Rôles les moins privilégiés par tâche dans Microsoft Entra ID
Cet article décrit le rôle le moins privilégié que vous devez utiliser pour plusieurs tâches dans Microsoft Entra ID. Vous y trouverez des tâches organisées par domaine de fonctionnalité et le rôle le moins privilégié nécessaire pour effectuer chaque tâche, ainsi que d’autres rôles non-administrateur général qui peuvent effectuer la tâche.
Vous pouvez restreindre davantage les autorisations en attribuant des rôles à des étendues plus petites ou en créant vos propres rôles personnalisés. Pour plus d’informations, consultez Affecter des rôles Microsoft Entra ou Créer un rôle personnalisé dans Microsoft Entra ID.
Rôles de proxy d’application les moins privilégiés
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches dans proxy d’application Microsoft Entra.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Configurer l’application de proxy d’application | Administrateur d’application | |
| Configurer les propriétés du groupe de connecteurs | Administrateur d’application | |
| Créer l’inscription de l’application quand la capacité est désactivée pour tous les utilisateurs | Développeur d’applications |
Administrateur d’application cloud Administrateur d’application |
| Créer un groupe de connecteurs | Administrateur d’application | |
| Supprimer un groupe de connecteurs | Administrateur d’application | |
| Désactiver le proxy d’application | Administrateur d’application | |
| Télécharger le service de connecteur | Administrateur d’application | |
| Lire toute la configuration | Administrateur d’application |
Identités externes/Rôles avec privilèges minimum Azure AD B2C
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches dans Microsoft Entra External ID et Azure Active Directory B2C.
Remarque
Des administrateurs généraux Azure AD B2C n’ont pas les mêmes autorisations que des administrateurs généraux Microsoft Entra. Si vous disposez de privilèges d’un administrateur général Azure AD B2C, vérifiez que vous vous trouvez dans un annuaire Azure AD B2C et no dans un répertoire Microsoft Entra.
Personnalisation des rôles les moins privilégiés de l’entreprise
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour marque d’entreprise dans Microsoft Entra ID.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Configurer la marque de la société | Administrateur de la personnalisation organisationnelle | |
| Lire toute la configuration | Lecteurs de répertoire | Rôle d’utilisateur par défaut |
Connecter des rôles avec privilèges minimum
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches dans Microsoft Entra Connect.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Authentification directe | Administrateur d’identité hybride | |
| Lire toute la configuration | Lecteur général | Administrateur d’identité hybride |
| Authentification unique homogène | Administrateur d’identité hybride |
Connecter des rôles avec privilèges minimum de synchronisation
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches dans Microsoft Entra Connect Sync.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Gérer la synchronisation d’annuaires locaux | Administrateur d’identité hybride |
Attribution de rôles avec privilèges minimum dans le cloud
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour 'approvisionnement d’identités dans l’ID Microsoft Entra.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Authentification directe | Administrateur d’identité hybride | |
| Lire toute la configuration | Lecteur général | Administrateur d’identité hybride |
| Authentification unique homogène | Administrateur d’identité hybride |
Connecter des rôles avec privilèges minimum d’intégrité
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches dans Microsoft Entra Connect Health.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Ajouter ou supprimer des services | Propriétaire | |
| Appliquer des correctifs à une erreur de synchronisation | Contributeur | Propriétaire |
| Configurer les notifications | Contributeur | Propriétaire |
| Configurer les paramètres | Propriétaire | |
| Configurer les notifications de synchronisation | Contributeur | Propriétaire |
| Lire les rapports de sécurité ADFS | Lecteur Sécurité |
Contributeur Propriétaire |
| Lire toute la configuration | Lecteur |
Contributeur Propriétaire |
| Lire les erreurs de synchronisation | Lecteur |
Contributeur Propriétaire |
| Lire les services de synchronisation | Lecteur |
Contributeur Propriétaire |
| Afficher les métriques et les alertes | Lecteur |
Contributeur Propriétaire |
| Afficher les métriques et les alertes | Lecteur |
Contributeur Propriétaire |
| Afficher les métriques et les alertes de service de synchronisation | Lecteur |
Contributeur Propriétaire |
Noms de domaine personnalisés rôles avec privilèges minimum
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour noms de domaine personnalisés dans l’ID Microsoft Entra.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Gérer des domaines | Administrateur de nom de domaine | |
| Lire toute la configuration | Lecteurs de répertoire | Rôle d’utilisateur par défaut |
Rôles les moins privilégiés des services de domaine
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches dans Microsoft Entra Domain Services.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Créer des instances Microsoft Entra Domain Services |
Administrateur d’application Administrateur de groupes Contributeur aux services de domaine |
|
| Effectuer toutes les tâches de Microsoft Entra Domain Services | Groupe Administrateurs AAD DC | |
| Lire toute la configuration | Lecteur sur l’abonnement Azure contenant le service AD DS |
Rôles avec privilèges minimum sur les appareils
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour identité d’appareil dans l’ID Microsoft Entra.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Supprimer un appareil | Administrateur d’appareil cloud | Administrateur Intune |
| Désactiver un appareil | Administrateur d’appareil cloud | Administrateur Intune |
| Activer un appareil | Administrateur d’appareil cloud | Administrateur Intune |
| Lire la configuration de base | Rôle d’utilisateur par défaut | |
| Lire les clés BitLocker | Administrateur d’appareil cloud |
Administrateur du support technique Administrateur Intune Administrateur de la sécurité Lecteur Sécurité |
Rôles les moins privilégiés pour les applications d’entreprise
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour gestion des applications dans l’ID Microsoft Entra.
Rôles avec privilèges minimum de gestion des droits d’utilisation
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour gestion des droits d’utilisation dans Microsoft Entra ID Governance.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Tâches dans la gestion des droits d’utilisation | 'administrateur de gouvernance des identités. Pour les rôles moins longs que dans le système de gestion des droits d’utilisation, consultez : Délégation et rôles dans la gestion des droits d’utilisation. |
Groupes les rôles les moins privilégiés
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour groupes dans l’ID Microsoft Entra.
Licences rôles avec privilèges minimum
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour licence Microsoft Entra.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Affecter une licence | Administrateur de licence | Administrateur d’utilisateurs |
| Lire toute la configuration | Lecteurs de répertoire | Rôle d’utilisateur par défaut |
| Révoquer une licence | Administrateur de licence | Administrateur d’utilisateurs |
| Tester ou acheter un abonnement | Administrateur de facturation |
Rôles les moins privilégiés des flux de travail de cycle de vie
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour flux de travail de cycle de vie dans Microsoft Entra ID Governance.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Créer un flux de travail | flux de travail de cycle de vie administrateur | |
| Ajouter une extension personnalisée à un flux de travail | flux de travail de cycle de vie administrateur. Vous devez également avoir le contributeur d’application logique ou rôle Propriétaire Azure Resource Manager. |
Rôles les moins privilégiés Microsoft Entra Health
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches dans microsoft Entra Health monitoring.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Afficher les signaux de surveillance des scénarios | Lecteur de rapports |
Lecteur Sécurité Opérateur de sécurité Administrateur de la sécurité Administrateur du support technique Lecteur général |
Rôles les moins privilégiés microsoft Entra ID Protection
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches dans Microsoft Entra ID Protection.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Configurer des notifications d’alerte | Administrateur de la sécurité | |
| Configurer et activer ou désactiver la stratégie MFA | Administrateur de la sécurité | |
| Configurer et activer ou désactiver la stratégie de connexion à risque | Administrateur de la sécurité | |
| Configurer et activer ou désactiver la stratégie d’utilisateur à risque | Administrateur de la sécurité | |
| Configurer des synthèses hebdomadaires | Administrateur de la sécurité | |
| Ignorer toutes les détections de risques | Opérateur de sécurité | |
| Corriger ou ignorer des vulnérabilités | Administrateur de la sécurité | |
| Lire toute la configuration | Lecteur Sécurité | |
| Lire toutes les détections de risques | Lecteur Sécurité | |
| Lire les vulnérabilités | Lecteur Sécurité |
Surveillance et intégrité - Auditer et connecter les journaux des rôles avec privilèges minimum
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour les journaux d’audit et de connexion dans microsoft Entra monitoring.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Lire les journaux d’audit | Lecteur de rapports |
Administrateur d’application Administrateur d’application cloud Administrateur d’appareil cloud Administrateur d’accès global sécurisé Administrateur d’identité hybride Administrateur de la sécurité Opérateur de sécurité Lecteur Sécurité |
Surveillance et intégrité - Approvisionnement des rôles avec privilèges minimum
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour l’approvisionnement des journaux d’activité dans Microsoft Entra monitoring.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Lire les journaux d’activité de connexion | Lecteur de rapports |
Administrateur d’application Administrateur d’application cloud Administrateur d’appareil cloud Administrateur d’identité hybride Administrateur de la sécurité Opérateur de sécurité Lecteur Sécurité |
Surveillance et intégrité - Recommandations des rôles avec privilèges minimum
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour les recommandations d’identité dans Microsoft Entra monitoring.
Rôles à privilèges minimum d’authentification multifacteur
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches dans l’authentification Microsoft Entra.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Supprimer tous les mots de passe d’application existants qui ont été générés par les utilisateurs sélectionnés | Administrateur de la stratégie d’authentification | Administrateur d’authentification |
| Désactiver MFA par utilisateur | Administrateur d’authentification | Administrateur d’authentification privilégié |
| Activer MFA par utilisateur | Administrateur d’authentification | Administrateur d’authentification privilégié |
| Gérer les paramètres du service MFA | Administrateur de la stratégie d’authentification | |
| Demander aux utilisateurs sélectionnés de fournir à nouveau des méthodes de contact | Administrateur d’authentification | |
| Restaurer l’authentification multifacteur pour tous les appareils mémorisés | Administrateur d’authentification |
Rôles au moins privilégiés du serveur MFA
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches dans serveur MFA.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Blocage/déblocage des utilisateurs | Administrateur de la stratégie d’authentification | |
| Configurer le verrouillage de compte | Administrateur de la stratégie d’authentification | |
| Configurer les règles de mise en cache | Administrateur de la stratégie d’authentification | |
| Configurer l’alerte de fraude | Administrateur de la stratégie d’authentification | |
| Configurer les notifications | Administrateur de la stratégie d’authentification | |
| Configurer un contournement à usage unique | Administrateur de la stratégie d’authentification | |
| Configurer les paramètres d’appel téléphonique | Administrateur de la stratégie d’authentification | |
| Configurer des fournisseurs | Administrateur de la stratégie d’authentification | |
| Configurez les paramètres du serveur | Administrateur de la stratégie d’authentification | |
| Lire un rapport d’activité | Lecteur général | |
| Lire toute la configuration | Lecteur général | |
| Lire l’état du serveur | Lecteur général |
Relations organisationnelles les moins privilégiés
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour paramètres de collaboration externe dans l’ID externe Microsoft Entra.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Gérer les fournisseurs d’identité | Administrateur de fournisseurs d’identité externes | |
| Lire toute la configuration | Lecteur général |
Réinitialisation de mot de passe des rôles avec privilèges minimum
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour réinitialisation de mot de passe dans l’ID Microsoft Entra.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Configurer les méthodes d’authentification | Administrateur de la stratégie d’authentification | |
| Configurer la personnalisation | Administrateur de la stratégie d’authentification | |
| Configurer la notification | Administrateur de la stratégie d’authentification | |
| Configurer l’intégration locale | Administrateur de la stratégie d’authentification | |
| Configurer les propriétés de la réinitialisation de mot de passe | Administrateur d’utilisateurs | Administrateur de la stratégie d’authentification |
| Configurer l’inscription | Administrateur de la stratégie d’authentification | |
| Lire toute la configuration | Administrateur de la sécurité | Administrateur d’utilisateurs |
Autorisations gestion des rôles avec privilèges minimum
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches dans Microsoft Entra Permissions Management.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Intégration des locataires | Administrateur de gestion des autorisations | |
| Intégrer les environnements cloud | Administrateur de gestion des autorisations | |
| Attribuer des autorisations dans la Gestion des autorisations Microsoft Entra | Administrateur de gestion des autorisations | |
| Démarrer l’essai et acheter des licences de la gestion des autorisations Microsoft Entra | Administrateur de facturation |
Rôles privileged Identity Management les moins privilégiés
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour Microsoft Entra Privileged Identity Management dans Microsoft Entra ID Governance.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Affecter des utilisateurs aux rôles | Administrateur de rôle privilégié | |
| Configurer les paramètres de rôle | Administrateur de rôle privilégié | |
| Afficher l’activité d’audit | Lecteur Sécurité | |
| Afficher les appartenances aux rôles | Lecteur Sécurité |
Rôles et administrateurs les rôles les moins privilégiés
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour rôles et administrateurs dans Microsoft Entra ID.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Gérer les attributions de rôles | Administrateur de rôle privilégié | |
| Révision d’accès en lecture d’un rôle Microsoft Entra | Lecteur Sécurité |
Administrateur de la sécurité Administrateur de rôle privilégié |
| Lire toute la configuration | Rôle d’utilisateur par défaut |
Sécurité - Méthodes d’authentification les rôles les moins privilégiés
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour méthodes d’authentification dans l’ID Microsoft Entra.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Activer ou désactiver des méthodes d’authentification | Administrateur de la stratégie d’authentification | |
| Afficher, approvisionner au nom d’une personne et gérer des méthodes d’authentification individuelles des utilisateurs | Administrateur d’authentification | Administrateur d’authentification privilégié |
| Configurer la protection par mot de passe | Administrateur de la sécurité | |
| Configurer le verrouillage intelligent | Administrateur de la sécurité | |
| Lire toute la configuration | Lecteur général |
Sécurité - Rôles avec privilèges minimum d’accès conditionnel
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour d’accès conditionnel dans l’ID Microsoft Entra.
Sécurité - Score de sécurité des identités les rôles avec privilèges minimum
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour Identity Secure Score dans l’ID Microsoft Entra.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Lire toute la configuration | Lecteur Sécurité | Administrateur de la sécurité |
| Lire un score de sécurité | Lecteur Sécurité | Administrateur de la sécurité |
| Mettre à jour l’état d’un événement | Administrateur de la sécurité |
Sécurité - Connexions risquées les rôles les moins privilégiés
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour connexions risquées dans Microsoft Entra ID Protection.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Lire toute la configuration | Lecteur Sécurité | |
| Lire les connexions à risque | Lecteur Sécurité |
Sécurité - Utilisateurs marqués pour les rôles à risque les moins privilégiés
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour utilisateurs marqués pour les risques dans Microsoft Entra ID Protection.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Ignorer tous les événements | Administrateur de la sécurité | |
| Lire toute la configuration | Lecteur Sécurité | |
| Lire les utilisateurs avec indicateur de risque | Lecteur Sécurité |
Rôles d’accès temporaires avec privilèges minimum
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour passe d’accès temporaire dans l’ID Microsoft Entra.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Créer, supprimer ou afficher un passe d’accès temporaire pour les administrateurs ou les membres (sauf eux-mêmes) | Administrateur d’authentification privilégié | |
| Créer, supprimer ou afficher un passe d’accès temporaire pour les membres (sauf eux-mêmes) | Administrateur d’authentification | |
| Afficher les détails d’un passe d’accès temporaire pour un utilisateur (sans lire le code lui-même) | Lecteur général | |
| Configurer ou mettre à jour la stratégie de méthode d’authentification par passe d’accès temporaire | Administrateur de la stratégie d’authentification |
Locataires les rôles les moins privilégiés
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches dans locataires Microsoft Entra.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Créez un locataire Microsoft Entra ID ou Azure AD B2C | Créateur du locataire | |
| Mettre à jour les propriétés de locataire Microsoft Entra | Administrateur de facturation | |
| Gérer la déclaration de confidentialité et lesde contact | Administrateur de facturation |
Utilisateurs les rôles les moins privilégiés
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour utilisateurs dans l’ID Microsoft Entra.
| Tâche | Rôle moins privilégié | Autres rôles |
|---|---|---|
| Ajouter un utilisateur à un rôle d’annuaire | Administrateur de rôle privilégié | |
| Ajouter un utilisateur à un groupe | Administrateur d’utilisateurs | |
| Affecter une licence | Administrateur de licence | Administrateur d’utilisateurs |
| Créer un utilisateur invité | Inviteur d’invités | Administrateur d’utilisateurs |
| Réinitialiser l’invitation d’un utilisateur invité | Administrateur du support technique | Administrateur d’utilisateurs |
| Créer un utilisateur | Administrateur d’utilisateurs | |
| Suppression d’utilisateurs | Administrateur d’utilisateurs | |
| Invalider les jetons d’actualisation des administrateurs limités | Administrateur d’utilisateurs | |
| Invalider des jetons d’actualisation des non-administrateurs | Administrateur du support technique | Administrateur d’utilisateurs |
| Invalider les jetons d’actualisation des administrateurs privilégiés | Administrateur d’authentification privilégié | |
| Lire la configuration de base | Rôle d’utilisateur par défaut | |
| Réinitialiser le mot de passe pour les administrateurs limités | Administrateur d’utilisateurs | |
| Réinitialiser le mot de passe des non-administrateurs | Administrateur de mots de passe | Administrateur d’utilisateurs |
| Réinitialiser le mot de passe des administrateurs privilégiés | Administrateur d’authentification privilégié | |
| Révoquer une licence | Administrateur de licence | Administrateur d’utilisateurs |
| Mettre à jour toutes les propriétés, sauf le nom d’utilisateur principal | Administrateur d’utilisateurs | |
| Mettre à jour la propriété de synchronisation locale activée | Administrateur d’identité hybride | |
| Mettre à jour le nom d’utilisateur principal pour les administrateurs limités | Administrateur d’utilisateurs | |
| Mettre à jour la propriété Nom d’utilisateur principal sur les administrateurs privilégiés | Administrateur d’authentification privilégié | |
| Mettre à jour les paramètres utilisateur – Autorisations de rôle d’utilisateur par défaut | Administrateur de rôle privilégié | |
| Mettre à jour les paramètres utilisateur – Accès des utilisateurs invités | Administrateur de rôle privilégié | |
| Mettre à jour les paramètres utilisateur – Centre d’administration | Administrateur général | |
| Mettre à jour les paramètres utilisateur – Connexions des comptes LinkedIn | Administrateur général | |
| Mettre à jour les paramètres utilisateur – Demander à l’utilisateur s’il veut rester connecté | Administrateur général | |
| Mettre à jour les méthodes d’authentification | Administrateur d’authentification | Administrateur d’authentification privilégié |
Prendre en charge les rôles avec privilèges minimum
Voici les rôles les moins privilégiés que vous devez utiliser lors de l’exécution de tâches pour prise en charge dans Microsoft Entra ID.