Bonjour à tous,
 
Je vous consulte car je me trouve régulièrement face à un petit soucis de gestion de mes comptes utilisateurs.
Dans mon entreprise (un peu plus de 1500 personnes) nous sommes systématiquement informés quand une nouvelle personne arrive et donc on lui créé un compte AD, messagerie etc.
Jusque là pas de soucis.
 
Par contre il arrive fréquemment que quand les personnes quittent l'entreprise, nous ne soyons pas informés au niveau de l'IT.  
Nous avons donc potentiellement des comptes actifs en service alors que personne ne les utilise. Pire, parfois ces utilisateurs disposent d'un accès distant qui reste ouvert.
 
La question est donc :
Comment gérez vous les départs des utilisateurs dans vos société ? Accord avec vos RH pour avoir l'info, script lié à l'ERP ? ... ?
 
Je vous remercie par avance pour vos retours.
 
 
A +

Typiquement dans une grande boîte tout ça est géré par les RH via un soft de gestion d'identité. Soft qui va ensuite mettre à jour les informations contenues dans l'AD.

Bonjour,
 
ici dans une PME, la RH nous prévient de la date de sortie, à nous de fermer les accès au SI.

Bonjour,
 
soft rh --> moulinette --> ldap --> moulinette -->ad

 
Avant de parler de script etc, il faut commencer par les RH, c'est a eux de communiquer l'info de l'arrivée et du depart.
 
Tu ne peux pas etre tenu responsable d'une info que tu n'as pas.

Même problème chez nous. Les RH sont censé nous informer du départ d'une personne, mais ne le font pas systématiquement. Nous avons pourtant tout fait pour leur simplifier la vie, tout ce qu'elles ont à faire, c'est remplir un fichier excel avec le nom et le prénom et la date de départ de la personne.  
 
Nous avons mis en place une tâche planifiée qui fait une requête AD sur base de  la dernière date de connexion et si la dernière date de connexion d'un utilisateur excède les 30 jours, les rh sont averties.  
 
Nous avons dû pousser plus loin (avec l'accord de la direction). En l'absence de réponse, 10 jours plus tard, le compte est verrouillé et 60 jours plus tard, il est supprimé.

Hanka : tu peux poster tes tâches planifiées (en virant les infos pro) ?
 

Merci pour vos réponse.
Ca me conforte dans mon idée de départ.
Le principe de la remontée des comptes inactifs est pas mal, je vais mettre ça en place.

 
Le reste , c'est un export csv envoyé par mail.

Ce topic me terrifie.
 
Pas par ce  que vous faites, mais par ce que vous êtes obligés de faire.
Vous n'avez aucune influence sur les RH chez vous ? Pas de système qualité, pas de réunion de la direction etc pour les contraindre à faire leur taf le plus basique ?

 
Non aucun Le personnel RH est d'une autre époque. Il m'arrive même de devoir les assister pour remplir un formulaire en ligne.    Elle ont tellement peur de l'outil informatique que lorsqu'on leur propose une amélioration, elles refusent de peur de mal faire ou de ne pas s'y retrouver.  
 

Le but n'est pas tellement de "contraindre" mais plus de trouver la solution la mieux adaptée pour que ce ne soit pas fastidieux et qu'il n'y ai pas d'oubli.  
Si on demande des choses mais qu'on ne fourni pas les outils adaptés, tout le monde le vois en effet comme une contrainte.

 
Leur fournir les outils/logiciels et les formations adéquates ne fait pas parti de leurs responsabilités en tant que RH.

même souci sur un site,
le problème est remonté en réunion, le RH envoie les infos pendant les 2 mois qui suivent la réunion, puis plus rien après
on a même eu pire, le RH nous envoie une liste avec des personnes qui sont sensés être partis, donc compte supprimé
et surprise, certaines personnes envoient une fiche d'incident car elles ne peuvent plus se connecter    
du coup on a adopté une méthode plus agressive,
on a une OU quarantaine, et une tache planifiée qui tourne avec des requêtes dsquery
pour un personnel sans connexion pendant 30 jours = déplacement du comptes dans l'OU quarantaine et désactivation de ce compte
pour un stagiare sans connexion pendant 7 jours, même chose
pour un compte dépassant les 60 jours, suppression

C'est bien peu 30 jours. Tu pars en congés 4 semaines, ça les fait les 30 jours en comptant le 1er week end.
Sans compter les arrêts maladie.. ou les congés maternité pour lesquels cela dépasse forcément les 60 jours.. remarque que c'est une bonne méthode pour dissuader les femmes de tomber enceinte et de perturber ainsi l'organisation d'un service

Heu sans vouloir faire chier. C'est un problème d'organisation.
Le processus RH, qui doit déclencher le processus de provisionning et de gestion d'identité, n'est pas bon.

Avan tout outil, vous devez vous mettre d'accord sur le processus d'arrivée et de départ.

Dans ma société et pour schématiser le process et l'outillage

RH créé un employé dans la base HCM ->
Employé répliqué dans AD ->
Réplication AD vers les IDM des softs métiers et différents portails
après le user est géré localement par les softs métiers

Les autorisations d'accès au différents soft se fait au niveau de l'AD. C'est l'AD qui fait office de trust entity pour l'accès aux appli métiers.

Quand un employé quitte la boite sommairement il est supprimé de la base HCM qui déclenche le nettoyage de l'AD et des IDMs. En vrai, toutes les author sont révoqués et le user est désactivé techniquement.

Le tout avec un seul User/MDP pour l'intégralité des applications et accès.

Et ça marche pour gérer 300 000 personnes chez nous

Pour les méthodes automatisées, 30 jours ou 60 jours, c'est un peu court  
J'ai des personnes en arrêt maladie de longue durée, qui ne reviennent parfois qu'au bout de 3-4 mois.
L'utilisation d'une OU "quarantaine" est une bonne idée.
 
Pour le reste c'est effectivement du niveau RH de faire son taf, mais là dépend totalement de la taille de l'entreprise  
 
Chez nous c'est plus la gestion des mouvements de personnels qui sont parfois problématiques, avec des personnes déjà en place sur leur nouveau site mais avec au niveau RH/HCM toujours à l'ancien endroit (du genre quelqu'un de Lille qui part sur Paris). Quand c'est dans la même région ça peut passer, mais quand ça change de région et que des paramètres réseaux comme les lecteurs communs sont gérés au niveau régional, c'est parfois bloquant.

 
c'était un résumé, quand je dis 30 et 60 jours, c'est bien sur sans la période légale de congés cumulés de 31 jours, sinon y'aurait beaucoup de comptes désactivés après les grandes vacances    
 
donc la désactivation, c'est à 31+30 = 61 jours
la suppression, c'est pareil, c'est 60 jours après mise en quarantaine, donc 61+60=121
et là encore, 15 jours avant sa suppression, un mail est envoyé au RH avec en copie la direction concernée par le compte pour prévenir de sa suppression
si une réponse justifie l'absence de connexion (maladie, maternité, formation, sabbatique,....) le compte est déplacé dans une sous OU de l'OU quarantaine, appelée longue durée, là il reste désactivé mais n'est pas supprimé
si aucune réponse, c'est au RH de s'expliquer avec la direction

Ça laisse 121 jours a un mec parti en mauvais termes pour saboter/supprimer ce qu'il veut.
Franchement, je maintiens, faut vraiment régler votre truc niveau RH...
 

 
La dessus, je ne suis pas d'accord. Peu importe la taille de l'entreprise. C'est une question d'organisation et de définition du processus RH.
ITIL / CMMi et définition de processus et de son RACI ça marche aussi dans les petites structures.
 

La gestion RH et informatique est différente entre la PME de 30 salariés sur 1 seul site, l'entreprise de moyenne taille de 500 salariés dispersés sur plusieurs sites, et la grosse boîte (voire la multinationale) de 30.000 salariés ou plus

Certes, mais ce n'est pas une excuse.
 
Si la boite est trop petite pour avoir un logiciel de RH  toussa, alors une bete liste de distribution et ils envoient un mail quand un mec s'en va, mais vous pouvez pas rester sans savoir quels comptes sont supposés etre actifs ou pas, c'est pas possible.

Le "vous" ce n'est pas moi hein, je parle de cas génériques.

Je m'adresse au topic en général, comme depuis mon premier post.

Et mettre en place un processus RH (incluant la partie support) ne dépend pas de la taille de la boite.

Un listing à jour à dispo du RSI peut largement suffir. Il faut documenter le processus et y attribuer un RACI. Sans cela c'est le bordel et chacun fait comme il le peut... Difficile de leur reprocher par la suite

Nous avions également le même problème (100 personnes + une agence à l'étranger de 15 personnes).
 
On nous prévenait toujours des arrivées (de préférence le plus tard possible ) mais jamais des départs.
 
Nous avons mis au point des procédures avec les RH qui fonctionnent au final assez bien, même si il a fallu du temps pour qu'elles soient vraiment appliquées (il faut relancer et relancer encore).
 
En gros : lors d'un départ, les RH nous remplissent une fiche type contenant toutes les infos dont nous avons besoin : date de départ effective, à qui transférer les droits, les mails,...
 
Ca leur prend 5 minutes et c'est maintenant intégré dans leurs process.
 
Ceci dit, j'aime bien l'idée d'un script qui effectue un reporting des comptes AD non utilisés depuis X jours.

J'ai l'impression qu'on a tous le même type de service RH...

Bonjour dans notre cas nous avons un erp.
Lorsque une rh sort un employé le service info reçoit un mail et donc on vérifie si un compte windows est associé si oui on le désactive et lui enlève la licence office 365