Attribuer des rôles Microsoft Entra
Cet article explique comment attribuer des rôles Microsoft Entra à des utilisateurs et des groupes à l’aide du Centre d’administration Microsoft Entra, de Microsoft Graph PowerShell ou de Microsoft API Graph. Il décrit également comment attribuer des rôles à différents périmètres, tels que le locataire, l’enregistrement d’application et les périmètres d’unité administrative.
Vous pouvez attribuer des attributions de rôles directes et indirectes à un utilisateur. Si un utilisateur se voit attribuer un rôle en raison de son appartenance à un groupe, ajoutez l’utilisateur au groupe pour ajouter l’attribution de rôle. Pour plus d’informations, consultez Utiliser des groupes Microsoft Entra pour gérer les attributions de rôles.
Dans Microsoft Entra ID, les rôles sont généralement attribués pour s’appliquer à l’ensemble du locataire. Cependant, vous pouvez également attribuer des rôles Microsoft Entra à différentes ressources, telles que les inscriptions d’applications ou les unités administratives. Par exemple, vous pouvez attribuer le rôle Administrateur du support technique pour qu’il s’applique uniquement à une unité administrative particulière et non à l’ensemble du locataire. Les ressources auxquelles s’applique une attribution de rôle sont également appelées l’étendue. La restriction de l’étendue d’une attribution de rôle est prise en charge pour les rôles intégrés et personnalisés. Pour plus d’informations sur l’étendue, consultez Vue d’ensemble du contrôle d’accès en fonction du rôle (RBAC) dans Microsoft Entra ID.
Rôles Microsoft Entra dans PIM
Si vous disposez d’une licence Microsoft Entra ID P2 et que Privileged Identity Management (PIM), vous disposez de fonctionnalités supplémentaires lors de l’attribution de rôles, telles que la possibilité pour un utilisateur d’attribuer un rôle ou de définir l’heure de début et de fin d’une attribution de rôle. Pour plus d’informations sur l’attribution de rôles Microsoft Entra dans PIM, consultez les articles suivants :
| Méthode | Information |
|---|---|
| Centre d’administration Microsoft Entra | Attribuer des rôles Microsoft Entra dans Privileged Identity Management |
| Microsoft Graph PowerShell | Microsoft Graph : Didacticiel : attribuer des rôles Microsoft Entra dans Privileged Identity Management à l’aide de Microsoft Graph PowerShell |
| Microsoft API Graph | Gérer les attributions de rôles Microsoft Entra à l’aide d’API PIM Attribuer des rôles Microsoft Entra dans Privileged Identity Management |
Prérequis
- Administrateur de rôle privilégié
- Module Microsoft Graph PowerShell lors de l’utilisation de PowerShell
- Consentement administrateur lors de l’utilisation de l’Afficheur Graph pour Microsoft API Graph
Pour plus d'informations, consultez Prérequis pour utiliser PowerShell ou de l'Afficheur Graph.
Attribuer des rôles aux locataires
Cette section explique comment attribuer des rôles au niveau d’un locataire.
Connectez-vous au centre d’administration Microsoft Entra en tant qu’au moins un administrateur de rôle privilégié .
Accédez à Identité>Rôles & Administrateurs>Unités d’administration.
Sélectionnez un nom de rôle pour ouvrir le rôle. N’ajoutez pas de case à cocher à côté du rôle.
Sélectionnez Ajouter des attributions, puis sélectionnez les utilisateurs ou le groupe que vous souhaitez attribuer à ce rôle.
Seuls les groupes pouvant faire l’objet d’une attribution de rôle s’affichent. Si le groupe n’est pas répertorié, vous devrez créer un groupe pouvant faire l’objet d’une attribution de rôle. Pour plus d’informations, consultez Créer un groupe pouvant faire l’objet d’une attribution de rôle dans Microsoft Entra ID.
Si votre expérience est différente de la capture d’écran suivante, vous avez peut-être Microsoft Entra ID P2 et PIM. Pour plus d’informations, consultez Attribuer des rôles Microsoft Entra dans Privileged Identity Management.
Sélectionnez Ajouter pour attribuer le rôle.
Attribuer des rôles dans le cadre de l'enregistrement d'une application
Les rôles intégrés et les rôles personnalisés sont attribués par défaut à l'échelle du locataire pour accorder des autorisations d’accès sur tous les enregistrements d’applications de votre organisation. En outre, des rôles personnalisés et certains rôles intégrés pertinents (selon le type de ressource Microsoft Entra) peuvent également être attribués à l’étendue d’une seule ressource Microsoft Entra. Cela vous permet de donner à l’utilisateur l’autorisation de mettre à jour les informations d’identification et les propriétés de base d’une application unique sans devoir créer un deuxième rôle personnalisé.
Cette section explique comment attribuer des rôles au niveau d'une étendue d’enregistrement de l’application.
Connectez-vous au Centre d’administration Microsoft Entra en tant que Développeur d’application.
Accédez à Identité>Applications>Inscriptions d’applications.
Sélectionnez une application. Vous pouvez utiliser la zone de recherche pour trouver l’application souhaitée.
Vous devrez peut-être sélectionner Toutes les applications pour afficher la liste complète des enregistrements d'applications dans votre espace locataire.
Capture d’écran
Sélectionnez Rôles et administrateurs dans le menu de navigation de gauche pour afficher la liste de tous les rôles disponibles pour l'inscription de l'application.
Sélectionnez le rôle souhaité.
Conseil
Vous ne verrez pas ici la liste complète des rôles intégrés ou personnalisés de Microsoft Entra. Ceci est normal. Nous montrons les rôles qui ont des autorisations liées à la gestion des inscriptions d’applications uniquement.
Sélectionnez Ajouter des attributions, puis sélectionnez les utilisateurs ou le groupe que vous souhaitez attribuer à ce rôle.
Sélectionnez Ajouter pour attribuer le rôle au niveau de l’inscription d’application.
Affecter des rôles avec une étendue d’unité administrative
Dans Microsoft Entra ID, pour avoir un contrôle administratif plus granulaire, vous pouvez attribuer un rôle Microsoft Entra avec une étendue limitée à une ou plusieurs unités administratives. Quand un rôle Microsoft Entra est attribué au niveau d’une unité administrative, les autorisations de rôle s’appliquent uniquement pour la gestion des membres de l’unité administrative proprement dite, elles ne s’appliquent pas aux paramètres ou configurations à l’échelle du locataire.
Par exemple, un administrateur qui est assigné au rôle d'Administrateur de groupes dans le cadre d’une unité administrative peut gérer les groupes qui sont membres de l’unité administrative, mais il ne peut pas gérer d’autres groupes dans le locataire. Il lui est également impossible de gérer les paramètres au niveau du locataire en rapport avec les groupes, tels que les stratégies d’expiration ou de nommage des groupes.
Cette section explique comment attribuer des rôles Microsoft Entra avec le périmètre de l’unité administrative.
Prérequis
- Licence Microsoft Entra ID P1 ou P2 pour chaque administrateur d’unité administrative
- Licences Microsoft Entra ID Gratuit pour les membres d’unité administrative
- Administrateur de rôle privilégié
- Module Microsoft Graph PowerShell lors de l’utilisation de PowerShell
- Consentement administrateur lors de l’utilisation de l’Afficheur Graph pour Microsoft API Graph
Pour plus d'informations, consultez Prérequis pour utiliser PowerShell ou de l'Afficheur Graph.
Rôles qui peuvent être attribués dans le cadre de l'étendue d'une unité administrative
Les rôles suivants de Microsoft Entra peuvent être assignés à une unité administrative spécifique. En outre, tout rôle personnalisé peut être attribué avec une étendue d’unité administrative tant que les autorisations du rôle personnalisé incluent au moins une autorisation pertinente pour les utilisateurs, les groupes ou les appareils.
| Rôle | Description |
|---|---|
| Administrateur d’authentification | Dispose du droit de consulter, définir et réinitialiser les informations des méthodes d'authentification pour tout utilisateur non administrateur uniquement dans l'unité administrative attribuée. |
| Administrateur d'appareil Cloud | Accès limité pour gérer les appareils dans Microsoft Entra ID. |
| Administrateur de groupes | Peut gérer tous les aspects de groupes au sein de l’unité administrative attribuée uniquement. |
| Administrateur du support technique | Peut réinitialiser les mots de passe des non-administrateurs au sein de l’unité administrative affectée uniquement. |
| Administrateur de licence | Peut attribuer, supprimer et mettre à jour des affectations de licence à l’intérieur de l’unité administrative uniquement. |
| Administrateur de mots de passe | Peut réinitialiser les mots de passe des non-administrateurs et des administrateurs de mots de passe à l’intérieur de l’unité administrative affectée uniquement. |
| administrateur d’imprimante | Peut gérer des imprimantes et des connecteurs d’imprimantes. Pour plus d’informations, consultez Déléguer l’administration des imprimantes dans l’impression universelle. |
| Administrateur d’authentification privilégié | Peut afficher, définir et réinitialiser les informations de méthode d’authentification pour tout utilisateur (administrateur ou non administrateur). |
| Administrateur SharePoint | Peut gérer tous les groupes Microsoft 365 au sein de l’unité administrative attribuée uniquement. Pour les sites SharePoint associés à des groupes Microsoft 365 dans une unité administrative, il peut également mettre à jour les propriétés du site (nom du site, URL et stratégie de partage externe) à l’aide du centre d’administration Microsoft 365. Ne peut pas utiliser le centre d’administration SharePoint ou les API SharePoint pour gérer les sites. |
| Administrateur Teams | Peut gérer tous les groupes Microsoft 365 au sein de l’unité administrative attribuée uniquement. Peut gérer les membres de l’équipe dans le centre d’administration Microsoft 365 pour les équipes associées à des groupes dans l’unité administrative attribuée uniquement. Ne peut pas utiliser le centre d’administration Teams. |
| Administrateur d’appareils Teams | Peut effectuer des tâches d’administration sur des appareils certifiés Teams. |
| Administrateur d’utilisateurs | Peut gérer tous les aspects des utilisateurs et des groupes, notamment la réinitialisation des mots de passe pour les administrateurs limités à l’intérieur de l’unité administrative affectée uniquement. Ne peut pas gérer les photos de profil des utilisateurs pour l’instant. |
| <rôle personnalisé> | Peut effectuer des actions qui s’appliquent à des utilisateurs, des groupes ou des appareils, en fonction de la définition du rôle personnalisé. |
Certaines autorisations de rôle s’appliquent uniquement aux utilisateurs non-administrateurs lorsqu’ils sont affectés avec l’étendue d’une unité administrative. En d’autres termes, l’unité administrative délimitée à Administrateurs du Support Technique peut réinitialiser les mots de passe des utilisateurs de l’unité administrative uniquement si ces utilisateurs n’ont pas de rôles d’administrateur. La liste d’autorisations suivante est restreinte lorsque la cible d’une action est un autre administrateur :
- Lire et modifier les méthodes d’authentification utilisateur ou réinitialiser les mots de passe utilisateur
- Modifier les propriétés d’utilisateur sensibles telles que les numéros de téléphone, les adresses e-mail alternatives ou les clés secrètes d’autorisation (OAuth)
- Supprimer ou restaurer des comptes d’utilisateur
Principaux de sécurité auxquels une étendue d’unité administrative peut être affectée
Les principaux de sécurité suivants peuvent être affectés à un rôle dans le cadre d'une unité administrative :
- Utilisateurs
- Groupes compatibles avec l’attribution de rôle Microsoft Entra
- Principaux de service
Principaux de service et utilisateurs invités
Les principaux de service et les utilisateurs invités ne peuvent pas utiliser une attribution de rôle délimitée à une unité administrative, sauf s’ils sont également affectés aux autorisations correspondantes pour lire les objets. C’est parce que les principaux de service et les utilisateurs invités ne reçoivent pas d’autorisations de lecture d’annuaire par défaut, qui sont nécessaires pour entreprendre des actions administratives. Pour permettre à un principal de service ou à un utilisateur invité d’utiliser une attribution de rôle délimitée à une unité administrative, vous devez attribuer le rôle Lecteurs d’annuaire (ou un autre rôle qui inclut des autorisations de lecture) dans une étendue de locataire.
Il n’est actuellement pas possible d’attribuer des autorisations de lecture d’annuaire délimitées à une unité administrative. Pour plus d’informations sur les autorisations par défaut pour les utilisateurs, consultez Autorisations utilisateur par défaut.
Affecter des rôles avec une étendue d’unité administrative
Cette section explique comment attribuer des rôles à l’étendue de l’unité administrative.
Connectez-vous au centre d’administration Microsoft Entra en tant qu’au moins un administrateur de rôle privilégié .
Accédez à Identité>Rôles & Administrateurs>Unités d’administration.
Sélectionnez une unité administrative.
capture d’écran
Sélectionnez Rôles et administrateurs dans le menu de navigation de gauche pour voir la liste de tous les rôles disponibles pouvant être attribués à une unité administrative.
Sélectionnez le rôle souhaité.
Conseil
Vous ne verrez pas ici la liste complète des rôles intégrés ou personnalisés de Microsoft Entra. Ceci est normal. Nous montrons les rôles qui ont des autorisations liées aux objets pris en charge au sein de l’unité administrative. Pour afficher la liste des objets pris en charge dans une unité administrative, consultez Unités administratives dans Microsoft Entra ID.
Sélectionnez Ajouter des attributions, puis sélectionnez les utilisateurs ou le groupe que vous souhaitez attribuer à ce rôle.
Sélectionnez Ajouter pour attribuer le rôle ayant pour périmètre l'unité administrative.
