Partage via

Ajouter et gérer les comptes administrateur

  • Article

S’applique à :Cercle blanc avec un symbole X gris. Locataires de main-d’œuvre Cercle vert avec un symbole de coche blanche. Locataires externes (en savoir plus)

Dans ID externe Microsoft Entra, un locataire externe représente votre annuaire de comptes de consommateurs et d’invités. Avec un rôle d’administrateur, les comptes professionnels et invités peuvent gérer le locataire.

Prérequis

  • Si vous n’avez pas encore créé votre propre locataire externe Microsoft Entra, créez-en un maintenant.
  • Comprendre les comptes d’utilisateur dans ID externe Microsoft Entra.
  • Comprendre les rôles utilisateur pour contrôler l’accès aux ressources.

Ajouter un compte d’administrateur

Procédez comme suit pour créer un compte d’utilisateur et accorder des autorisations d’administrateur au compte en ajoutant un rôle Microsoft Entra. (Seules les étapes requises sont décrites ici. Pour obtenir une description complète de toutes les propriétés, consultez l’article Microsoft Entra ID Comment créer des utilisateurs.)

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.

  3. Accédez à Identité>Utilisateurs>Tous les utilisateurs.

  4. Sélectionnez Nouvel utilisateur>Créer un nouvel utilisateur.

  5. Sous l’onglet Informations de base, sous Identity, entrez les informations de cet administrateur :

    • nom d’utilisateur principal: entrez un nom d’utilisateur unique et sélectionnez un domaine dans le menu après le symbole @.
    • nom d’affichage: entrez le nom de l’utilisateur, tel que Chris Green ou Chris A. Green.
    • mot de passe: copiez le mot de passe généré automatiquement ou décochez l’option générer automatiquement le mot de passe et entrez un autre mot de passe. Vous devez donner ce mot de passe à l’administrateur pour vous connecter pour la première fois.

  6. Sélectionnez l’onglet Affectations, puis procédez comme suit pour attribuer un rôle à l’utilisateur. (L’ajout d’un groupe est facultatif).

    • Sélectionnez + Ajouter le rôle.
    • Dans le menu qui s’affiche, choisissez jusqu’à 20 rôles dans la liste. Vous pouvez attribuer à l’utilisateur un ou plusieurs des rôles Administrateur dans Microsoft Entra ID.
    • Sélectionnez le bouton Sélectionner.

  7. Sélectionnez le bouton Vérifier + créer.

L’administrateur est créé et ajouté à votre locataire externe.

Inviter un administrateur (compte invité)

Vous pouvez également inviter un nouvel utilisateur invité à gérer votre locataire. Pour inviter un nouvel utilisateur invité avec des autorisations d’administrateur, procédez comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.

  3. Accédez à Identité>Utilisateurs>Tous les utilisateurs.

  4. Sélectionnez Nouvel utilisateur>Inviter un utilisateur externe (préversion).

  5. Sous l’onglet De base, entrez les informations de l’utilisateur :

    • Email. Requis. Adresse e-mail de l’utilisateur que vous souhaitez inviter.
    • nom d’affichage. Prénom et nom du nouvel utilisateur. Par exemple, Mary Parker.
    • Sous le message d’invitation:
      • Cochez la case Envoyer un message d’invitation si vous souhaitez envoyer l’e-mail d’invitation à l’utilisateur. Sinon, décochez la case.
      • Dans message, ajoutez un message personnel à inclure dans l’e-mail d’invitation.
      • Pour envoyer une copie de l’e-mail d’invitation à une personne, ajoutez son adresse e-mail dans la zone de texte destinataire Cc.
      • L’URL de redirection Invite a pour valeur par défaut MyApplications, c’est-à-dire l’emplacement où l’utilisateur est redirigé lorsqu’il accepte l’invitation. Vous pouvez le remplacer par une URL différente.

  6. Sélectionnez l’onglet Affectations, puis procédez comme suit pour attribuer un rôle à l’utilisateur. (L’ajout d’un groupe est facultatif).

    • Sélectionnez + Ajouter le rôle.
    • Dans le menu qui s’affiche, choisissez jusqu’à 20 rôles dans la liste. Vous pouvez attribuer à l’utilisateur un ou plusieurs des rôles Administrateur dans Microsoft Entra ID.
    • Sélectionnez le bouton Sélectionner.

  7. Sélectionnez le bouton Vérifier + inviter.

Un e-mail d’invitation est envoyé à l’utilisateur. L’utilisateur doit accepter l’invitation pour pouvoir se connecter.

Modifier ou ajouter une attribution de rôle

Vous pouvez attribuer un rôle lorsque vous créez un utilisateur ou que vous invitez un utilisateur invité. Vous pouvez ajouter, modifier ou supprimer un rôle pour un utilisateur :

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
  2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
  3. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  4. Sélectionnez l’utilisateur dont vous souhaitez modifier les rôles. Ensuite, sélectionnez Rôles affectés.
  5. Sélectionnez Ajouter des affectations, le rôle à attribuer (par exemple, Administrateur(-trice) d’application), puis choisissez Ajouter.

Supprimer une attribution de rôle

Si vous devez supprimer une attribution de rôle d’un utilisateur, procédez comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
  2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
  3. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  4. Sélectionnez l’utilisateur dont vous souhaitez modifier les rôles. Ensuite, sélectionnez Rôles affectés.
  5. Sélectionnez le rôle que vous souhaitez supprimer, tel qu’Administrateur d’application, puis sélectionnez Supprimer l’affectation.

Vérifier les attributions de rôle de compte administrateur

Dans le cadre d’un processus d’audit, vous examinez généralement les utilisateurs attribués à des rôles spécifiques dans le répertoire du client. Procédez comme suit pour vérifier quels utilisateurs sont actuellement affectés à des rôles privilégiés.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
  2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
  3. Accédez à Identité>Rôles et administrateurs>Rôles et administrateurs.
  4. Sélectionnez un rôle, comme Administrateur d’utilisateurs. La page de Affectations répertorie les utilisateurs associés à ce rôle.

Supprimer un compte administrateur

Pour supprimer un utilisateur existant, vous devez disposer au moins d’une attribution de rôle Administrateur d’utilisateurs. Les administrateurs d’authentification privilégiés peuvent supprimer tous les utilisateurs, y compris d’autres administrateurs. Les administrateurs d’utilisateurs peuvent supprimer n’importe quel(le) utilisateur(-trice) non-administrateur(-trice).

  1. Connectez-vous au centre d’administration Microsoft Entra avec au moins le rôle d’Administrateur d’authentification privilégié.
  2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
  3. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  4. Sélectionnez l’utilisateur que vous souhaitez supprimer.
  5. Sélectionnez Supprimer, puis Oui pour confirmer la suppression.

L’utilisateur est supprimé et n’apparaît plus sur la page Tous les utilisateurs. L’utilisateur est affiché sur la page Utilisateurs supprimés pendant 30 jours et peut être restauré durant cette période. Si vous souhaitez en savoir davantage concernant la restauration d’un utilisateur, consultez Restaurer ou retirer un utilisateur supprimé récemment à l’aide de Microsoft Entra ID.

Protéger des comptes d’administration

Nous vous recommandons de protéger tous les comptes d’administrateur avec l’authentification multifacteur (MFA) pour plus de sécurité. L’authentification multi-facteur (MFA) est un processus de vérification d’identité lors de la connexion invitant l’utilisateur à insérer un code secret à usage unique.

Microsoft recommande aux organisations de disposer de deux comptes d’accès d’urgence, en mode cloud uniquement, attribué indéfiniment au rôle Administrateur général. Ces comptes hautement privilégiés ne sont pas attribués à des personnes spécifiques. Les comptes sont limités à des scénarios d’urgence ou « de secours » dans lesquels il est impossible d’utiliser des comptes normaux ou tous les administrateurs sont accidentellement verrouillés. Ces comptes doivent être créés, conformément aux recommandations relatives aux comptes d’accès d’urgence.