Partage via

Autorisations utilisateur par défaut dans les locataires externes

  • Article

S’applique à :Cercle blanc avec un symbole X gris. Locataires de main-d’œuvre Cercle vert avec un symbole de coche blanche. Locataires externes (en savoir plus)

Les tenants Microsoft Entra dans une configuration externe servent exclusivement aux scénarios d’ID externe Microsoft Entra. Un locataire externe offre une séparation claire entre l’annuaire des employés de votre entreprise et l’annuaire de votre application orientée client. Par défaut, les utilisateurs créés dans votre locataire externe ne peuvent pas accéder à des informations sur d’autres utilisateurs, groupes ou appareils du locataire externe. Tous les utilisateurs disposent d’autorisations par défaut, sauf si vous leur attribuez un rôle d’administrateur.

Pour mieux comprendre les cas d’usage classiques pour les utilisateurs d’un locataire externe, nous pouvons les classer comme suit :

  • utilisateurs externes sont des consommateurs et des clients professionnels qui utilisent les applications inscrites dans votre locataire externe. Ils conservent généralement les autorisations utilisateur par défaut, ce qui signifie que vous ne les affectez pas à des rôles d’administration. Ces utilisateurs sont généralement créés via l’inscription en libre-service, mais vous pouvez les créer avec le Créer une option d’utilisateur externe dans le Centre d’administration Microsoft Entra ou avec Microsoft Graph.

  • utilisateurs internes sont généralement des administrateurs auxquels vous attribuez rôles Microsoft Entra. Vous pouvez créer des utilisateurs internes et attribuer des rôles à l’aide de l’option Créer un utilisateur dans le centre d’administration ou avec Microsoft Graph.

  • utilisateurs invités sont généralement des administrateurs que vous invitez au locataire externe et auxquels vous attribuez rôles Microsoft Entra. S’ils ne sont pas affectés à un rôle, ils disposent d’autorisations utilisateur par défaut. Vous pouvez inviter des utilisateurs et attribuer des rôles à l’aide de l’option Inviter un utilisateur externe dans le centre d’administration ou avec Microsoft Graph.

Lorsque les utilisateurs sont créés dans un locataire externe, ils commencent tous par des autorisations par défaut. Toutefois, vous pouvez affecter rôles Microsoft Entra à ces utilisateurs qui doivent effectuer des tâches administratives au sein du locataire externe.

Autorisations par défaut

Le tableau suivant décrit les autorisations par défaut attribuées à un utilisateur dans un locataire externe, notamment :

  • Utilisateurs qui utilisent l’inscription en libre-service
  • Utilisateurs créés par des administrateurs
  • Utilisateurs invités
Zone autorisations utilisateur par défaut
Utilisateurs et contacts
  • Lire et mettre à jour leur propre profil via l’expérience de gestion des profils d’application
  • Modifier son propre mot de passe
  • Se connecter avec un compte local ou social
Applications
  • Accéder aux applications
  • Révoquer le consentement aux applications

API et autorisations Microsoft Graph

Le tableau suivant indique les opérations d’API qui permettent aux clients de gérer leurs informations de profil. L’ID utilisateur ou userPrincipalName est toujours celui de l’utilisateur connecté.

Opération utilisateur Opération d’API Autorisations requises
Lire le profil GET /me ou GET /users/{id ou userPrincipalName} User.Read
Mettre à jour le profil PATCH /me ou PATCH /users/{id or userPrincipalName}

Les propriétés suivantes peuvent être mises à jour : ville, pays, displayName, gaveName, jobTitle, postalCode, state, streetAddress, name et preferredLanguage		 User.ReadWrite
Modifier le mot de passe POST /me/changePassword Directory.AccessAsUser.All