nécessitant des privilèges élevés, une invite lui est présentée pour soumettre une demande d’élévation Just-In-Time. L’utilisateur doit spécifier une durée d’accès et fournir une justification pour la demande.

Invite de demande d’élévation Just-In-Time

Examen et gestion des demandes

Toutes les demandes d’élévation en attente sont affichées dans l’onglet Just-In-Time Access, où les administrateurs peuvent examiner la justification de l’utilisateur et soit approuver, soit refuser la demande en fonction des exigences de l’organisation.

  • L’accès approuvé est automatiquement révoqué une fois la durée demandée expirée.

  • Les administrateurs peuvent également révoquer manuellement un accès actif à tout moment directement depuis la console.

    Vue des demandes d’élévation Just-In-Time

Approbation autonome

Pour rationaliser le processus d’approbation pour les utilisateurs de confiance ou les applications à faible risque, les administrateurs peuvent activer l’approbation autonome. Lorsqu’elle est configurée, les demandes d’élévation éligibles sont automatiquement approuvées sans nécessiter d’intervention manuelle de l’administrateur. Cette option peut être activée sous Settings → Autonomous Approval.

Approbation automatique des demandes d’élévation Just-In-Time

Rapport des événements Just-In-Time

Les événements survenant dans le cadre de chaque stratégie JIT sont accessibles en cliquant sur la stratégie souhaitée puis en sélectionnant l’onglet Audit.

Rapport des événements JIT