Rôles intégrés Microsoft Entra
Dans Microsoft Entra ID, si un autre administrateur ou non administrateur doit gérer des ressources Microsoft Entra, vous lui attribuez un rôle Microsoft Entra qui fournit les autorisations dont il a besoin. Par exemple, vous pouvez attribuer des rôles pour permettre l’ajout ou la modification d’utilisateurs, la réinitialisation des mots de passe des utilisateurs, la gestion des licences d’utilisation ou la gestion des noms de domaine.
Cet article répertorie les rôles intégrés Microsoft Entra que vous pouvez affecter pour permettre la gestion des ressources Microsoft Entra. Pour obtenir des informations sur la procédure d’attribution de rôles, consultez Attribuer des rôles Microsoft Entra aux utilisateurs. Si vous recherchez des rôles pour gérer les ressources Azure, consultez Rôles intégrés Azure.
Tous les rôles
Role | Description | ID de modèle |
---|---|---|
administrateur IA | Gérez tous les aspects de Microsoft 365 Copilot et des services d’entreprise liés à l’IA dans Microsoft 365. | d2562ede-74db-457e-a7b6-544e236ebb61 |
Administrateur d’application | Peut créer et gérer tous les aspects des inscriptions d’applications et des applications d’entreprise. |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
Développeur d’applications | Peut créer des inscriptions d’applications indépendamment du paramètre « Les utilisateurs peuvent inscrire des applications ». |
cf1c38e5-3621-4004-a7cb-879624dced7c |
Auteur de charge utile d'attaque | Peut créer des charges utiles d’attaque qu’un administrateur peut lancer plus tard. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
Administrateur de simulation d'attaque | Peut créer et gérer tous les aspects des campagnes de simulation d'attaque. | c430b396-e693-46cc-96f3-db01bf8bb62a |
Administrateur de l’attribution des attributs | Affecter des clés et des valeurs d’attributs de sécurité personnalisés aux objets Microsoft Entra pris en charge. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
Lecteur d’attribution d’attributs | Lire les clés et valeurs d’attributs de sécurité personnalisés pour les objets Microsoft Entra pris en charge. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
Administrateur de définition d’attribut | Définir et gérer la définition des attributs de sécurité personnalisés. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
Lecteur de définition d’attribut | Lire la définition des attributs de sécurité personnalisés. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
Administrateur du journal d’attributs | Lisez les journaux d’audit et configurez les paramètres de diagnostic pour les événements liés aux attributs de sécurité personnalisés. | 5b784334-f94b-471a-a387-e7219fc49ca2 |
Lecteur du journal des attributs | Lisez les journaux d’audit liés aux attributs de sécurité personnalisés. | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
administrateur d’approvisionnement d’attributs | Ajoutez ou supprimez des attributs de sécurité personnalisés dans la source pour le mappage d’attributs cible. |
bce2c6bf-0ab6-418e-bd87-7986f8d63bbe |
lecteur d’approvisionnement d’attributs | Lire les attributs de sécurité personnalisés définis sur les objets utilisateur. | 422218e4-db15-4ef9-bbe0-8afb41546d79 |
Administrateur d’authentification | Peut accéder pour afficher, définir et réinitialiser les informations de méthode d’authentification pour tout utilisateur non administrateur. |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
Administrateur d’extensibilité de l’authentification | Personnaliser les expériences de connexion et d’inscription pour les utilisateurs en créant et en gérant des extensions d’authentification personnalisées. |
25a516ed-2fa0-40ea-a2d0-12923a21473a |
Administrateur de la stratégie d’authentification | Peut créer et gérer la stratégie relative aux méthodes d'authentification, les paramètres d'authentification multifacteur à l'échelle du locataire, la stratégie de protection par mot de passe et les justificatifs vérifiables. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
Administrateur Azure DevOps | Peut gérer des stratégies et des paramètres Azure DevOps. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
Administrateur Azure Information Protection | Peut gérer tous les aspects du produit Azure Information Protection. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
Administrateur de jeux de clés B2C IEF | Peut gérer les secrets pour la fédération et le chiffrement dans Identity Experience Framework (IEF). |
aaf43236-0c0d-4d5f-883a-6955382ac081 |
Administrateur de stratégies B2C IEF | Peut créer et gérer les stratégies de framework de confiance dans Identity Experience Framework (IEF). | 3edaf663-341e-4475-9f94-5c398ef6c070 |
Administrateur de facturation | Peut effectuer des tâches de facturation courantes, comme la mise à jour des informations de paiement. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
Administrateur de sécurité d’application cloud | Peut gérer tous les aspects du produit Defender for Cloud Apps | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
Administrateur d’application cloud | Peut créer et gérer tous les aspects des inscriptions d’applications et des applications d’entreprise, à l’exception du proxy d’application. |
158c047a-c907-4556-b7ef-446551a6b5f7 |
Administrateur d’appareil cloud | Accès limité pour gérer les appareils dans Microsoft Entra ID. |
7698a772-787b-4ac8-901f-60d6b08affd2 |
Administrateur de conformité | Peut lire et gérer la configuration de la conformité et les rapports dans Microsoft Entra ID et Microsoft 365. | 17315797-102d-40b4-93e0-432062caca18 |
Administrateur des données de conformité | Crée et gère le contenu de conformité. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
Administrateur de l’accès conditionnel | Peut gérer les fonctionnalités d’accès conditionnel. |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
Approbateur d’accès à Customer LockBox | Peut approuver les demandes de support Microsoft pour accéder aux données organisationnelles du client. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
Administrateur Desktop Analytics | Peut utiliser et gérer des services et outils de gestion de bureau. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
Lecteurs de répertoire | Peut lire les informations d’annuaire de base. Couramment utilisé pour accorder à l’annuaire l’accès en lecture aux applications et aux invités. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
Comptes de synchronisation d’annuaires | Utilisé uniquement par le service Microsoft Entra Connect. | d29b2b05-8046-44ba-8758-1e26182fcf32 |
Enregistreurs de répertoire | Peut lire et écrire des informations d’annuaire de base. Pour accorder l’accès aux applications, non destiné aux utilisateurs. |
9360feb5-f418-4baa-8175-e2a00bac4301 |
Administrateur de nom de domaine | Peut gérer les noms de domaine dans le cloud et localement. |
8329153b-31d0-4727-b945-745eb3bc5f31 |
Administrateur Dynamics 365 | Peut gérer tous les aspects du produit Dynamics 365. | 44367163-eba1-44c3-98af-f5787879f96a |
Administrateur Dynamics 365 Business Central | Accédez à tous les environnements Dynamics 365 Business Central et effectuez toutes les tâches d’administration. | 963797fb-eb3b-4cde-8ce3-5878b3f32a3f |
Administrateur Edge | Gérez tous les aspects de Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
Administrateur Exchange | Peut gérer tous les aspects du produit Exchange. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
Administrateur des destinataires Exchange | Peut créer ou mettre à jour des destinataires Exchange Online dans l’organisation Exchange Online. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
Administrateur de flux d’utilisateurs ID externe | Peut créer et gérer tous les aspects des flux utilisateur. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
Administrateur d’attribut de flux d’utilisateurs ID externe | Peut créer et gérer le schéma d’attribut disponible pour tous les flux utilisateur. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
Administrateur de fournisseurs d’identité externes | Peut configurer les fournisseurs d’identité pour une utilisation dans la fédération directe. |
be2f45a1-457d-42af-a067-6ec1fa63bc45 |
Administrateur Fabric | Peut gérer tous les aspects des produits Fabric et Power BI. | a9ea8996-122f-4c74-9520-8edcd192826c |
Administrateur général | Peut gérer tous les aspects de Microsoft Entra ID et des services Microsoft qui utilisent des identités Microsoft Entra. |
62e90394-69f5-4237-9190-012177145e10 |
Lecteur général | Peut lire tous les éléments comme un administrateur général, mais ne peut pas mettre à jour. |
f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
Rôle Administrateur d’accès global sécurisé | Créez et gérez tous les aspects de l’accès Internet Microsoft Entra et des accès privés Microsoft Entra, notamment la gestion de l’accès aux points de terminaison publics et privés. | ac434307-12b9-4fa1-a708-88bf58caabc1 |
Administrateur de groupes | Les membres de ce rôle peuvent créer/gérer des groupes, créer/gérer des paramètres de groupes tels que des stratégies de nommage et d’expiration, ainsi qu’afficher des rapports d’activité et d’audit de groupes. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
Inviteur d’invités | Peut inviter des utilisateurs invités indépendamment du paramètre « Les membres peuvent inviter des invités ». | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
Administrateur du support technique | Peut réinitialiser des mots de passe pour les utilisateurs non-administrateurs et les administrateurs du support technique. |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
Administrateur d’identité hybride | Gérez l’approvisionnement cloud d’Active Directory vers Microsoft Entra, Microsoft Entra Connect, l’authentification directe (PTA), la synchronisation de hachage du mot de passe (PHS), l’authentification unique transparente (Seamless SSO) et les paramètres de fédération. N’a pas accès à la gestion de Microsoft Entra Connect Health. |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
Administrateur Identity Governance | Gérer l’accès à l’aide de Microsoft Entra ID pour les scénarios de gouvernance des identités. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
Administrateur Insights | Dispose d’un accès administratif dans l’application Microsoft 365 Insights. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
Analyste Insights | Accédez aux fonctionnalités analytiques de Microsoft Viva Insights et exécutez des requêtes personnalisées. | 25df335f-86eb-4119-b717-0ff02de207e9 |
Leader d’entreprise Insights | Peut afficher et partager des tableaux de bord et des insights par le biais de l’application Microsoft 365 Insights. | 31e939ad-9672-4796-9c2e-873181342d2d |
Administrateur Intune | Peut gérer tous les aspects du produit Intune. |
3a2c62db-5318-420d-8d74-23affee5d9d5 |
Administrateur Kaizala | Peut gérer les paramètres de Microsoft Kaizala. | 74ef975b-6605-40af-a5d2-b9539d836353 |
Administrateur des connaissances | Peut configurer les connaissances, l’apprentissage et d’autres fonctionnalités intelligentes. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
Gestionnaire des connaissances | Peut organiser, créer, gérer et promouvoir des rubriques et des connaissances. | 744ec460-397e-42ad-a462-8b3f9747a02c |
Administrateur de licence | Peut gérer les licences de produit pour les utilisateurs et les groupes. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
Administrateur des workflows de cycle de vie | Créer et gérez tous les aspects des workflows et des tâches associés aux workflows de cycle de vie dans Microsoft Entra ID. |
59d46f88-662b-457b-bceb-5c3809e5908f |
Lecteur de confidentialité du Centre de messages | Peut lire les messages et les mises à jour de sécurité uniquement dans le Centre de messages Office 365. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
Lecteur du Centre de messages | Peut lire les messages et les mises à jour de son organisation dans le Centre de messages Office 365 uniquement. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
Administrateur(-trice) de migration Microsoft 365 | Exécuter toutes les fonctionnalités de migration pour migrer le contenu vers Microsoft 365 à l’aide du gestionnaire de migration. | 8c8b803f-96e1-4129-9349-20738d9f9652 |
Administrateur local de l’appareil joint à Microsoft Entra | Les utilisateurs dotés de ce rôle sont ajoutés au groupe d’administrateurs locaux sur des appareils joints à Microsoft Entra. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
Administrateur de la garantie du matériel Microsoft | Créer et gérer tous les aspects des revendications et droits d’utilisation du matériel de fabrication Microsoft, comme Surface et HoloLens. | 1501b917-7653-4ff9-a4b5-203eaf33784f |
Spécialiste de la garantie du matériel Microsoft | Créer et lire les revendications de garantie pour le matériel de fabrication Microsoft, comme Surface et HoloLens. | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
Administrateur de Commerce moderne | Peut gérer les achats commerciaux d’une société, d’un service ou d’une équipe. | d24aef57-1500-4070-84db-2666f29cf966 |
Administrateur réseau | Peut gérer les emplacements réseau et passer en revue les insights sur la conception réseau de l’entreprise pour les applications Software as a Service Microsoft 365. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
Administrateur d’applications Office | Peut gérer les services cloud des applications Office, notamment la gestion des stratégies et des paramètres, et gérer la possibilité de sélectionner, de désélectionner et de publier le contenu de la fonctionnalité « Nouveautés » sur les appareils de l’utilisateur final. | 2b745bdf-0803-4d80-aa65-822c4493daac |
Administrateur de la personnalisation organisationnelle | Gérez tous les aspects de la personnalisation organisationnelle dans un tenant. | 92ed04bf-c94a-4b82-9729-b799a7a4c178 |
Approbateur de messages organisationnels | Passez en revue, approuvez ou rejetez de nouveaux messages organisationnels pour la distribution dans le centre d’administration Microsoft 365 avant qu’ils ne soient envoyés aux utilisateurs. | e48398e2-f4bb-4074-8f31-4586725e205b |
Enregistreur de messages organisationnels | Écrire, publier, gérer et examiner les messages organisationnels pour les utilisateurs finaux à travers les produits Microsoft Surface. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
Prise en charge de niveau 1 de partenaire | Ne pas utiliser - non destiné à une utilisation générale. |
4ba39ca4-527c-499a-b93d-d9b492c50246 |
Prise en charge de niveau 2 de partenaire | Ne pas utiliser - non destiné à une utilisation générale. |
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
Administrateur de mots de passe | Peut réinitialiser les mots de passe pour les utilisateurs non administrateurs et les administrateurs de mot de passe. |
966707d0-3269-4727-9be2-8c3a10f19b9d |
Administrateur de gestion des autorisations | Gérer tous les aspects de la gestion des autorisations Microsoft Entra. | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
Administrateur de plateforme Power | Peut créer et gérer tous les aspects de Microsoft Dynamics 365, Power Apps et Power Automate. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
Administrateur d’imprimantes | Peut gérer tous les aspects des imprimantes et des connecteurs d’imprimantes. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
Technicien en charge des imprimantes | Peut inscrire et désinscrire des imprimantes et mettre à jour l’état de l’imprimante. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
Administrateur d’authentification privilégié | Peut afficher, définir et réinitialiser les informations de méthode d’authentification pour tout utilisateur (administrateur ou non administrateur). |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
Administrateur de rôle privilégié | Peut gérer les attributions de rôles dans Microsoft Entra ID, et tous les aspects de Privileged Identity Management. |
e8611ab8-c189-46e8-94e1-60213ab1f814 |
Lecteur de rapports | Peut lire les rapports d’audit et sur les connexions. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
Administrateur de recherche | Peut créer et gérer tous les aspects des paramètres de Recherche Microsoft. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
Éditeur de recherche | Peut créer et gérer le contenu éditorial comme les signets, les questions et réponses, les emplacements et les plans d’étage. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
Administrateur de la sécurité | Peut lire des rapports et des informations de sécurité, ainsi que gérer la configuration dans Microsoft Entra ID et Office 365. |
194ae4cb-b126-40b2-bd5b-6091b380977d |
Opérateur de sécurité | Crée et gère les événements de sécurité. |
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
Lecteur de sécurité | Peut lire des rapports et des informations de sécurité dans Microsoft Entra ID et Office 365. |
5d6b6bb7-de71-4623-b4af-96380a352509 |
Administrateur de support de service | Peut lire des informations sur l’intégrité du service et gérer les tickets de support. | f023fd81-a637-4b56-95fd-791ac0226033 |
Administrateur SharePoint | Peut gérer tous les aspects du service SharePoint. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
Administrateur SharePoint Embedded | Gérez tous les aspects des conteneurs SharePoint Embedded. | 1a7d78b6-429f-476b-b8eb-35fb715fffd4 |
Administrateur Skype Entreprise | Peut gérer tous les aspects du produit Skype Entreprise. | 75941009-915a-4869-abe7-691bff18279e |
Administrateur Teams | Peut gérer le service Microsoft Teams. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
Administrateur des communications Teams | Peut gérer les fonctionnalités d’appel et de réunion au sein du service Microsoft Teams. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
Ingénieur de support des communications Teams | Peut résoudre les problèmes de communication au sein de Teams à l’aide d’outils avancés. | f70938a0-fc10-4177-9e90-2178f8765737 |
Spécialiste du support des communications Teams | Peut résoudre les problèmes de communication au sein de Teams à l’aide d’outils de base. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
Administrateur d’appareils Teams | Peut effectuer des tâches d’administration sur des appareils certifiés Teams. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
Administrateur de téléphonie Teams | Gérez les fonctionnalités vocales et de téléphonie et résolvez les problèmes de communication au sein du service Microsoft Teams. | aa38014f-0993-46e9-9b45-30501a20909d |
Créateur du locataire | Créer de nouveaux locataires Microsoft Entra ou Azure AD B2C. | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
Lecteur de rapports de synthèse sur l'utilisation | Lit les rapports d’utilisation et le score d’adoption, mais ne peut pas accéder aux détails de l’utilisateur. | 75934031-6c7e-415a-99d7-48dbd49e875e |
Administrateur d’utilisateurs | Peut gérer tous les aspects des utilisateurs et groupes, notamment la réinitialisation des mots de passe pour les administrateurs limités. |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
Responsable de l’expérience utilisateur | Consultez les commentaires sur les produits, les résultats d’enquêtes et les rapports pour trouver des possibilités de formation et de communication. | 27460883-1df1-4691-b032-3b79643e5e63 |
Administrateur de visites virtuelles | Gérez et partagez les informations et les métriques de Virtual Visits à partir des centres d’administration ou de l’application Virtual Visits. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
Administrateur Viva Goals | Gérez et configurez tous les aspects de Microsoft Viva Goals. | 92b086b3-e367-4ef2-b869-1de128fb986e |
Administrateur Viva Pulse | Peut gérer tous les paramètres de l’application Microsoft Viva Pulse. | 87761b17-1ed2-4af3-9acd-92a150038160 |
Administrateur Windows 365 | Peut provisionner et gérer tous les aspects des PC cloud. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
Administrateur des déploiements de mise à jour Windows | Peut créer et gérer tous les aspects des déploiements Windows Update par le biais du service de déploiement Windows Update pour Entreprise. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
Administrateur Yammer | Gérez tous les aspects du service Yammer. | 810a2642-a034-447f-a5e8-41beaa378541 |
Administrateur IA
Attribuez le rôle Administrateur IA aux utilisateurs qui doivent effectuer les tâches suivantes :
- Gérer tous les aspects de Microsoft 365 Copilot
- Gérer les services d’entreprise, l’extensibilité et les agents copilot liés à l’IA à partir de la page Applications intégrées du Centre d’administration Microsoft 365
- Approuver et publier des agents de copilote métier
- Autoriser les utilisateurs à installer une application ou à installer une application pour les utilisateurs de l’organisation si l’application ne nécessite pas d’autorisation
- Lire et configurer les tableaux de bord d’intégrité des services Azure et Microsoft 365
- Afficher les rapports d’utilisation, les insights d’adoption et les insights organisationnels
- Créer et gérer des tickets de support dans Azure AD et le Centre d’administration Microsoft 365
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.office365.copilot/allEntities/allProperties/allTasks | Créer et gérer tous les paramètres pour Microsoft 365 Copilot |
microsoft.office365.messageCenter/messages/read | Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité |
microsoft.office365.network/performance/allProperties/read | Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365 |
microsoft.office365.search/content/manage | Créer et supprimer du contenu, ainsi que lire et mettre à jour toutes les propriétés dans Recherche Microsoft |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Lire les rapports d’utilisation d’Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur d’application
Il s’agit d’un rôle privilégié. Les utilisateurs dans ce rôle peuvent créer et gérer tous les aspects des applications d’entreprise, des inscriptions d’application et des paramètres de proxy d’application. Notez que les utilisateurs affectés à ce rôle ne sont pas ajoutés en tant que propriétaires lorsque des inscriptions d’applications ou des applications d’entreprise sont créées.
Ce rôle accorde également la possibilité de donner son consentement pour les autorisations déléguées et les autorisations d’application, à l’exception des autorisations d’application pour Azure AD Graph et Microsoft Graph.
Important
Cette exception signifie que vous pouvez toujours donner votre consentement aux autorisations d’application pour d’autres applications (par exemple, d’autres applications Microsoft, applications tierces ou applications que vous avez inscrites). Vous pouvez toujours demander ces autorisations dans le cadre de l’inscription d’application. Toutefois, pour octroyer ces autorisations (c’est-à-dire consentir à ces autorisations), un administrateur plus privilégié, tel un Administrateur de rôle privilégié, est nécessaire.
Ce rôle permet de gérer des informations d’identification d’application. Les utilisateurs auxquels ce rôle a été attribué peuvent ajouter des informations d’identification à une application et les utiliser pour emprunter l’identité de l’application. Si l’identité de l’application a obtenu l’accès à une ressource, telle que la possibilité de créer ou de mettre à jour un utilisateur ou d’autres objets, un utilisateur auquel ce rôle a été attribué peut effectuer ces actions en empruntant l’identité de l’application. Cette capacité à emprunter l’identité de l’application peut correspondre une élévation de privilèges que l’utilisateur réalise dans ses attributions de rôle. Il est important de comprendre que l’affectation d’un utilisateur au rôle Administrateur d’applications lui donne la possibilité d’emprunter l’identité d’une application.
Développeur d’applications
Il s’agit d’un rôle privilégié. Les utilisateurs dans ce rôle peuvent créer des inscriptions d’application quand le paramètre « Les utilisateurs peuvent inscrire des applications » est défini sur Non. Ce rôle octroie aussi l’autorisation de donner son consentement en son propre nom lorsque le paramètre « Les utilisateurs peuvent autoriser les applications à accéder aux données de l’entreprise en leur nom » est défini sur Non. Les utilisateurs affectés à ce rôle sont ajoutés en tant que propriétaires lorsque de nouvelles inscriptions d’applications sont créées.
Auteur de charge utile d'attaque
Les utilisateurs disposant de ce rôle peuvent créer des charges utiles d'attaque, mais pas les lancer ou les programmer. Les charges utiles d'attaque sont ensuite à la disposition de tous les administrateurs du locataire, qui peuvent les utiliser pour créer une simulation.
Pour plus d’informations, consultez Autorisations Microsoft Defender pour Office 365 dans le portail Microsoft 365 Defender et les Autorisations dans le portail de conformité Microsoft Purview.
Actions | Description |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Créer et gérer des charges utiles d’attaque dans le Simulateur d’attaques |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Lire les rapports de simulation d’attaque, les réponses et la formation associée |
Administrateur de simulation d'attaque
Les utilisateurs disposant de ce rôle peuvent créer et gérer tous les aspects de la création d'une simulation d'attaque, du lancement ou de la planification d'une simulation, et de l'examen des résultats d'une simulation. Les membres de ce rôle ont accès à toutes les simulations du locataire.
Pour plus d’informations, consultez Autorisations Microsoft Defender pour Office 365 dans le portail Microsoft 365 Defender et les Autorisations dans le portail de conformité Microsoft Purview.
Actions | Description |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Créer et gérer des charges utiles d’attaque dans le Simulateur d’attaques |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Lire les rapports de simulation d’attaque, les réponses et la formation associée |
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Créer et gérer des modèles de simulation d’attaque dans le Simulateur d’attaques |
Administrateur de l’attribution des attributs
Les utilisateurs dotés de ce rôle peuvent attribuer et supprimer des clés et des valeurs d’attributs de sécurité personnalisés pour les objets Microsoft Entra pris en charge, tels que les utilisateurs, les principaux de service et les appareils.
Important
Par défaut, les rôles Administrateur général et d’autres d’administrateur ne sont pas autorisés à lire, à définir ou à affecter des attributs de sécurité personnalisés.
Pour plus d’informations, consultez Gérer l’accès aux attributs de sécurité personnalisés dans Microsoft Entra ID.
Actions | Description |
---|---|
microsoft.directory/attributeSets/allProperties/read | Lit toutes les propriétés des jeux d’attributs |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Lire les valeurs d’attribut de sécurité personnalisées pour les identités managées Microsoft Entra |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update | Mettre à jour les valeurs d’attribut de sécurité personnalisées pour les identités managées Microsoft Entra |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Lit toutes les propriétés des définitions d’attributs de sécurité personnalisés |
microsoft.directory/devices/customSecurityAttributes/read | Lit les valeurs d’attributs de sécurité personnalisés pour les appareils |
microsoft.directory/devices/customSecurityAttributes/update | Met à jour les valeurs d’attributs de sécurité personnalisés pour les appareils |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | Lit les valeurs d’attributs de sécurité personnalisés pour les principaux de service |
microsoft.directory/servicePrincipals/customSecurityAttributes/update | Met à jour les valeurs d’attributs de sécurité personnalisés pour les principaux de service |
microsoft.directory/users/customSecurityAttributes/read | Lit les valeurs d’attributs de sécurité personnalisés pour les utilisateurs |
microsoft.directory/users/customSecurityAttributes/update | Met à jour les valeurs d’attributs de sécurité personnalisés pour les utilisateurs |
Lecteur d’attribution d’attributs
Les utilisateurs dotés de ce rôle peuvent lire des clés et des valeurs d’attributs de sécurité personnalisés pour les objets Microsoft Entra pris en charge.
Important
Par défaut, les rôles Administrateur général et d’autres d’administrateur ne sont pas autorisés à lire, à définir ou à affecter des attributs de sécurité personnalisés.
Pour plus d’informations, consultez Gérer l’accès aux attributs de sécurité personnalisés dans Microsoft Entra ID.
Actions | Description |
---|---|
microsoft.directory/attributeSets/allProperties/read | Lit toutes les propriétés des jeux d’attributs |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Lire les valeurs d’attribut de sécurité personnalisées pour les identités managées Microsoft Entra |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Lit toutes les propriétés des définitions d’attributs de sécurité personnalisés |
microsoft.directory/devices/customSecurityAttributes/read | Lit les valeurs d’attributs de sécurité personnalisés pour les appareils |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | Lit les valeurs d’attributs de sécurité personnalisés pour les principaux de service |
microsoft.directory/users/customSecurityAttributes/read | Lit les valeurs d’attributs de sécurité personnalisés pour les utilisateurs |
Administrateur de définition d’attribut
Les utilisateurs dotés de ce rôle peuvent définir un ensemble valide d’attributs de sécurité personnalisés pouvant être affectés aux objets Microsoft Entra pris en charge. Ce rôle peut également activer et désactiver des attributs de sécurité personnalisés.
Important
Par défaut, les rôles Administrateur général et d’autres d’administrateur ne sont pas autorisés à lire, à définir ou à affecter des attributs de sécurité personnalisés.
Pour plus d’informations, consultez Gérer l’accès aux attributs de sécurité personnalisés dans Microsoft Entra ID.
Actions | Description |
---|---|
microsoft.directory/attributeSets/allProperties/allTasks | Gérer tous les aspects des jeux d’attributs |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Gérer tous les aspects des définitions d’attributs de sécurité personnalisés |
Lecteur de définition d’attribut
Les utilisateurs dotés de ce rôle peuvent lire la définition des attributs de sécurité personnalisés.
Important
Par défaut, les rôles Administrateur général et d’autres d’administrateur ne sont pas autorisés à lire, à définir ou à affecter des attributs de sécurité personnalisés.
Pour plus d’informations, consultez Gérer l’accès aux attributs de sécurité personnalisés dans Microsoft Entra ID.
Actions | Description |
---|---|
microsoft.directory/attributeSets/allProperties/read | Lit toutes les propriétés des jeux d’attributs |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Lit toutes les propriétés des définitions d’attributs de sécurité personnalisés |
Administrateur du journal d’attributs
Attribuez le rôle Lecteur du journal d’attribut aux utilisateurs qui doivent effectuer les tâches suivantes :
- Lire les journaux d’audit pour les modifications de valeurs d’attribut de sécurité personnalisées
- Lire les journaux d’audit pour les modifications et affectations d’attributs de sécurité personnalisées
- Configurer les paramètres de diagnostic pour les attributs de sécurité personnalisés
Les utilisateurs disposant de ce rôle ne peuvent pas lire les journaux d’audit pour d’autres événements.
Important
Par défaut, les rôles Administrateur général et d’autres d’administrateur ne sont pas autorisés à lire, à définir ou à affecter des attributs de sécurité personnalisés.
Pour plus d’informations, consultez Gérer l’accès aux attributs de sécurité personnalisés dans Microsoft Entra ID.
Actions | Description |
---|---|
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks | Configurer tous les aspects des paramètres de diagnostic des attributs de sécurité personnalisés |
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Lire les journaux d’audit liés aux attributs de sécurité personnalisés |
Lecteur du journal des attributs
Attribuez le rôle Lecteur du journal d’attribut aux utilisateurs qui doivent effectuer les tâches suivantes :
- Lire les journaux d’audit pour les modifications de valeurs d’attribut de sécurité personnalisées
- Lire les journaux d’audit pour les modifications et affectations d’attributs de sécurité personnalisées
Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :
- Configurer les paramètres de diagnostic pour les attributs de sécurité personnalisés
- Lire les journaux d’audit pour d’autres événements
Important
Par défaut, les rôles Administrateur général et d’autres d’administrateur ne sont pas autorisés à lire, à définir ou à affecter des attributs de sécurité personnalisés.
Pour plus d’informations, consultez Gérer l’accès aux attributs de sécurité personnalisés dans Microsoft Entra ID.
Actions | Description |
---|---|
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Lire les journaux d’audit liés aux attributs de sécurité personnalisés |
Administrateur d’approvisionnement d’attributs
Les utilisateurs affectés à ce rôle peuvent effectuer les opérations suivantes lors de la configuration des flux d’approvisionnement/synchronisation d’utilisateurs dans Microsoft Entra :
- Lire et écrire des mappages d’attributs pour les attributs de sécurité personnalisés lors de l’approvisionnement dans une application
- Lire et écrire des journaux d’approvisionnement et d’audit pour les attributs de sécurité personnalisés lors de l’approvisionnement dans une application
Important
Ce rôle n’a pas la possibilité de créer des jeux d’attributs de sécurité personnalisés ou d’attribuer ou de mettre à jour directement des valeurs d’attributs de sécurité personnalisées pour l’objet utilisateur. Ce rôle ne peut configurer que le flux des attributs de sécurité personnalisés dans l’application d’approvisionnement. Pour plus d’informations, consultez Provisionner des attributs de sécurité personnalisés à partir de sources RH (préversion).
Lecteur d’approvisionnement d’attributs
Les utilisateurs affectés à ce rôle peuvent effectuer les opérations suivantes lors de l’utilisation des flux d’approvisionnement/synchronisation d’utilisateurs dans Microsoft Entra :
- Lire les mappages d’attributs pour les attributs de sécurité personnalisés lors de l’approvisionnement dans une application
- Lire les journaux d’approvisionnement et d’audit des attributs de sécurité personnalisés lors de l’approvisionnement dans une application
Pour plus d’informations, consultez Provisionner des attributs de sécurité personnalisés à partir de sources RH (préversion).
Actions | Description |
---|---|
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Lit toutes les propriétés des définitions d’attributs de sécurité personnalisés |
microsoft.directory/servicePrincipals/synchronization.customSecurityAttributes/schema/read | Lire tous les attributs de sécurité personnalisés dans le schéma de synchronisation |
Administrateur d’authentification
Il s’agit d’un rôle privilégié. Affectez le rôle d’administrateur d’authentification aux utilisateurs qui doivent effectuer les tâches suivantes :
- Définir ou réinitialiser toute méthode d’authentification (y compris les mots de passe) pour les non-administrateurs et certains rôles. Pour obtenir la liste des rôles pour lesquels un administrateur d’authentification peut lire ou mettre à jour les méthodes d’authentification, consultez Qui peut réinitialiser les mots de passe.
- Obliger les utilisateurs qui ne sont pas administrateurs ou affectés à certains rôles à se réinscrire avec des informations d’identification sans mot de passe existantes (par exemple, MFA, FIDO) et peuvent également révoquer la mémorisation de l’authentification multifacteur sur l’appareil, ce qui permet de demander une authentification multifacteur lors de la prochaine connexion.
- Gérez les paramètres de l’authentification multifacteur dans le portail de gestion hérité de l’authentification multifacteur.
- Effectuer des actions sensibles pour certains utilisateurs. Pour plus d’informations, consultez Qui peut effectuer des actions sensibles.
- Créer et gérer des tickets de support dans Azure AD et le Centre d’administration Microsoft 365.
Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :
- Ne peuvent pas modifier les informations d’identification ou réinitialiser l’authentification multifacteur pour les membres et les propriétaires d’un groupe auquel un rôle est assignable.
- Impossible de gérer les jetons matériels OATH.
Le tableau suivant compare les fonctionnalités des rôles associés à l’authentification.
Role | Gérer les méthodes d’authentification de l’utilisateur | Gérer l’authentification multifacteur par utilisateur | Gérer les paramètres de l’authentification multifacteur | Gérer la stratégie de méthode d’authentification | Gérer la stratégie de protection par mot de passe | Mettre à jour les propriétés sensibles | Supprimer et restaurer des utilisateurs |
---|---|---|---|---|---|---|---|
Administrateur d’authentification | Oui pour certains utilisateurs | Oui pour certains utilisateurs | Oui | No | No | Oui pour certains utilisateurs | Oui pour certains utilisateurs |
Administrateur d’authentification privilégié | Oui pour tous les utilisateurs | Oui pour tous les utilisateurs | No | No | No | Oui pour tous les utilisateurs | Oui pour tous les utilisateurs |
Administrateur de la stratégie d’authentification | No | Oui | Oui | Oui | Oui | No | No |
Administrateur d’utilisateurs | No | No | No | No | No | Oui pour certains utilisateurs | Oui pour certains utilisateurs |
Important
Les utilisateurs auxquels ce rôle est assigné peuvent changer les informations d’identification des personnes susceptibles d’avoir accès à des informations sensibles ou privées ou à des configurations critiques à l’intérieur et à l’extérieur de Microsoft Entra ID. Changer les informations d’identification d’un utilisateur peut signifier la capacité d’assumer l’identité et les autorisations de cet utilisateur. Par exemple :
- Les propriétaires d’inscription d’application et d’application d’entreprise, qui peuvent gérer les informations d’identification des applications qu’ils possèdent. Ces applications peuvent disposer d’autorisations privilégiées dans Microsoft Entra ID et ailleurs qui ne sont pas accordées aux administrateurs d’authentification. Par ce biais, un administrateur d’authentification peut assumer l’identité d’un propriétaire d’application, puis d’assumer l’identité d’une application privilégiée en mettant à jour les identifiants de celle-ci.
- Propriétaires d’abonnement Azure, qui peuvent avoir accès à des informations confidentielles ou privées ou à une configuration critique dans Azure.
- Propriétaires de groupe de sécurité et de groupe Microsoft 365, qui peuvent gérer l’appartenance à un groupe. Ces groupes peuvent accorder l’accès à des informations sensibles ou privées ou à une configuration critique dans Microsoft Entra ID et ailleurs.
- Les administrateurs relevant d’autres services en dehors de Microsoft Entra ID, tels que Exchange Online, le portail Microsoft 365 Defender, le portail de conformité Microsoft Purview et les systèmes de ressources humaines.
- Les non-administrateurs comme les cadres supérieurs, les conseillers juridiques et les employés des ressources humaines qui peuvent avoir accès à des informations sensibles ou privées.
Administrateur d’extensibilité d’authentification
Il s’agit d’un rôle privilégié. Attribuez le rôle Administrateur d’extensibilité d’authentification aux utilisateurs qui doivent effectuer les tâches suivantes :
- Créer et gérer tous les aspects des extensions d’authentification personnalisées.
Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :
- Ne peuvent pas affecter d’extensions d’authentification personnalisées à des applications pour modifier les expériences d’authentification, et ne peuvent ni consentir à des autorisations d’application ni créer des inscriptions d’application associées à l’extension d’authentification personnalisée. Au lieu de cela, vous devez utiliser le rôle Administrateur d’application, Développeur d’applications ou Administrateur d’application cloud.
Une extension d’authentification personnalisée est un point de terminaison d’API créé par un développeur pour des événements d’authentification. Elle est inscrite dans Microsoft Entra ID. Les administrateurs et propriétaires d’applications peuvent utiliser des extensions d’authentification personnalisées pour personnaliser les expériences d’authentification de leurs applications, notamment la connexion, l’inscription ou la réinitialisation de mot de passe.
Actions | Description |
---|---|
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Créer et gérer des extensions d’authentification personnalisées |
Administrateur de la stratégie d’authentification
Affectez le rôle d’administrateur de stratégie d’authentification aux utilisateurs qui doivent effectuer les tâches suivantes :
- Configurer la stratégie des méthodes d’authentification, les paramètres MFA au niveau du locataire et la stratégie de protection par mot de passe qui déterminent les méthodes que chaque utilisateur peut inscrire et utiliser.
- Gérer les paramètres de protection par mot de passe : les configurations de verrouillage intelligent et la mise à jour de la liste des mots de passe interdits personnalisés.
- Gérez les paramètres de l’authentification multifacteur dans le portail de gestion hérité de l’authentification multifacteur.
- Créer et gérer des justificatifs vérifiables.
- Créez et gérez les tickets de support Azure.
Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :
- Ne peuvent pas mettre à jour les propriétés sensibles. Pour plus d’informations, consultez Qui peut effectuer des actions sensibles.
- Ne peuvent pas supprimer ou restaurer des utilisateurs. Pour plus d’informations, consultez Qui peut effectuer des actions sensibles.
- Impossible de gérer les jetons matériels OATH.
Le tableau suivant compare les fonctionnalités des rôles associés à l’authentification.
Role | Gérer les méthodes d’authentification de l’utilisateur | Gérer l’authentification multifacteur par utilisateur | Gérer les paramètres de l’authentification multifacteur | Gérer la stratégie de méthode d’authentification | Gérer la stratégie de protection par mot de passe | Mettre à jour les propriétés sensibles | Supprimer et restaurer des utilisateurs |
---|---|---|---|---|---|---|---|
Administrateur d’authentification | Oui pour certains utilisateurs | Oui pour certains utilisateurs | Oui | No | No | Oui pour certains utilisateurs | Oui pour certains utilisateurs |
Administrateur d’authentification privilégié | Oui pour tous les utilisateurs | Oui pour tous les utilisateurs | No | No | No | Oui pour tous les utilisateurs | Oui pour tous les utilisateurs |
Administrateur de la stratégie d’authentification | No | Oui | Oui | Oui | Oui | No | No |
Administrateur d’utilisateurs | No | No | No | No | No | Oui pour certains utilisateurs | Oui pour certains utilisateurs |
Actions | Description |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.directory/organization/strongAuthentication/allTasks | Gérer tous les aspects des propriétés d’authentification fortes d’une organisation |
microsoft.directory/userCredentialPolicies/basic/update | Mettre à jour les stratégies de base pour les utilisateurs |
microsoft.directory/userCredentialPolicies/create | Créer des stratégies d’informations d’identification pour les utilisateurs |
microsoft.directory/userCredentialPolicies/delete | Supprimer des stratégies d’informations d’identification pour les utilisateurs |
microsoft.directory/userCredentialPolicies/owners/read | Lire les propriétaires des stratégies d’informations d’identification pour les utilisateurs |
microsoft.directory/userCredentialPolicies/owners/update | Mettre à jour les propriétaires de stratégies d’informations d’identification pour les utilisateurs |
microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Lire le lien de navigation policy.appliesTo |
microsoft.directory/userCredentialPolicies/standard/read | Lire les propriétés standard des stratégies d’informations d’identification pour les utilisateurs |
microsoft.directory/userCredentialPolicies/tenantDefault/update | Mettre à jour la propriété policy.isOrganizationDefault |
microsoft.directory/verifiableCredentials/configuration/allProperties/read | Lire la configuration requise pour créer et gérer des justificatifs vérifiables |
microsoft.directory/verifiableCredentials/configuration/allProperties/update | Mettre à jour la configuration requise pour créer et gérer des justificatifs vérifiables |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Lire un contrat de justificatifs vérifiables |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Mettre à jour un contrat de justificatifs vérifiables |
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Lire une carte de justificatifs vérifiables |
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Révoquer une carte de justificatifs vérifiables |
microsoft.directory/verifiableCredentials/configuration/contracts/create | Créer un contrat de justificatifs vérifiables |
microsoft.directory/verifiableCredentials/configuration/create | Créer la configuration requise pour créer et gérer des justificatifs vérifiables |
microsoft.directory/verifiableCredentials/configuration/delete | Supprimer la configuration requise pour créer et gérer des justificatifs vérifiables et supprimer tous ses justificatifs vérifiables |
Administrateur Azure DevOps
Les utilisateurs dotés de ce rôle peuvent gérer toutes les stratégies Azure DevOps de l’entreprise, applicables à toutes les organisations Azure DevOps bénéficiant de Microsoft Entra ID. Les utilisateurs dotés de ce rôle peuvent gérer cette stratégie en accédant à n’importe quelle organisation Azure DevOps bénéficiant de l’instance Microsoft Entra ID de l’entreprise. En outre, les utilisateurs dotés de ce rôle peuvent revendiquer la propriété des organisations Azure DevOps orphelines. Ce rôle n’accorde aucune autre autorisation spécifique à Azure DevOps (par exemple, administrateur de collections de projets) au sein de l’une des organisations Azure DevOps prises en charge par l’organisation Microsoft Entra de l’entreprise.
Actions | Description |
---|---|
microsoft.azure.devOps/allEntities/allTasks | Lire et configurer Azure DevOps |
Administrateur Azure Information Protection
Les utilisateurs avec ce rôle ont toutes les autorisations dans le service Azure Information Protection. Ce rôle permet de configurer les étiquettes pour la stratégie Azure Information Protection, de gérer les modèles de protection et d’activer la protection. Ce rôle n’octroie aucune autorisation dans Protection des ID Microsoft Entra, Privileged Identity Management, Monitor Microsoft 365 Service Health, le portail Microsoft 365 Defender, ni dans le portail de conformité Microsoft Purview.
Actions | Description |
---|---|
microsoft.azure.informationProtection/allEntities/allTasks | Gérer tous les aspects d’Azure Information Protection |
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.directory/authorizationPolicy/standard/read | Lire les propriétés standard de la stratégie d’autorisation |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur de jeux de clés B2C IEF
Il s’agit d’un rôle privilégié. L’utilisateur peut créer et gérer des clés et secrets de stratégie pour le chiffrement des jetons, la signatures des jetons et le chiffrement/déchiffrement des revendications. En ajoutant de nouvelles clés aux conteneurs de clés existants, cet administrateur limité peut substituer des secrets en fonction des besoins sans affecter les applications existantes. Cet utilisateur peut voir le contenu complet de ces secrets et leurs dates d’expiration, même après leur création.
Important
Il s’agit d’un rôle sensible. Le rôle d’administrateur de jeux de clés doit être soigneusement audité et attribué avec précaution pendant les périodes de préproduction et de production.
Actions | Description |
---|---|
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Lire et configurer des jeux de clés dans Azure Active Directory B2C |
Administrateur de stratégies B2C IEF
Les utilisateurs assignés à ce rôle ont la possibilité de créer, lire, mettre à jour et supprimer toutes les stratégies personnalisées dans Azure AD B2C, et donc de contrôler totalement la plateforme Identity Experience Framework dans l’organisation Azure AD B2C concernée. En modifiant les stratégies, cet utilisateur peut établir une fédération directe avec des fournisseurs d’identité externes, modifier le schéma d’annuaire, modifier tout le contenu visible par l’utilisateur (HTML, CSS et JavaScript), modifier les exigences liées à une authentification, créer des utilisateurs, envoyer des données utilisateur à des systèmes externes, notamment des migrations complètes, et modifier toutes les informations utilisateur, notamment des champs sensibles comme les mots de passe et les numéros de téléphone. À l’inverse, ce rôle ne peut pas modifier les clés de chiffrement ou modifier les secrets utilisés pour la fédération dans l’organisation.
Important
L’administrateur de stratégies B2C IEF est un rôle très sensible qui doit être attribué de manière très limitée pour les organisations en production. Les activités de ces utilisateurs doivent faire l’objet d’un audit précis, en particulier pour les organisations en production.
Actions | Description |
---|---|
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Lire et configurer des stratégies personnalisées dans Azure Active Directory B2C |
Administrateur de facturation
Effectue les achats, gère les abonnements, gère les tickets de support et supervise l’intégrité du service.
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.commerce.billing/allEntities/allProperties/allTasks | Gérer tous les aspects de la facturation Office 365 |
microsoft.directory/organization/basic/update | Mettre à jour des propriétés de base sur une organisation |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur de sécurité d’application cloud
Les utilisateurs dotés de ce rôle disposent d’autorisations complètes dans Defender for Cloud Apps. Ils peuvent ajouter des administrateurs, ajouter des stratégies et des paramètres Microsoft Defender for Cloud Apps, charger des journaux et effectuer des actions de gouvernance.
Actions | Description |
---|---|
microsoft.directory/cloudAppSecurity/allProperties/allTasks | Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard dans Microsoft Defender for Cloud Apps |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur d'applications cloud
Il s’agit d’un rôle privilégié. Les utilisateurs dans ce rôle ont les mêmes autorisations que celles du rôle Administrateur d’application, sans la possibilité de gérer le proxy d’application. Ce rôle permet de créer et de gérer tous les aspects des applications d’entreprise et des inscriptions d’applications. Les utilisateurs affectés à ce rôle ne sont pas ajoutés en tant que propriétaires lorsque des inscriptions d’applications ou des applications d’entreprise sont créées.
Ce rôle accorde également la possibilité de donner son consentement pour les autorisations déléguées et les autorisations d’application, à l’exception des autorisations d’application pour Azure AD Graph et Microsoft Graph.
Important
Cette exception signifie que vous pouvez toujours donner votre consentement aux autorisations d’application pour d’autres applications (par exemple, d’autres applications Microsoft, applications tierces ou applications que vous avez inscrites). Vous pouvez toujours demander ces autorisations dans le cadre de l’inscription d’application. Toutefois, pour octroyer ces autorisations (c’est-à-dire consentir à ces autorisations), un administrateur plus privilégié, tel un Administrateur de rôle privilégié, est nécessaire.
Ce rôle permet de gérer des informations d’identification d’application. Les utilisateurs auxquels ce rôle a été attribué peuvent ajouter des informations d’identification à une application et les utiliser pour emprunter l’identité de l’application. Si l’identité de l’application a obtenu l’accès à une ressource, telle que la possibilité de créer ou de mettre à jour un utilisateur ou d’autres objets, un utilisateur auquel ce rôle a été attribué peut effectuer ces actions en empruntant l’identité de l’application. Cette capacité à emprunter l’identité de l’application peut correspondre une élévation de privilèges que l’utilisateur réalise dans ses attributions de rôle. Il est important de comprendre que l’affectation d’un utilisateur au rôle Administrateur d’applications lui donne la possibilité d’emprunter l’identité d’une application.
Administrateur d’appareil cloud
Il s’agit d’un rôle privilégié. Les utilisateurs dans ce rôle peuvent activer, désactiver et supprimer des appareils dans Microsoft Entra ID, et lire des clés BitLocker Windows 10 (le cas échéant) dans le portail Azure. Ce rôle ne permet pas de gérer d’autres propriétés sur l’appareil.
Administrateur de conformité
Les utilisateurs avec ce rôle disposent des autorisations pour gérer les fonctionnalités liées à la conformité dans le portail de conformité Microsoft Purview, le centre d’administration Microsoft 365, Azure et le portail Microsoft 365 Defender. Les personnes responsables peuvent également gérer toutes les fonctionnalités dans le centre d’administration Exchange et créer des tickets de support pour Azure et Microsoft 365. Pour plus d’informations, consultez Rôles et groupes de rôles dans Microsoft Defender pour Office 365 et conformité Microsoft Purview.
Dans | Peut |
---|---|
Portail de conformité Microsoft Purview | Protéger et gérer les données de votre organisation dans les services Microsoft 365 Gérer les alertes de conformité |
Gestionnaire de conformité Microsoft Purview | Suivre, affecter et vérifier les activités de conformité réglementaire de votre organisation |
Portail Microsoft 365 Defender | Gérer la gouvernance des données Procéder à l'examen juridique des données Gérer une requête d'objet de données Ce rôle dispose des mêmes autorisations que le groupe de rôles Administrateur de conformité dans le contrôle d’accès en fonction du rôle (RBAC) du portail Microsoft 365 Defender. |
Intune | Afficher toutes les données d’audit Intune |
Microsoft Defender for Cloud Apps | Dispose d'autorisations en lecture seule et peut gérer les alertes Peut créer et modifier les stratégies de fichier et autoriser des actions de gouvernance de fichier Peut afficher tous les rapports intégrés sous Gestion des données |
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.directory/entitlementManagement/allProperties/read | Lire toutes les propriétés dans la gestion des droits d’utilisation de Microsoft Entra |
microsoft.office365.complianceManager/allEntities/allTasks | Gérez tous les aspects d’Office 365 Compliance Manager |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur des données de conformité
Les utilisateurs dotés de ce rôle sont autorisés à suivre les données dans le portail de conformité Microsoft Purview, le centre d’administration Microsoft 365 et Azure. Les utilisateurs peuvent également suivre les données de conformité dans le centre d’administration Exchange, le Gestionnaire de compatibilité, le centre d’administration Teams et Skype Entreprise, et créer des tickets de support pour Azure et Microsoft 365. Pour plus d’informations sur les différences entre l’administrateur de conformité et l’administrateur des données de conformité, consultez Rôles et groupes de rôles dans Microsoft Defender pour Office 365 et conformité Microsoft Purview.
Dans | Peut |
---|---|
Portail de conformité Microsoft Purview | Superviser les stratégies de conformité au sein des services Microsoft 365 Gérer les alertes de conformité |
Gestionnaire de conformité Microsoft Purview | Suivre, affecter et vérifier les activités de conformité réglementaire de votre organisation |
Portail Microsoft 365 Defender | Gérer la gouvernance des données Procéder à l'examen juridique des données Gérer une requête d'objet de données Ce rôle dispose des mêmes autorisations que le groupe de rôles Administrateur des données de conformité dans le contrôle d’accès en fonction du rôle (RBAC) du portail Microsoft 365 Defender. |
Intune | Afficher toutes les données d’audit Intune |
Microsoft Defender for Cloud Apps | Dispose d'autorisations en lecture seule et peut gérer les alertes Peut créer et modifier les stratégies de fichier et autoriser des actions de gouvernance de fichier Peut afficher tous les rapports intégrés sous Gestion des données |
Actions | Description |
---|---|
microsoft.azure.informationProtection/allEntities/allTasks | Gérer tous les aspects d’Azure Information Protection |
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.directory/authorizationPolicy/standard/read | Lire les propriétés standard de la stratégie d’autorisation |
microsoft.directory/cloudAppSecurity/allProperties/allTasks | Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard dans Microsoft Defender for Cloud Apps |
microsoft.office365.complianceManager/allEntities/allTasks | Gérez tous les aspects d’Office 365 Compliance Manager |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur de l’accès conditionnel
Il s’agit d’un rôle privilégié. Les utilisateurs avec ce rôle ont la possibilité de gérer les paramètres d’accès conditionnel Microsoft Entra.
Approbateur d’accès à Customer LockBox
Gère les requêtes Customer Lockbox Microsoft Purview dans votre organisation. Il reçoit par e-mail des notifications ayant trait aux requêtes Customer Lockbox, et peut approuver ou refuser ces requêtes depuis le centre d'administration Microsoft 365. Il peut activer ou désactiver la fonctionnalité Customer Lockbox. Seuls les administrateurs généraux peuvent réinitialiser les mots de passe des personnes dotées de ce rôle.
Actions | Description |
---|---|
microsoft.office365.lockbox/allEntities/allTasks | Gérer tous les aspects de Customer Lockbox |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur Desktop Analytics
Les utilisateurs ayant ce rôle peuvent gérer le service Desktop Analytics. Ils ont notamment la possibilité d’afficher l’inventaire des ressources, de créer des plans de déploiement et de visualiser l’état du déploiement et de l’intégrité.
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.directory/authorizationPolicy/standard/read | Lire les propriétés standard de la stratégie d’autorisation |
microsoft.office365.desktopAnalytics/allEntities/allTasks | Gérer tous les aspects de Desktop Analytics |
Lecteurs de répertoires
Les utilisateurs de ce rôle peuvent lire des informations de base relatives aux répertoires. Ce rôle doit être utilisé pour :
- Accorder à un ensemble spécifique d’utilisateurs invités un accès en lecture au lieu de l’accorder à tous les utilisateurs invités.
- Accorder à un ensemble spécifique d’utilisateurs non-administrateurs l’accès au centre d’administration Microsoft Entra lorsque « Restreindre l’accès au Centre d’administration Microsoft Entra » est définie sur « Oui ».
- Accorder un accès aux principaux de service au répertoire quand Directory.Read.All n’est pas possible.
Actions | Description |
---|---|
microsoft.directory/administrativeUnits/members/read | Lire les membres des unités administratives |
microsoft.directory/administrativeUnits/standard/read | Lire les propriétés de base sur les unités administratives |
microsoft.directory/applicationPolicies/standard/read | Lire les propriétés standard des stratégies d’application |
microsoft.directory/applications/owners/read | Lire les propriétaires d’applications |
microsoft.directory/applications/policies/read | Lire les stratégies d’applications |
microsoft.directory/applications/standard/read | Lire les propriétés standard des applications |
microsoft.directory/contacts/memberOf/read | Lire l’appartenance à un groupe pour tous les contacts dans Microsoft Entra ID |
microsoft.directory/contacts/standard/read | Lire les propriétés de base sur les contacts dans Microsoft Entra ID |
microsoft.directory/contracts/standard/read | Lire les propriétés de base sur les contrats de partenaire |
microsoft.directory/devices/memberOf/read | Lire les appartenances aux appareils |
microsoft.directory/devices/registeredOwners/read | Lire les propriétaires inscrits d’appareils |
microsoft.directory/devices/registeredUsers/read | Lire les utilisateurs inscrits d’appareils |
microsoft.directory/devices/standard/read | Lire les propriétés de base sur les appareils |
microsoft.directory/directoryRoles/eligibleMembers/read | Lire les membres éligibles des rôles Microsoft Entra |
microsoft.directory/directoryRoles/members/read | Lire tous les membres des rôles Microsoft Entra |
microsoft.directory/directoryRoles/standard/read | Lire les propriétés de base des rôles Microsoft Entra |
microsoft.directory/domains/standard/read | Lire les propriétés de base sur les domaines |
microsoft.directory/groups/appRoleAssignments/read | Lire les attributions de rôles d’application des groupes |
microsoft.directory/groupSettings/standard/read | Lire les propriétés de base sur des paramètres de groupe |
microsoft.directory/groupSettingTemplates/standard/read | Lire les propriétés de base sur des modèles de paramètres de groupe |
microsoft.directory/groups/memberOf/read | Lire la propriété memberOf des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle |
microsoft.directory/groups/members/read | Lire la propriété membres des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle |
microsoft.directory/groups/owners/read | Lire la propriété propriétaires des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle |
microsoft.directory/groups/settings/read | Lire les paramètres des groupes |
microsoft.directory/groups/standard/read | Lire les propriétés standard des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle |
microsoft.directory/oAuth2PermissionGrants/standard/read | Lire les propriétés de base sur les octrois d’autorisations OAuth 2.0 |
microsoft.directory/organization/standard/read | Lire les propriétés de base sur une organisation |
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Lire les autorités de certification approuvées pour l’authentification par mot de passe |
microsoft.directory/roleAssignments/standard/read | Lire les propriétés de base sur les attributions de rôles |
microsoft.directory/roleDefinitions/standard/read | Lire les propriétés de base sur les définitions de rôles |
microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Lire les attributions de rôles des principaux de service |
microsoft.directory/servicePrincipals/appRoleAssignments/read | Lire les attributions de rôles affectées aux principaux de service |
microsoft.directory/servicePrincipals/memberOf/read | Lire les appartenances aux groupes sur les principaux de service |
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Lire les octrois d’autorisations déléguées sur les principaux de service |
microsoft.directory/servicePrincipals/ownedObjects/read | Lire les objets détenus des principaux de service |
microsoft.directory/servicePrincipals/owners/read | Lire les propriétaires des principaux de service |
microsoft.directory/servicePrincipals/policies/read | Lire les stratégies des principaux de service |
microsoft.directory/servicePrincipals/standard/read | Lire toutes les propriétés des principaux du service |
microsoft.directory/subscribedSkus/standard/read | Lire les propriétés de base sur les abonnements |
microsoft.directory/users/appRoleAssignments/read | Lire les attributions de rôle d’application des utilisateurs |
microsoft.directory/users/deviceForResourceAccount/read | Lire deviceForResourceAccount des utilisateurs |
microsoft.directory/users/directReports/read | Lire les collaborateurs directs des utilisateurs |
microsoft.directory/users/invitedBy/read | Lire l’utilisateur qui a invité un utilisateur externe à un locataire |
microsoft.directory/users/licenseDetails/read | Lire les détails de licence des utilisateurs |
microsoft.directory/users/manager/read | Lire les gestionnaires d’utilisateurs |
microsoft.directory/users/memberOf/read | Lire les appartenances aux groupes des utilisateurs |
microsoft.directory/users/oAuth2PermissionGrants/read | Lire les octrois d’autorisations déléguées sur les utilisateurs |
microsoft.directory/users/ownedDevices/read | Lire les appareils détenus des utilisateurs |
microsoft.directory/users/ownedObjects/read | Lire les objets détenus des utilisateurs |
microsoft.directory/users/photo/read | Lire la photo des utilisateurs |
microsoft.directory/users/registeredDevices/read | Lire les appareils inscrits des utilisateurs |
microsoft.directory/users/scopedRoleMemberOf/read | Lire l’appartenance d’un utilisateur à un rôle Microsoft Entra étendu à une unité administrative |
microsoft.directory/users/sponsors/read | Lire les sponsors des utilisateurs |
microsoft.directory/users/standard/read | Lire les propriétés de base sur les utilisateurs |
Comptes de synchronisation d’annuaires
Ne pas utiliser. Ce rôle est automatiquement attribué au service Microsoft Entra Connect et n’est pas prévu ni pris en charge pour une autre utilisation.
Actions | Description |
---|---|
microsoft.directory/onPremisesSynchronization/standard/read | Lire et gérer des objets pour activer la synchronisation d’annuaires locale |
Enregistreurs de répertoire
Il s’agit d’un rôle privilégié. Les utilisateurs de ce rôle peuvent lire et mettre à jour les informations de base des utilisateurs, des groupes et des principaux de service.
Administrateur de nom de domaine
Il s’agit d’un rôle privilégié. Les utilisateurs disposant de ce rôle peuvent gérer (lire, ajouter, vérifier, mettre à jour et supprimer) des noms de domaine. Ils peuvent également lire les informations du répertoire sur les utilisateurs, les groupes et les applications, car ces objets possèdent des dépendances de domaine. Pour les environnements locaux, les utilisateurs disposant de ce rôle peuvent configurer des noms de domaine pour la fédération afin que les utilisateurs associés soient toujours authentifiés localement. Ces utilisateurs peuvent ensuite se connecter à des services Microsoft Entra avec leurs mots de passe locaux par le biais de l’authentification unique. Les paramètres de fédération doivent être synchronisés via Microsoft Entra Connect, afin que les utilisateurs disposent également des autorisations nécessaires pour gérer Microsoft Entra Connect.
Administrateur Dynamics 365
Les utilisateurs auxquels ce rôle est assigné disposent d’autorisations générales dans Microsoft Dynamics 365 Online, lorsque le service est présent. Ils ont aussi la possibilité de gérer les tickets de support et de surveiller l’intégrité du service. Pour plus d’informations, consultez Utiliser des rôles d’administrateur de service pour gérer votre locataire.
Remarque
Dans l’API Microsoft Graph et Microsoft Graph PowerShell, ce rôle est appelé « Administrateur de services Dynamics 365 ». Dans le Portail Azure, il est nommé administrateur Dynamics 365.
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.dynamics365/allEntities/allTasks | Gérez tous les aspects de Dynamics 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur Dynamics 365 Business Central
Attribuez le rôle Administrateur Dynamics 365 Business Central aux utilisateurs qui doivent effectuer les tâches suivantes :
- Accéder aux environnements Dynamics 365 Business Central
- Effectuer toutes les tâches d’administration sur les environnements
- Gérer le cycle de vie des environnements du client
- Superviser les extensions installées sur les environnements
- Contrôler les mises à niveau des environnements
- Effectuer des exportations de données d’environnements
- Lire et configurer les tableaux de bord d’intégrité des services Azure et Microsoft 365
Ce rôle ne fournit aucune autorisation pour les autres produits Dynamics 365.
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.directory/domains/standard/read | Lire les propriétés de base sur les domaines |
microsoft.directory/organization/standard/read | Lire les propriétés de base sur une organisation |
microsoft.directory/subscribedSkus/standard/read | Lire les propriétés de base sur les abonnements |
microsoft.directory/users/standard/read | Lire les propriétés de base sur les utilisateurs |
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks | Gérer tous les aspects de Dynamics 365 Business Central |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur Edge
Les utilisateurs ayant ce rôle peuvent créer et gérer la liste des sites d’entreprise requise pour le mode Internet Explorer sur Microsoft Edge. Ce rôle accorde des autorisations pour créer, modifier et publier la liste de sites, ainsi qu’un accès pour gérer les tickets de support. En savoir plus
Actions | Description |
---|---|
microsoft.edge/allEntities/allProperties/allTasks | Gérer tous les aspects de Microsoft Edge |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur Exchange
Les utilisateurs avec ce rôle ont des autorisations générales dans Microsoft Exchange Online, quand le service est présent. Ils ont aussi la possibilité de créer et de gérer tous les groupes Microsoft 365, de gérer les tickets de support et de surveiller l’état d’intégrité des services. Pour plus d’informations, consultez À propos des rôles d’administrateur dans le Centre d’administration Microsoft 365.
Remarque
Dans l’API Microsoft Graph et Microsoft Graph PowerShell, ce rôle est appelé « Administrateur de services Exchange ». Dans le Portail Azure, il est nommé Administrateur Exchange. Dans le Centre d’administration Exchange, il est nommé administrateur Exchange Online.
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks | Créer et gérer une stratégie Exchange Online Protection dans La sauvegarde Microsoft 365 |
microsoft.backup/exchangeRestoreSessions/allProperties/allTasks | Lire et configurer la session de restauration pour Exchange Online dans la sauvegarde Microsoft 365 |
microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks | Gérer tous les points de restauration associés aux boîtes aux lettres Exchange Online sélectionnées dans la sauvegarde M365 |
microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks | Gérer les boîtes aux lettres ajoutées à la stratégie Exchange Online Protection dans La sauvegarde Microsoft 365 |
microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks | Gérer les boîtes aux lettres ajoutées pour restaurer une session pour Exchange Online dans la sauvegarde Microsoft 365 |
microsoft.directory/groups/hiddenMembers/read | Lire la propriété membres masqués des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle |
microsoft.directory/groups.unified/basic/update | Actualiser les propriétés de base sur les groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/create | Créer des groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/delete | Supprimer des groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/members/update | Actualiser les membres de groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/owners/update | Actualiser les propriétaires de groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/restore | Restaurer les groupes Microsoft 365 à partir d’un conteneur supprimé de manière réversible, à l’exception des groupes pouvant être affectés par des rôles |
microsoft.office365.exchange/allEntities/basic/allTasks | Gérez tous les aspects d’Exchange Online |
microsoft.office365.network/performance/allProperties/read | Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Lire les rapports d’utilisation d’Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur des destinataires Exchange
Les utilisateurs dotés de ce rôle disposent d’un accès en lecture aux destinataires et d’un accès en écriture aux attributs de ces destinataires dans Exchange Online. Pour plus d’informations, consultez Destinataires dans Exchange Server.
Actions | Description |
---|---|
microsoft.office365.exchange/migration/allProperties/allTasks | Gérez toutes les tâches liées à la migration des destinataires dans Exchange Online |
microsoft.office365.exchange/recipients/allProperties/allTasks | Créez et supprimez tous les destinataires, et lisez et mettez à jour toutes les propriétés des destinataires dans Exchange Online |
Administrateur de flux d’utilisateurs ID externe
Les utilisateurs ayant ce rôle peuvent créer et gérer des flux d’utilisateurs (également appelés stratégies « intégrées ») dans le portail Azure. Ces utilisateurs peuvent personnaliser le contenu HTML/CSS/JavaScript, modifier les conditions d’authentification multifacteur, sélectionner des revendications dans le jeton, gérer les connecteurs d’API et leurs informations d’identification, et configurer les paramètres de session pour tous les flux d’utilisateurs de l’organisation Microsoft Entra. En revanche, ce rôle ne prévoit pas la possibilité de consulter les données utilisateur ni d’apporter des modifications aux attributs inclus dans le schéma de l’organisation. La modification des stratégies Identity Experience Framework (également appelées stratégies personnalisées) sort également de la portée de ce rôle.
Actions | Description |
---|---|
microsoft.directory/b2cUserFlow/allProperties/allTasks | Lire et configurer des flux d’utilisateurs dans Azure Active Directory B2C |
Administrateur d’attribut de flux d’utilisateurs ID externe
Les utilisateurs ayant ce rôle peuvent ajouter ou supprimer des attributs personnalisés disponibles pour tous les flux d’utilisateurs dans l’organisation Microsoft Entra. Ainsi, ils peuvent modifier ou ajouter de nouveaux éléments au schéma d’utilisateur final, influer sur le comportement de tous les flux d’utilisateurs et entraîner indirectement des modifications des données demandées aux utilisateurs finaux et envoyées sous forme de revendications aux applications. Ce rôle ne peut pas modifier des flux d’utilisateurs.
Actions | Description |
---|---|
microsoft.directory/b2cUserAttribute/allProperties/allTasks | Lire et configurer les attributs utilisateur dans Azure Active Directory B2C |
Administrateur de fournisseurs d’identité externes
Il s’agit d’un rôle privilégié. Cet administrateur gère la fédération entre les organisations Microsoft Entra et les fournisseurs d’identité externes. Avec ce rôle, les utilisateurs peuvent ajouter de nouveaux fournisseurs d’identité et configurer tous les paramètres disponibles (par exemple, chemin d’authentification, ID de service, conteneurs de clés attribués). Cet utilisateur peut permettre à l’organisation Microsoft Entra d’approuver des authentifications de fournisseurs d’identité externes. L’impact produit sur les expériences d’utilisateur final varie selon le type d’organisation :
- Organisations Microsoft Entra pour les employés et les partenaires : l’ajout d’une fédération (par exemple, avec Gmail) impacte immédiatement toutes les invitations d’invités qui ne sont pas encore utilisées. Consultez Ajout de Google comme fournisseur d’identité pour les utilisateurs invités B2B.
- Organisations Azure Active Directory B2C : l’ajout d’une fédération (par exemple, avec Facebook ou une autre organisation Microsoft Entra) n’impacte pas immédiatement les flux d’utilisateurs finaux tant que le fournisseur d’identité n’est pas ajouté comme option dans un flux d’utilisateurs (aussi appelé stratégie intégrée). Consultez Configuration d’un compte Microsoft comme fournisseur d’identité pour obtenir un exemple. Pour modifier des flux d’utilisateurs, le rôle limité d’« administrateur de flux d’utilisateurs B2C » est nécessaire.
Administrateur Fabric
Les utilisateurs avec ce rôle ont des autorisations générales dans Microsoft Fabric et Power BI, quand le service est présent, et peuvent gérer des tickets de support et contrôler l’intégrité du service. Pour plus d’informations, consultez Présentation des rôles d’Administrateur Fabric.
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
microsoft.powerApps.powerBI/allEntities/allTasks | Gérez tous les aspects de Fabric et Power BI |
Administrateur général
Il s’agit d’un rôle privilégié. Les utilisateurs avec ce rôle ont accès à toutes les fonctionnalités d’administration dans Microsoft Entra ID, ainsi qu’aux services qui utilisent des identités Microsoft Entra comme le portail Microsoft 365 Defender, le portail de conformité Microsoft Purview, Exchange Online, SharePoint Online et Skype Entreprise Online. Les administrateurs généraux peuvent afficher les journaux d’activité du répertoire. Par ailleurs, les administrateurs généraux peuvent élever leur accès pour gérer tous les abonnements et groupes d’administration Azure. Ils obtiennent ainsi un accès complet à toutes les ressources Azure à l’aide du locataire Microsoft Entra correspondant. La personne qui s’inscrit pour l’organisation Microsoft Entra devient administrateur général. Une entreprise peut comprendre plusieurs administrateurs généraux. Les administrateurs généraux peuvent réinitialiser le mot de passe des utilisateurs et de tous les autres administrateurs. Un administrateur général ne peut pas supprimer sa propre attribution d’administrateur général. Cela permet d’éviter une situation dans laquelle une organisation ne disposerait d’aucun administrateur général.
Remarque
À titre de meilleure pratique, Microsoft recommande d’attribuer le rôle Administrateur général à moins de cinq personnes dans votre organisation. Pour plus d'informations, consultez Meilleures pratiques pour les rôles Microsoft Entra.
Lecteur général
Il s’agit d’un rôle privilégié. Les utilisateurs affectés à ce rôle peuvent lire les paramètres et les informations d’administration entre les services Microsoft 365, mais ne peuvent pas entreprendre d’actions de gestion. Le lecteur général est l’équivalent en lecture seule de l’Administrateur général. Affecter un rôle de Lecteur général plutôt que d’Administrateur général pour la planification, les audits ou les investigations. Utiliser le Lecteur global conjointement à d’autres rôles d’administrateur limités comme celui de l’Administrateur Exchange pour faciliter le travail sans affecter le rôle d’Administrateur général. Le Lecteur général fonctionne avec le centre d’administration Microsoft 365, le centre d’administration Exchange, le centre d’administration SharePoint, le centre d’administration Teams, le portail Microsoft 365 Defender, le portail de conformité Microsoft Purview, le portail Azure et le centre d’administration Gestion des appareils.
Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :
- Impossible d’accéder à la zone Acheter des services dans le Centre d’administration Microsoft 365.
Remarque
Le rôle Lecteur général a les limitations suivantes :
- Centre d’administration OneDrive : le Centre d’administration OneDrive ne prend pas en charge le rôle de Lecteur général
- portail Microsoft 365 Defender - Le lecteur global ne peut pas effectuer de recherche de contenu ni voir Degré de sécurisation.
- Centre d’administration Teams : le lecteur général ne peut pas lire le cycle de vie Teams, les Analyses et rapports, la gestion des appareils téléphoniques IP et le catalogue d’applications. Pour plus d’informations, consultez Utiliser des rôles d’administrateur Microsoft Teams pour gérer Teams.
- La Gestion de l’accès privilégié ne prend pas en charge le rôle de Lecteur général.
- Azure Information Protection : le Lecteur général est pris en charge uniquement pour la création centralisée de rapports et lorsque votre organisation Microsoft Entra n’est pas sur la plateforme d’étiquetage unifiée.
- SharePoint - Le lecteur général a accès en lecture aux applets de commande PowerShell SharePoint Online et aux API de lecture.
- Centre d’administration Power Platform : le lecteur général n’est pas encore pris en charge dans le centre d’administration Power Platform.
- Microsoft Purview ne prend pas en charge le rôle Lecteur général.
Administrateur d’accès global sécurisé
Attribuez le rôle Administrateur d’accès global sécurisé aux utilisateurs qui doivent effectuer ceci :
- Créer et gérer tous les aspects de l’accès Internet Microsoft Entra et de l’accès privé Microsoft Entra
- Gérer l’accès aux points de terminaison publics et privés
Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :
- Impossible de gérer les applications d’entreprise, les inscriptions d’applications, l’accès conditionnel ou les paramètres de proxy d’application
Actions | Description |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.directory/applicationPolicies/standard/read | Lire les propriétés standard des stratégies d’application |
microsoft.directory/applications/applicationProxy/read | Lire toutes les propriétés du proxy d’application |
microsoft.directory/applications/owners/read | Lire les propriétaires d’applications |
microsoft.directory/applications/policies/read | Lire les stratégies d’applications |
microsoft.directory/applications/standard/read | Lire les propriétés standard des applications |
microsoft.directory/auditLogs/allProperties/read | Lire toutes les propriétés sur les journaux d’audit, à l’exception des journaux d’audit des attributs de sécurité personnalisés |
microsoft.directory/conditionalAccessPolicies/standard/read | Lire l'accès conditionnel pour les stratégies |
microsoft.directory/connectorGroups/allProperties/read | Lire toutes les propriétés des groupes de connecteurs de réseau privé |
microsoft.directory/connectors/allProperties/read | Lire toutes les propriétés des connecteurs de réseau privé |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | Lire les propriétés de base de la stratégie d’accès inter-locataires par défaut |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Lire les propriétés de base de la stratégie d’accès inter-locataires pour les partenaires |
microsoft.directory/crossTenantAccessPolicy/standard/read | Lire les propriétés de base de la stratégie d’accès inter-locataires |
microsoft.directory/namedLocations/standard/read | Lire des propriétés de base de règles personnalisées qui définissent des emplacements réseau |
microsoft.directory/signInReports/allProperties/read | Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées |
microsoft.networkAccess/allEntities/allProperties/allTasks | Gérer tous les aspects de l’accès réseau Microsoft Entra |
microsoft.office365.messageCenter/messages/read | Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur de groupes
Les utilisateurs de ce rôle peuvent créer/gérer des groupes et ses paramètres, comme les stratégies d’attribution de noms et d’expiration. Il est important de comprendre que l’affectation d’un utilisateur à ce rôle lui donne la possibilité de gérer tous les groupes au sein de l’organisation dans diverses charges de travail telles que Teams, SharePoint et Yammer en plus d’Outlook. De même, l’utilisateur pourra gérer les différents paramètres des groupes à travers divers portails d’administration, comme le centre d’administration Microsoft, le portail Azure, ainsi que des charges de travail spécifiques telles que les centres d’administration Teams et SharePoint.
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.directory/deletedItems.groups/delete | Supprimer définitivement les groupes qui ne peuvent plus être restaurés |
microsoft.directory/deletedItems.groups/restore | Restaurer les groupes supprimés de manière réversible à l’état d’origine |
microsoft.directory/groups/assignLicense | Attribuer des licences de produits à des groupes pour la gestion des licences basée sur un groupe |
microsoft.directory/groups/basic/update | Actualiser les propriétés de base des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle |
microsoft.directory/groups/classification/update | Actualiser les propriétés de classification des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle |
microsoft.directory/groups/create | Créer des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle |
microsoft.directory/groups/delete | Supprimer des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle |
microsoft.directory/groups/dynamicMembershipRule/update | Actualiser la règle d’adhésion dynamique des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle |
microsoft.directory/groups/groupType/update | Actualiser les propriétés qui affectent le type de groupe des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle |
microsoft.directory/groups/hiddenMembers/read | Lire la propriété membres masqués des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle |
microsoft.directory/groups/members/update | Actualiser la propriété membres des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle |
microsoft.directory/groups/onPremWriteBack/update | Mettre à jour les groupes Microsoft Entra pour qu’ils soient réécrits localement avec Microsoft Entra Connect |
microsoft.directory/groups/owners/update | Actualiser la propriété propriétaires des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle |
microsoft.directory/groups/reprocessLicenseAssignment | Retraiter les attributions de licence pour la gestion des licences basée sur un groupe |
microsoft.directory/groups/restore | Restaurer les groupes à partir d’un conteneur supprimé de manière réversible |
microsoft.directory/groups/settings/update | Mettre à jour les paramètres des groupes |
microsoft.directory/groups/visibility/update | Actualiser la propriété de visibilité des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Inviteur
les utilisateurs auxquels ce rôle est assigné peuvent gérer les invitations d’utilisateurs invités Microsoft Entra B2B lorsque le paramètre utilisateur Les membres peuvent inviter est défini sur Non. Pour plus d’informations sur B2B Collaboration, consultez la page À propos de Microsoft Entra B2B Collaboration. Il n’inclut pas d’autres autorisations.
Actions | Description |
---|---|
microsoft.directory/users/appRoleAssignments/read | Lire les attributions de rôle d’application des utilisateurs |
microsoft.directory/users/deviceForResourceAccount/read | Lire deviceForResourceAccount des utilisateurs |
microsoft.directory/users/directReports/read | Lire les collaborateurs directs des utilisateurs |
microsoft.directory/users/invitedBy/read | Lire l’utilisateur qui a invité un utilisateur externe à un locataire |
microsoft.directory/users/inviteGuest | Inviter des utilisateurs |
microsoft.directory/users/licenseDetails/read | Lire les détails de licence des utilisateurs |
microsoft.directory/users/manager/read | Lire les gestionnaires d’utilisateurs |
microsoft.directory/users/memberOf/read | Lire les appartenances aux groupes des utilisateurs |
microsoft.directory/users/oAuth2PermissionGrants/read | Lire les octrois d’autorisations déléguées sur les utilisateurs |
microsoft.directory/users/ownedDevices/read | Lire les appareils détenus des utilisateurs |
microsoft.directory/users/ownedObjects/read | Lire les objets détenus des utilisateurs |
microsoft.directory/users/photo/read | Lire la photo des utilisateurs |
microsoft.directory/users/registeredDevices/read | Lire les appareils inscrits des utilisateurs |
microsoft.directory/users/scopedRoleMemberOf/read | Lire l’appartenance d’un utilisateur à un rôle Microsoft Entra étendu à une unité administrative |
microsoft.directory/users/sponsors/read | Lire les sponsors des utilisateurs |
microsoft.directory/users/standard/read | Lire les propriétés de base sur les utilisateurs |
Administrateur du support technique
Il s’agit d’un rôle privilégié. Les utilisateurs avec ce rôle peuvent changer les mots de passe, invalider les jetons d’actualisation, créer et gérer les demandes de support avec Microsoft pour Azure et les services Microsoft 365, et surveiller l’intégrité des services. L’invalidation d’un jeton d’actualisation oblige l’utilisateur à se reconnecter. Le rôle attribué à un utilisateur détermine si un administrateur du support technique peut réinitialiser le mot de passe de l’utilisateur et invalider les jetons d’actualisation. Pour obtenir la liste des rôles pour lesquels un administrateur du support technique peut réinitialiser les mots de passe et invalider les jetons d’actualisation, consultez Qui peut réinitialiser les mots de passe.
Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :
- Ne peuvent pas modifier les informations d’identification ou réinitialiser l’authentification multifacteur pour les membres et les propriétaires d’un groupe auquel un rôle est assignable.
Important
Les utilisateurs auxquels ce rôle est assigné peuvent changer les mots de passe des personnes susceptibles d’avoir accès à des informations sensibles ou privées ou à des configurations critiques à l’intérieur et à l’extérieur de Microsoft Entra ID. Changer le mot de passe d’un utilisateur peut signifier la capacité d’assumer l’identité et les autorisations de cet utilisateur. Par exemple :
- Les propriétaires d’inscription d’application et d’application d’entreprise, qui peuvent gérer les informations d’identification des applications qu’ils possèdent. Ces applications peuvent disposer d’autorisations privilégiées dans Microsoft Entra ID et ailleurs qui ne sont pas accordées aux administrateurs du support technique. Grâce à ce chemin d’accès, un administrateur de support technique peut être en mesure d’assumer l’identité d’un propriétaire d’application, puis d’assumer l’identité d’une application privilégiée en mettant à jour les identifiants de celle-ci.
- Propriétaires d’abonnement Azure, qui peuvent avoir accès à des informations confidentielles ou privées ou à une configuration critique dans Azure.
- Propriétaires de groupe de sécurité et de groupe Microsoft 365, qui peuvent gérer l’appartenance à un groupe. Ces groupes peuvent accorder l’accès à des informations sensibles ou privées ou à une configuration critique dans Microsoft Entra ID et ailleurs.
- Les administrateurs relevant d’autres services en dehors de Microsoft Entra ID, tels que Exchange Online, le portail Microsoft 365 Defender, le portail de conformité Microsoft Purview et les systèmes de ressources humaines.
- Les non-administrateurs comme les cadres supérieurs, les conseillers juridiques et les employés des ressources humaines qui peuvent avoir accès à des informations sensibles ou privées.
La délégation d’autorisations administratives à des sous-ensembles d’utilisateurs et l’application de stratégies à un sous-ensemble d’utilisateurs sont possibles avec des unités administratives.
Ce rôle était auparavant appelé « administrateur de mot de passe » dans le portail Azure. Il a été renommé « Administrateur du support technique » pour s’aligner sur le nom existant dans l’API Microsoft Graph et Microsoft Graph PowerShell.
Administrateur d’identité hybride
Il s’agit d’un rôle privilégié. Les utilisateurs de ce rôle peuvent créer, gérer et déployer la configuration de l’approvisionnement d’Active Directory vers Microsoft Entra ID à l’aide de l’approvisionnement cloud, ainsi que gérer Microsoft Entra Connect, l’authentification directe (PTA), la synchronisation de hachage du mot de passe (PHS), l’authentification unique transparente (Seamless SSO) et les paramètres de fédération. N’a pas accès à la gestion de Microsoft Entra Connect Health. Les utilisateurs peuvent également dépanner et superviser les journaux à l’aide de ce rôle.
Administrateur Identity Governance
Les utilisateurs dotés de ce rôle peuvent gérer la configuration de la gouvernance des identités Microsoft Entra ID, notamment les packages d'accès, les révisions d'accès, les catalogues et les stratégies, afin que l'accès soit approuvé et révisé et que les utilisateurs invités qui n'ont plus besoin de l'accès soient supprimés.
Actions | Description |
---|---|
microsoft.directory/accessReviews/allProperties/allTasks | (Déconseillé) Créer et supprimer les révisions d’accès, lire et actualiser toutes les propriétés des révisions d’accès ainsi que gérer les révisions d’accès des groupes dans Microsoft Entra ID |
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Gérer les révisions d’accès des attributions de rôles d’application dans Microsoft Entra ID |
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Gérer les révisions d’accès pour les attributions de packages d’accès dans la gestion des droits d’utilisation |
microsoft.directory/accessReviews/definitions.groups/allProperties/read | Lisez toutes les propriétés des révisions d’accès pour l’appartenance aux groupes de sécurité et Microsoft 365, y compris les groupes pouvant être attribués à des rôles. |
microsoft.directory/accessReviews/definitions.groups/allProperties/update | Mettez à jour toutes les propriétés des révisions d’accès pour l’appartenance aux groupes de sécurité et Microsoft 365, à l’exception des groupes pouvant être attribués à des rôles. |
microsoft.directory/accessReviews/definitions.groups/create | Créez des révisions d’accès pour l’appartenance aux groupes de sécurité et Microsoft 365. |
microsoft.directory/accessReviews/definitions.groups/delete | Supprimez les révisions d’accès pour l’appartenance aux groupes de sécurité et Microsoft 365. |
microsoft.directory/entitlementManagement/allProperties/allTasks | Créer et supprimer des ressources, ainsi que lire et mettre à jour toutes les propriétés dans la gestion des droits d’utilisation Microsoft Entra |
microsoft.directory/groups/members/update | Actualiser la propriété membres des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle |
microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Mettre à jour les attributions de rôles des principaux de service |
Administrateur Insights
Les utilisateurs ayant ce rôle peuvent accéder à l’ensemble des fonctionnalités d’administration de l’application Microsoft Viva Insights. Ce rôle permet de lire les informations de répertoire, de contrôler l’intégrité du service, de soumettre des tickets de support et d’accéder aux aspects des paramètres Administrateur Insights.
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.insights/allEntities/allProperties/allTasks | Gérer tous les aspects de l’application Insights |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Analyste Insights
Attribuez le rôle Analyste Insights aux utilisateurs qui doivent effectuer les actions suivantes :
- Analyser les données dans l’application Microsoft Viva Insights, mais pas gérer les paramètres de configuration
- Créer, gérer et exécuter des requêtes
- Afficher les paramètres de base et les rapports dans le Centre d’administration Microsoft 365
- Créer et gérer des demandes de service dans le Centre d'administration Microsoft 365
Actions | Description |
---|---|
microsoft.insights/queries/allProperties/allTasks | Exécuter et gérer des requêtes dans Viva Insights |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Leader d’entreprise Insights
Les utilisateurs ayant ce rôle peuvent accéder à un ensemble de tableaux de bord et d’insights par le biais de l’application Microsoft Viva Insights. Ceci inclut l’accès total à tous les tableaux de bord et aux insights présentés et la fonctionnalité d’exploration de données. Les utilisateurs ayant ce rôle n’ont pas accès aux paramètres de configuration du produit, lesquels sont de la responsabilité réservée au rôle Administrateur Insights.
Actions | Description |
---|---|
microsoft.insights/programs/allProperties/update | Déployer et gérer des programmes dans l’application Insights |
microsoft.insights/reports/allProperties/read | Visualiser les rapports et le tableau de bord dans l’application Insights |
Administrateur Intune
Il s’agit d’un rôle privilégié. Les utilisateurs avec ce rôle ont des autorisations générales dans Microsoft Intune Online, quand le service est présent. Ce rôle donne aussi la possibilité de gérer les utilisateurs et les appareils afin d’associer la stratégie, ainsi que de créer et de gérer des groupes. Pour plus d’informations, consultez Contrôle d’accès en fonction du rôle (RBAC) avec Microsoft Intune.
Ce rôle peut créer et gérer tous les groupes de sécurité. Cependant, l’Administrateur Intune ne dispose pas de droits d’administrateur sur les groupes Microsoft 365. Cela signifie que l’administrateur ne peut pas mettre à jour les propriétaires ou les membres de tous les groupes Microsoft 365 au sein de l’organisation. Cependant, il peut gérer le groupe Microsoft 365 qu’il crée, ce qui fait partie de ses privilèges d’utilisateur final. Ainsi, tout groupe Microsoft 365 (et non un groupe de sécurité) qu’il crée doit être comptabilisé au titre de son quota de 250.
Remarque
Dans l’API Microsoft Graph et Microsoft Graph PowerShell, ce rôle est appelé « Administrateur de service Intune ». Dans le Portail Azure, il est nommé Administrateur Intune.
Administrateur Kaizala
Les utilisateurs dotés de ce rôle ont des autorisations générales de gérer des paramètres au sein de Microsoft Kaizala, quand le service est présent, et ils peuvent gérer les tickets de support et superviser l’intégrité du service. De plus, l’utilisateur peut accéder à des rapports liés à l’adoption et à l’utilisation de Kaizala par les membres de l’organisation, ainsi qu’à des rapports d’entreprise générés avec les actions Kaizala.
Actions | Description |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Lire les propriétés standard de la stratégie d’autorisation |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur des connaissances
Les utilisateurs dotés de ce rôle disposent d’un accès total à tous les paramètres de connaissances, d’apprentissage et de fonctionnalités intelligentes disponibles dans le centre d’administration Microsoft 365. Ils ont une compréhension générale de la suite de produits, des détails des licences et ont la responsabilité de contrôler l’accès. L’Administrateur des connaissances peut créer et gérer du contenu, comme des rubriques, des acronymes et des ressources d’apprentissage. De plus, ces utilisateurs peuvent créer des centres de contenu, superviser l’intégrité du service et créer des demandes de service.
Actions | Description |
---|---|
microsoft.directory/groups.security/basic/update | Actualiser les propriétés de base de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.security/create | Créer des groupes de Sécurité, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.security/createAsOwner | Créer des groupes de Sécurité, à l’exclusion des groupes à attribution de rôle Le créateur est ajouté en tant que premier propriétaire. |
microsoft.directory/groups.security/delete | Supprimer des groupes de Sécurité, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.security/members/update | Actualiser les membres de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.security/owners/update | Actualiser les propriétaires de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle |
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Lire et mettre jour toutes les propriétés de la compréhension du contenu dans le centre d’administration Microsoft 365 |
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Lire et mettre jour toutes les propriétés du réseau de connaissances dans le centre d’administration Microsoft 365 |
microsoft.office365.knowledge/learningSources/allProperties/allTasks | Gérer les sources d'apprentissage et toutes leurs propriétés dans l'application d'apprentissage |
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Lire toutes les propriétés des étiquettes de sensibilité dans le Centre de sécurité et conformité |
microsoft.office365.sharePoint/allEntities/allTasks | Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard SharePoint |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Gestionnaire des connaissances
Les utilisateurs qui disposent de ce rôle peuvent créer et gérer du contenu, comme des rubriques, des acronymes et du contenu d'apprentissage. Ces utilisateurs sont principalement responsables de la qualité et de la structure des connaissances. Cet utilisateur dispose de tous les droits sur les actions de gestion des rubriques pour confirmer une rubrique, approuver des modifications ou supprimer une rubrique. Ce rôle peut également gérer les taxonomies dans le cadre de l'outil de gestion du magasin de termes et créer des centres de contenu.
Actions | Description |
---|---|
microsoft.directory/groups.security/basic/update | Actualiser les propriétés de base de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.security/create | Créer des groupes de Sécurité, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.security/createAsOwner | Créer des groupes de Sécurité, à l’exclusion des groupes à attribution de rôle Le créateur est ajouté en tant que premier propriétaire. |
microsoft.directory/groups.security/delete | Supprimer des groupes de Sécurité, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.security/members/update | Actualiser les membres de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.security/owners/update | Actualiser les propriétaires de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle |
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Lire les rapports analytiques de la compréhension du contenu dans le Centre d'administration Microsoft 365 |
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Gérer la visibilité des rubriques du réseau de connaissances dans le Centre d'administration Microsoft 365 |
microsoft.office365.sharePoint/allEntities/allTasks | Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard SharePoint |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur de licence
Les utilisateurs dans ce rôle peuvent lire, ajouter, supprimer et mettre à jour des attributions de licence pour les utilisateurs, les groupes (à l’aide de la gestion des licences par groupe) et gérer l’emplacement d’utilisation pour les utilisateurs. Le rôle ne permet pas d’acheter ou de gérer des abonnements, de créer ou de gérer des groupes, ni de créer ou de gérer les utilisateurs au-delà de leur emplacement d’utilisation. Ce rôle n’a pas d'accès pour afficher, créer ou gérer des tickets de support.
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.directory/authorizationPolicy/standard/read | Lire les propriétés standard de la stratégie d’autorisation |
microsoft.directory/groups/assignLicense | Attribuer des licences de produits à des groupes pour la gestion des licences basée sur un groupe |
microsoft.directory/groups/reprocessLicenseAssignment | Retraiter les attributions de licence pour la gestion des licences basée sur un groupe |
microsoft.directory/users/assignLicense | Gérer les licences utilisateur |
microsoft.directory/users/reprocessLicenseAssignment | Retraiter les attributions de licence pour les utilisateurs |
microsoft.directory/users/usageLocation/update | Mettre à jour l’emplacement d’utilisation des utilisateurs |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur des workflows de cycle de vie
Il s’agit d’un rôle privilégié. Affectez le rôle d’administrateur Lifecycle Workflows aux utilisateurs qui doivent effectuer les tâches suivantes :
- Créer et gérer tous les aspects des workflows et des tâches associés aux workflows de cycle de vie dans Microsoft Entra ID
- Vérifier l’exécution des workflows planifiés
- Lancer des exécutions de workflow à la demande
- Inspecter les journaux d’exécution du workflow
Lecteur de confidentialité du Centre de messages
Les utilisateurs dotés de ce rôle peuvent superviser toutes les notifications dans le Centre de messages, notamment les messages de confidentialité des données. Les lecteurs de confidentialité du Centre de messages reçoivent des notifications par e-mail, notamment celles liées à la confidentialité des données, et ils peuvent se désabonner à l’aide des préférences du Centre de messages. Seuls l’administrateur général et le lecteur de confidentialité du Centre de messages peuvent lire les messages de confidentialité des données. De plus, ce rôle permet de voir les groupes, les domaines et les abonnements. Il n’est pas autorisé à voir, créer ou gérer des demandes de service.
Actions | Description |
---|---|
microsoft.office365.messageCenter/messages/read | Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité |
microsoft.office365.messageCenter/securityMessages/read | Lire les messages de sécurité dans le Centre de messages du Centre d’administration Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Lecteur du Centre de messages
Les utilisateurs titulaires de ce rôle peuvent superviser les notifications et les mises à jour d’avis d’intégrité dans le Centre de messages pour leur organisation sur les services configurés comme Exchange, Intune et Microsoft Teams. Les lecteurs du Centre de messages reçoivent par e-mail des résumés hebdomadaires des publications, des mises à jour, et peuvent partager les messages publiés sur le Centre de messages dans Microsoft 365. Dans Microsoft Entra ID, les utilisateurs affectés à ce rôle n’auront accès en lecture seule qu’aux services Microsoft Entra tels que les utilisateurs et les groupes. Ce rôle n’a pas d'accès pour afficher, créer ou gérer des tickets de support.
Actions | Description |
---|---|
microsoft.office365.messageCenter/messages/read | Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur(-trice) de migration Microsoft 365
Attribuez le rôle Administrateur(-trice) de la migration Microsoft 365 aux utilisateurs qui doivent effectuer les tâches suivantes :
- Utilisez le gestionnaire de migration dans le Centre d’administration Microsoft 365 pour gérer la migration du contenu vers Microsoft 365, y compris Teams, OneDrive for Business et les sites SharePoint, à partir de Google Drive, Dropbox, Box et Egnyte
- Sélectionnez des sources de migration, créez des inventaires de migration (tels que des listes d’utilisateurs Google Drive), planifiez et exécutez des migrations, et téléchargez des rapports
- Créez de nouveaux sites SharePoint si les sites de destination n’existent pas encore, créer des listes SharePoint sous les sites d’administration SharePoint, et créez et mettez à jour des éléments dans les listes SharePoint
- Gérez les paramètres du projet de migration et le cycle de vie des tâches de migration
- Gérez les correspondances entre les autorisations de la source et de la destination
Remarque
Ce rôle ne vous permet pas de migrer à partir de sources de partage de fichiers en utilisant le centre d’administration SharePoint. Vous pouvez utiliser le rôle d’administrateur(-trice) SharePoint pour migrer à partir de sources de partage de fichiers.
Actions | Description |
---|---|
microsoft.office365.migrations/allEntities/allProperties/allTasks | Gérez tous les aspects de la migration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur local de l’appareil joint à Microsoft Entra
Ce rôle peut uniquement être attribué comme administrateur local supplémentaire dans Paramètres de l’appareil. Les utilisateurs dotés de ce rôle deviennent des administrateurs de l'ordinateur local pour tous les appareils Windows 10 qui sont joints à Microsoft Entra ID. Ils ne peuvent pas gérer des objets appareil dans Microsoft Entra ID.
Actions | Description |
---|---|
microsoft.directory/groupSettings/standard/read | Lire les propriétés de base sur des paramètres de groupe |
microsoft.directory/groupSettingTemplates/standard/read | Lire les propriétés de base sur des modèles de paramètres de groupe |
Administrateur de la garantie du matériel Microsoft
Attribuez le rôle Administrateur de la garantie du matériel Microsoft aux utilisateurs qui doivent effectuer les tâches suivantes :
- Créer des revendications de garantie pour le matériel de fabrication Microsoft, comme Surface et HoloLens
- Rechercher et lire les revendications de garantie ouvertes ou fermées
- Rechercher et lire les revendications de garantie par numéro de série
- Créer, lire, mettre à jour et supprimer des adresses d’expédition
- Lire l’état d’expédition des réclamations de garantie ouvertes
- Créer et gérer des demandes de service dans le Centre d'administration Microsoft 365
- Lire les annonces du Centre de messagerie dans le centre d’administration Microsoft 365
Une demande de garantie est une demande de réparation ou de remplacement du matériel conformément aux conditions de la garantie. Pour plus d’informations, consultez Demandes de service et de garantie Surface en libre-service.
Actions | Description |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/allTasks | Créer, lire, mettre à jour et supprimer des adresses d’expédition pour les demandes de garantie de matériel Microsoft, notamment les adresses d’expédition créées par d’autres personnes |
microsoft.hardware.support/shippingStatus/allProperties/read | Lire l’état d’expédition pour les demandes de garantie de matériel Microsoft ouvertes |
microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Créer et gérer tous les aspects des demandes de garantie matérielle Microsoft |
microsoft.office365.messageCenter/messages/read | Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Spécialiste de la garantie du matériel Microsoft
Attribuez le rôle Spécialiste de la garantie du matériel Microsoft aux utilisateurs qui doivent effectuer les tâches suivantes :
- Créer des revendications de garantie pour le matériel de fabrication Microsoft, comme Surface et HoloLens
- Lire les revendications de garantie qu’ils ont créées
- Lire et mettre à jour les adresses d’expédition existantes
- Lire l’état d’expédition des réclamations de garantie ouvertes qu’ils ont créées
- Créer et gérer des demandes de service dans le Centre d'administration Microsoft 365
Une demande de garantie est une demande de réparation ou de remplacement du matériel conformément aux conditions de la garantie. Pour plus d’informations, consultez Demandes de service et de garantie Surface en libre-service.
Actions | Description |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/read | Lire les adresses d’expédition pour les demandes de garantie de matériel Microsoft, notamment les adresses d’expédition existantes créées par d’autres |
microsoft.hardware.support/warrantyClaims/createAsOwner | Créer des revendications de garantie matérielle Microsoft dont le créateur est le propriétaire |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
microsoft.hardware.support/shippingStatus/allProperties/read | Lire l’état d’expédition pour les demandes de garantie de matériel Microsoft ouvertes |
microsoft.hardware.support/warrantyClaims/allProperties/read | Lire les demandes de garantie de matériel Microsoft |
Administrateur de Commerce moderne
Ne pas utiliser. Ce rôle est attribué automatiquement à partir de Commerce, et n’est ni prévu, ni pris en charge pour toute autre utilisation. Consultez les détails ci-dessous.
Le rôle Administrateur de Commerce moderne donne à certains utilisateurs l’autorisation d’accéder au Centre d’administration Microsoft 365 et de consulter les entrées de navigation de gauche pour Hébergement, Facturation et Support. Le contenu disponible dans ces zones est contrôlé par des rôles spécifiques du commerce attribués aux utilisateurs pour gérer des produits qu’ils ont achetés pour eux-mêmes ou votre organisation. Cela peut inclure des tâches telles que le paiement de factures, ou l’accès à des comptes de facturation et à des profils de facturation.
Les utilisateurs ayant le rôle Administrateur de Commerce moderne disposent généralement d’autorisations d’administration dans d’autres systèmes d’achat Microsoft, mais ne disposent pas des rôles Administrateur général ou Administrateur de facturation utilisés pour accéder au Centre d’administration.
Quand le rôle Administrateur de Commerce moderne est-il attribué ?
- Achat en libre-service dans le Centre d’administration Microsoft 365 : l’achat en libre-service permet aux utilisateurs de tester de nouveaux produits en les achetant ou en s’y inscrivant eux-mêmes. Ces produits sont gérés dans le Centre d’administration. Les utilisateurs qui effectuent un achat en libre-service se voient attribuer un rôle dans le système Commerce et le rôle Administrateur de Commerce moderne afin de pouvoir gérer leurs achats dans le Centre d’administration. Les administrateurs peuvent bloquer les achats en libre-service (pour Fabric, Power BI, Power Apps, Power automate) au moyen de PowerShell. Pour plus d’informations, consultez FAQ sur l’achat en libre-service.
- Achats sur la Place de marché commerciale de Microsoft : comme pour l’achat en libre-service, quand un utilisateur achète un produit ou un service sur Microsoft AppSource ou la Place de marché Azure, le rôle Administrateur de Commerce moderne lui est attribué s’il n’a pas le rôle Administrateur général ou Administrateur de facturation. Dans certains cas, il peut arriver que des utilisateurs soient empêchés d’effectuer ces achats. Pour plus d’informations, consultez Place de marché commerciale de Microsoft.
- Propositions de Microsoft : une proposition est une offre formelle de Microsoft à votre organisation pour l’achat de produits et services Microsoft. Quand la personne qui accepte la proposition n’a pas de rôle Administrateur général ou Administrateur de facturation dans Microsoft Entra ID, elle se voit attribuer un rôle spécifique du commerce pour compléter la proposition et le rôle Administrateur de Commerce moderne pour accéder au centre d’administration. Quand elle accède au Centre d’administration, elle ne peut utiliser que des fonctionnalités autorisées par son rôle spécifique du commerce.
- Rôles spécifiques du commerce : certains utilisateurs se voient attribuer des rôles spécifiques du commerce. Si un utilisateur n’est pas un Administrateur général ou un Administrateur de facturation, il obtient le rôle Administrateur de Commerce moderne qui lui permet d’accéder au centre d’administration.
En cas de suppression de l’attribution du rôle Administrateur de Commerce moderne à un utilisateur, celui-ci perd son accès au Centre d’administration Microsoft 365. S’il gérait des produits pour lui-même ou pour votre organisation, ils ne peut plus les gérer. Cette gestion peut inclure l’attribution de licences, la modification de modes de paiement, le paiement de factures ou d’autres tâches d’administration des abonnements.
Actions | Description |
---|---|
microsoft.commerce.billing/partners/read | |
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Gérer tous les aspects du Centre de services de licences en volume |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/basic/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur réseau
Les utilisateurs de ce rôle peuvent passer en revue les recommandations de Microsoft relatives à l’architecture du périmètre réseau basées sur la télémétrie du réseau à partir de leur emplacement utilisateur. Les performances réseau pour Microsoft 365 s’appuient sur une architecture de périmètre de réseau client entreprise soigneuse, qui est généralement propre à la localisation de l’utilisateur. Ce rôle permet de modifier les emplacements utilisateur découverts et la configuration des paramètres réseau pour ces emplacements afin de faciliter les mesures de télémétrie et les suggestions de conception améliorées
Actions | Description |
---|---|
microsoft.office365.network/locations/allProperties/allTasks | Gérer tous les aspects des emplacements réseau |
microsoft.office365.network/performance/allProperties/read | Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur d’applications Office
Les utilisateurs titulaires de ce rôle peuvent gérer les paramètres cloud des applications Microsoft 365. Cela comprend la gestion des stratégies cloud, la gestion du téléchargement en libre-service et la possibilité d’afficher des rapports relatifs aux applications Office. Ce rôle accorde en outre la possibilité de gérer les tickets de support et de surveiller l’intégrité du service au sein du centre d’administration principal. Les utilisateurs affectés à ce rôle peuvent également gérer la communication de nouvelles fonctionnalités dans les applications Office.
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.office365.messageCenter/messages/read | Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.userCommunication/allEntities/allTasks | Lire et mettre à jour la visibilité des messages Nouveautés |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur de la personnalisation organisationnelle
Attribuez le rôle Administrateur de la personnalisation organisationnelle aux utilisateurs qui doivent effectuer les tâches suivantes :
- Gérer tous les aspects de la personnalisation organisationnelle dans un tenant
- Lire, créer, mettre à jour et supprimer des thèmes de personnalisation
- Gérer le thème de personnalisation par défaut et tous les thèmes de localisation de personnalisation
Actions | Description |
---|---|
microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Créer et supprimer loginTenantBranding, ainsi que lire et mettre à jour toutes les propriétés |
Approbateur de messages organisationnels
Attribuez le rôle Approbateur de messages organisationnels aux utilisateurs qui doivent effectuer les tâches suivantes :
- Passer en revue, approuver ou rejeter de nouveaux messages organisationnels pour la distribution dans le centre d’administration Microsoft 365 avant qu’ils ne soient envoyés aux utilisateurs à l’aide de la plateforme Messages organisationnels de Microsoft 365
- Lire tous les aspects des messages organisationnels
- Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
Actions | Description |
---|---|
microsoft.office365.organizationalMessages/allEntities/allProperties/read | Lire tous les aspects des messages organisationnels dans Microsoft 365 |
microsoft.office365.organizationalMessages/allEntities/allProperties/update | Approuver ou rejeter de nouveaux messages organisationnels pour la distribution dans le centre d’administration Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Enregistreur de messages organisationnels
Attribuez le rôle Enregistreur de messages organisationnels aux utilisateurs qui doivent effectuer les tâches suivantes :
- Écrire, publier et supprimer des messages organisationnels dans le Centre d’administration Microsoft 365 ou Microsoft Intune
- Gérer les options de remise de messages organisationnels dans le Centre d’administration Microsoft 365 ou Microsoft Intune
- Lire les résultats de remise de messages organisationnels dans le Centre d’administration Microsoft 365 ou Microsoft Intune
- Consulter les rapports d’utilisation et la plupart des paramètres dans le Centre d’administration Microsoft 365, mais sans faire de changements
Actions | Description |
---|---|
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Gérer tous les aspects de la création de messages organisationnels dans Microsoft 365 |
microsoft.office365.usageReports/allEntities/standard/read | Lire les rapports d’utilisation Office 365 agrégés au niveau locataire |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Prise en charge de niveau 1 de partenaire
Il s’agit d’un rôle privilégié. Ne pas utiliser. Ce rôle est déconseillé et sera prochainement supprimé de Microsoft Entra ID. Il s’adresse à un petit nombre de partenaires revendeurs Microsoft et n’est pas destiné à une utilisation générale.
Important
Ce rôle peut réinitialiser les mots de passe et invalider les jetons d’actualisation uniquement pour les non-administrateurs. Ce rôle ne doit pas être utilisé, car il est déprécié.
Prise en charge de niveau 2 de partenaire
Il s’agit d’un rôle privilégié. Ne pas utiliser. Ce rôle est déconseillé et sera prochainement supprimé de Microsoft Entra ID. Il s’adresse à un petit nombre de partenaires revendeurs Microsoft et n’est pas destiné à une utilisation générale.
Important
Ce rôle peut réinitialiser les mots de passe et invalider les jetons d’actualisation pour l’ensemble des non-administrateurs et des administrateurs (y compris les administrateurs généraux). Ce rôle ne doit pas être utilisé, car il est déprécié.
Administrateur de mots de passe
Il s’agit d’un rôle privilégié. Les utilisateurs disposant de ce rôle ont une capacité limitée à gérer les mots de passe. Ce rôle n’accorde pas la possibilité de gérer les demandes de service ou de surveiller l’intégrité du service. Le rôle attribué à un utilisateur détermine si un administrateur de mot de passe peut réinitialiser le mot de passe de l’utilisateur. Pour obtenir la liste des rôles pour lesquels un administrateur de mot de passe peut réinitialiser les mots de passe, consultez Qui peut réinitialiser les mots de passe.
Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :
- Ne peuvent pas modifier les informations d’identification ou réinitialiser l’authentification multifacteur pour les membres et les propriétaires d’un groupe auquel un rôle est assignable.
Administrateur de gestion des autorisations
Affectez le rôle d’administrateur de gestion des autorisations aux utilisateurs qui doivent effectuer les tâches suivantes :
- Gérer tous les aspects de la Gestion des autorisations Microsoft Entra, lorsque le service est présent
En savoir plus sur les rôles et stratégies de gestion des autorisations dans Afficher des informations sur les rôles/stratégies.
Actions | Description |
---|---|
microsoft.permissionsManagement/allEntities/allProperties/allTasks | Gérer tous les aspects de la Gestion des autorisations Microsoft Entra |
Administrateur de plateforme Power
Les utilisateurs de ce rôle peuvent créer et gérer tous les aspects des environnements, Power Apps, Flows et les stratégies de protection contre la perte de données. Les utilisateurs avec ce rôle sont aussi en mesure de gérer les tickets de support et de surveiller l’état des services.
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.dynamics365/allEntities/allTasks | Gérez tous les aspects de Dynamics 365 |
microsoft.flow/allEntities/allTasks | Gérez tous les aspects de Microsoft Power Automate |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
microsoft.powerApps/allEntities/allTasks | Gérez tous les aspects de Power Apps |
Administrateur d’imprimantes
Les utilisateurs ayant ce rôle peuvent inscrire des imprimantes et gérer tous les aspects de toutes les configurations d’imprimante dans la solution d’impression universelle Microsoft, y compris les paramètres du connecteur d’impression universel. Ils peuvent consentir à toutes les demandes d’autorisation d’impression déléguée. Les administrateurs d’imprimantes ont également accès aux rapports d’impression.
Actions | Description |
---|---|
microsoft.azure.print/allEntities/allProperties/allTasks | Créer et supprimer des imprimantes et des connecteurs, ainsi que lire et mettre à jour toutes les propriétés dans Microsoft Print |
Technicien en charge des imprimantes
Les utilisateurs ayant ce rôle peuvent inscrire des imprimantes et gérer leur état dans la solution d’impression universelle Microsoft. Ils peuvent également lire toutes les informations du connecteur. Une tâche clé qu’un technicien en charge des imprimantes ne peut pas accomplir est la définition d’autorisations utilisateur sur des imprimantes et le partage d’imprimantes.
Actions | Description |
---|---|
microsoft.azure.print/connectors/allProperties/read | Lire toutes les propriétés des connecteurs dans Microsoft Print |
microsoft.azure.print/printers/allProperties/read | Lire toutes les propriétés des imprimantes dans Microsoft Print |
microsoft.azure.print/printers/basic/update | Mettre à jour les propriétés de base des imprimantes dans Microsoft Print |
microsoft.azure.print/printers/register | Inscrire des imprimantes dans Microsoft Print |
microsoft.azure.print/printers/unregister | Désinscrire des imprimantes dans Microsoft Print |
Administrateur d’authentification privilégié
Il s’agit d’un rôle privilégié. Affectez le rôle d’administrateur d’authentification privilégiée aux utilisateurs qui doivent effectuer les tâches suivantes :
- Définir ou réinitialiser toute méthode d’authentification (y compris les mots de passe) pour n’importe quel utilisateur, y compris les administrateurs généraux.
- Supprimer ou restaurer tous les utilisateurs, y compris les administrateurs généraux. Pour plus d’informations, consultez Qui peut effectuer des actions sensibles.
- Forcer les utilisateurs à se réinscrire auprès des informations d’identification non-mot de passe existantes (telles que MFA ou FIDO2) et révoquer mémoriser l’authentification multifacteur sur l’appareil, en demandant l’authentification multifacteur lors de la prochaine connexion de tous les utilisateurs.
- Mettre à jour les propriétés sensibles pour tous les utilisateurs. Pour plus d’informations, consultez Qui peut effectuer des actions sensibles.
- Créer et gérer des tickets de support dans Azure AD et le Centre d’administration Microsoft 365.
- Configurer des autorités de certification avec un magasin d’approbations PKI (préversion)
Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :
- Ne peuvent pas gérer l’authentification multifacteur par utilisateur dans le portail de gestion MFA hérité.
Le tableau suivant compare les fonctionnalités des rôles associés à l’authentification.
Role | Gérer les méthodes d’authentification de l’utilisateur | Gérer l’authentification multifacteur par utilisateur | Gérer les paramètres de l’authentification multifacteur | Gérer la stratégie de méthode d’authentification | Gérer la stratégie de protection par mot de passe | Mettre à jour les propriétés sensibles | Supprimer et restaurer des utilisateurs |
---|---|---|---|---|---|---|---|
Administrateur d’authentification | Oui pour certains utilisateurs | Oui pour certains utilisateurs | Oui | No | No | Oui pour certains utilisateurs | Oui pour certains utilisateurs |
Administrateur d’authentification privilégié | Oui pour tous les utilisateurs | Oui pour tous les utilisateurs | No | No | No | Oui pour tous les utilisateurs | Oui pour tous les utilisateurs |
Administrateur de la stratégie d’authentification | No | Oui | Oui | Oui | Oui | No | No |
Administrateur d’utilisateurs | No | No | No | No | No | Oui pour certains utilisateurs | Oui pour certains utilisateurs |
Important
Les utilisateurs auxquels ce rôle est assigné peuvent changer les informations d’identification des personnes susceptibles d’avoir accès à des informations sensibles ou privées ou à des configurations critiques à l’intérieur et à l’extérieur de Microsoft Entra ID. Changer les informations d’identification d’un utilisateur peut signifier la capacité d’assumer l’identité et les autorisations de cet utilisateur. Par exemple :
- Les propriétaires d’inscription d’application et d’application d’entreprise, qui peuvent gérer les informations d’identification des applications qu’ils possèdent. Ces applications peuvent disposer d’autorisations privilégiées dans Microsoft Entra ID et ailleurs qui ne sont pas accordées aux administrateurs d’authentification. Par ce biais, un administrateur d’authentification peut assumer l’identité d’un propriétaire d’application, puis d’assumer l’identité d’une application privilégiée en mettant à jour les identifiants de celle-ci.
- Propriétaires d’abonnement Azure, qui peuvent avoir accès à des informations confidentielles ou privées ou à une configuration critique dans Azure.
- Propriétaires de groupe de sécurité et de groupe Microsoft 365, qui peuvent gérer l’appartenance à un groupe. Ces groupes peuvent accorder l’accès à des informations sensibles ou privées ou à une configuration critique dans Microsoft Entra ID et ailleurs.
- Les administrateurs relevant d’autres services en dehors de Microsoft Entra ID, tels que Exchange Online, le portail Microsoft 365 Defender, le portail de conformité Microsoft Purview et les systèmes de ressources humaines.
- Les non-administrateurs comme les cadres supérieurs, les conseillers juridiques et les employés des ressources humaines qui peuvent avoir accès à des informations sensibles ou privées.
Administrateur de rôle privilégié
Il s’agit d’un rôle privilégié. Les utilisateurs avec ce rôle peuvent gérer les attributions de rôles dans Microsoft Entra ID et Microsoft Entra Privileged Identity Management. Ils peuvent créer et gérer des groupes qui peuvent être affectés à des rôles Microsoft Entra. De plus, ce rôle permet de gérer tous les aspects de Privileged Identity Management et des unités administratives.
Important
Ce rôle donne la possibilité de gérer les attributions de tous les rôles Microsoft Entra, y compris le rôle d’administrateur général. Ce rôle n’inclut pas d’autres capacités privilégiées dans Microsoft Entra ID, comme la création ou la mise à jour des utilisateurs. Toutefois, les utilisateurs affectés à ce rôle peuvent s’accorder ou accorder à d’autres des privilèges supplémentaires en leur attribuant des rôles supplémentaires.
Lecteur de rapports
Les utilisateurs disposant de ce rôle peuvent afficher les données de rapports sur l’utilisation et le tableau de bord des rapports dans le centre d’administration Microsoft 365 et le pack du contexte d’adoption dans Fabric et Power BI. En outre, ce rôle donne accès aux journaux de connexion, journaux d’audit et rapports d’activité dans Microsoft Entra ID, ainsi qu’aux données renvoyées par l’API de création de rapports Microsoft Graph. Un utilisateur disposant du rôle Lecteur de rapports peut uniquement accéder au métriques d’utilisation et d’adoption pertinentes. Il n’a pas les autorisations administrateur permettant de configurer les paramètres ou d’accéder aux centres d’administration propres au produit comme Exchange. Ce rôle n’a pas d'accès pour afficher, créer ou gérer des tickets de support.
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.directory/auditLogs/allProperties/read | Lire toutes les propriétés sur les journaux d’audit, à l’exception des journaux d’audit des attributs de sécurité personnalisés |
microsoft.directory/provisioningLogs/allProperties/read | Lire toutes les propriétés des journaux de provisionnement |
microsoft.directory/signInReports/allProperties/read | Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées |
microsoft.office365.network/performance/allProperties/read | Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Lire les rapports d’utilisation d’Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur de recherche
Les utilisateurs dotés de ce rôle disposent d’un accès total à toutes les fonctionnalités de gestion de Recherche Microsoft disponibles dans le centre d’administration Microsoft 365. De plus, ces utilisateurs peuvent voir le Centre de messages, superviser l’intégrité du service et créer des demandes de service.
Actions | Description |
---|---|
microsoft.office365.messageCenter/messages/read | Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité |
microsoft.office365.search/content/manage | Créer et supprimer du contenu, ainsi que lire et mettre à jour toutes les propriétés dans Recherche Microsoft |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Éditeur de recherche
Les utilisateurs dotés de ce rôle peuvent créer, gérer et supprimer du contenu pour Recherche Microsoft dans le centre d’administration Microsoft 365, notamment des signets, des questions et réponses, ainsi que des emplacements.
Actions | Description |
---|---|
microsoft.office365.messageCenter/messages/read | Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité |
microsoft.office365.search/content/manage | Créer et supprimer du contenu, ainsi que lire et mettre à jour toutes les propriétés dans Recherche Microsoft |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur de sécurité
Il s’agit d’un rôle privilégié. Les utilisateurs dotés de ce rôle sont autorisés à gérer les fonctionnalités liées à la sécurité dans le portail Microsoft 365 Defender, Microsoft Entra ID Protection, Microsoft Entra Authentication, Azure Information Protection et le portail de conformité Microsoft Purview. Pour plus d’informations, consultez Rôles et groupes de rôles dans Microsoft Defender pour Office 365 et conformité Microsoft Purview.
Dans | Peut |
---|---|
Portail Microsoft 365 Defender | Surveiller les stratégies de sécurité au sein des services Microsoft 365 Gérer les menaces et les alertes liées à la sécurité Afficher les rapports |
Microsoft Entra ID Protection | Toutes les autorisations du rôle lecteur de sécurité Effectuer toutes les opérations ID Protection, à l’exception de la réinitialisation des mots de passe |
Privileged Identity Management | Toutes les autorisations du rôle lecteur de sécurité Ne peut pas gérer les paramètres ou les attributions de rôle Microsoft Entra |
Portail de conformité Microsoft Purview | Gérer les stratégies de sécurité Afficher, examiner et répondre aux menaces de sécurité Afficher les rapports |
Azure Advanced Threat Protection | Surveiller et répondre aux activités de sécurité suspectes |
Microsoft Defender for Endpoint | Attribuer des rôles Gérer des groupes de machines Configurer la détection des menaces liées aux points de terminaison et leur correction automatisée Afficher, examiner et répondre aux alertes Afficher l’inventaire des machines/appareils |
Intune | Mappe au rôle Intune Endpoint Security Manager |
Microsoft Defender for Cloud Apps | Ajouter des administrateurs, des stratégies et des paramètres, charger des journaux d’activité et effectuer des actions de gouvernance |
Intégrité des services Microsoft 365 | Afficher l’intégrité des services Microsoft 365 |
Verrouillage intelligent | Définissez le seuil et la durée des verrouillages lorsque des événements d’échec de connexion se produisent. |
Protection par mot de passe | Configurez une liste personnalisée de mots de passe interdits ou une protection par mot de passe locale. |
Synchronisation entre clients | Configurez les paramètres d’accès interlocataire pour les utilisateurs d’un autre locataire. Les administrateurs de la sécurité ne peuvent pas directement créer et supprimer des utilisateurs, mais ils peuvent indirectement créer et supprimer des utilisateurs synchronisés depuis un autre locataire lorsque les deux locataires sont configurés pour la synchronisation entre clients, ce qui est une autorisation avec privilège. |
Opérateur de sécurité
Il s’agit d’un rôle privilégié. Les utilisateurs disposant de ce rôle peuvent gérer les alertes et disposent d’un accès global en lecture seule aux fonctionnalités liées à la sécurité, notamment à toutes les informations disponibles dans le portail Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management et le portail de conformité Microsoft Purview. Pour plus d’informations, consultez Rôles et groupes de rôles dans Microsoft Defender pour Office 365 et conformité Microsoft Purview.
Dans | Peut |
---|---|
Portail Microsoft 365 Defender | Toutes les autorisations du rôle lecteur de sécurité Voir, examiner et répondre aux alertes sur les menaces de sécurité Gérer les paramètres de sécurité dans le portail Microsoft 365 Defender |
Microsoft Entra ID Protection | Toutes les autorisations du rôle lecteur de sécurité Effectuer toutes les opérations ID Protection, à l’exception de la configuration ou de la modification des stratégies basées sur le risque, de la réinitialisation des mots de passe et de la configuration des e-mails d’alerte. |
Privileged Identity Management | Toutes les autorisations du rôle lecteur de sécurité |
Portail de conformité Microsoft Purview | Toutes les autorisations du rôle lecteur de sécurité Voir, examiner et répondre aux alertes de sécurité |
Microsoft Defender for Endpoint | Toutes les autorisations du rôle lecteur de sécurité Voir, examiner et répondre aux alertes de sécurité Quand vous activez le contrôle d’accès en fonction du rôle dans Microsoft Defender for Endpoint, les utilisateurs avec des autorisations de lecture seule, comme le rôle Lecteur de sécurité, perdent l’accès jusqu’à ce qu’ils reçoivent un rôle Microsoft Defender for Endpoint. |
Intune | Toutes les autorisations du rôle lecteur de sécurité |
Microsoft Defender for Cloud Apps | Toutes les autorisations du rôle lecteur de sécurité Voir, examiner et répondre aux alertes de sécurité |
Intégrité des services Microsoft 365 | Afficher l’intégrité des services Microsoft 365 |
Lecteur Sécurité
Il s’agit d’un rôle privilégié. Les utilisateurs dotés de ce rôle ont un accès en lecture seule au niveau global à la fonctionnalité liée à la sécurité, notamment à toutes les informations dans le portail Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management. Ils peuvent aussi lire les rapports sur les connexions Microsoft Entra et les journaux d’audit, ainsi que dans le portail de conformité Microsoft Purview. Pour plus d’informations, consultez Rôles et groupes de rôles dans Microsoft Defender pour Office 365 et conformité Microsoft Purview.
Dans | Peut |
---|---|
Portail Microsoft 365 Defender | Afficher les stratégies de sécurité au sein des services Microsoft 365 Afficher les menaces et les alertes liées à la sécurité Afficher les rapports |
Microsoft Entra ID Protection | Afficher tous les rapports ID Protection et Vue d’ensemble |
Privileged Identity Management | A un accès en lecture seule à toutes les informations disponibles dans Microsoft Entra Privileged Identity Management : stratégies et rapports pour les attributions de rôles Microsoft Entra et révisions de sécurité. Ne peut pas s’inscrire auprès de Microsoft Entra Privileged Identity Management ni y apporter des modifications. Dans le portail Privileged Identity Management ou via PowerShell, une personne ayant ce rôle peut activer des rôles supplémentaires (par exemple, Administrateur de rôle privilégié), si l’utilisateur peut en bénéficier. |
Portail de conformité Microsoft Purview | Afficher les stratégies de sécurité Afficher et examiner les menaces de sécurité Afficher les rapports |
Microsoft Defender for Endpoint | Afficher et examiner les alertes Quand vous activez le contrôle d’accès en fonction du rôle dans Microsoft Defender for Endpoint, les utilisateurs avec des autorisations de lecture seule, comme le rôle Lecteur de sécurité, perdent l’accès jusqu’à ce qu’ils reçoivent un rôle Microsoft Defender for Endpoint. |
Intune | Affiche des informations relatives à l'utilisateur, l'appareil, l'inscription, la configuration et l'application. Ne peut pas apporter de modifications à Intune. |
Microsoft Defender for Cloud Apps | A des autorisations de lecture. |
Intégrité des services Microsoft 365 | Afficher l’intégrité des services Microsoft 365 |
Administrateur de support de service
Les utilisateurs avec ce rôle peuvent créer et gérer des demandes de support auprès de Microsoft pour les services Azure et Microsoft 365, ainsi que voir le tableau de bord des services et le Centre de messages dans le portail Azure et le centre d’administration Microsoft 365. Pour plus d’informations, consultez À propos des rôles d’administrateur dans le Centre d’administration Microsoft 365.
Remarque
Ce rôle était précédemment nommé Administrateur de services dans les Portail Azure et Centre d'administration Microsoft 365. Il a été renommé « Administrateur de support de service » pour s’aligner sur le nom existant dans l’API Microsoft Graph et Microsoft Graph PowerShell.
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.office365.network/performance/allProperties/read | Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur SharePoint
Les utilisateurs avec ce rôle ont des autorisations générales dans Microsoft SharePoint Online, quand le service est présent. Ils peuvent également créer et gérer tous les groupes Microsoft 365, gérer les tickets de support et superviser l’intégrité des services. Pour plus d’informations, consultez À propos des rôles d’administrateur dans le Centre d’administration Microsoft 365.
Remarque
Dans l’API Microsoft Graph et Microsoft Graph PowerShell, ce rôle est appelé « Administrateur de services SharePoint ». Dans le Portail Azure, il est nommé Administrateur SharePoint.
Remarque
Ce rôle accorde également des autorisations délimitées à l’API Microsoft Graph pour Microsoft Intune, d’où la possibilité de gérer et de configurer des stratégies liées aux ressources SharePoint et Onedrive.
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks | Créer et gérer une stratégie de protection OneDrive dans La sauvegarde Microsoft 365 |
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks | Lire et configurer la session de restauration pour OneDrive dans la sauvegarde Microsoft 365 |
microsoft.backup/restorePoints/sites/allProperties/allTasks | Gérer tous les points de restauration associés aux sites SharePoint sélectionnés dans la sauvegarde M365 |
microsoft.backup/restorePoints/userDrives/allProperties/allTasks | Gérer tous les points de restauration associés à des comptes OneDrive sélectionnés dans la sauvegarde M365 |
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks | Créer et gérer une stratégie de protection SharePoint dans La sauvegarde Microsoft 365 |
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks | Lire et configurer la session de restauration pour SharePoint dans La sauvegarde Microsoft 365 |
microsoft.backup/siteProtectionUnits/allProperties/allTasks | Gérer les sites ajoutés à la stratégie de protection SharePoint dans La sauvegarde Microsoft 365 |
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks | Gérer les sites ajoutés pour restaurer une session pour SharePoint dans La sauvegarde Microsoft 365 |
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks | Gérer les comptes ajoutés à la stratégie de protection OneDrive dans La sauvegarde Microsoft 365 |
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks | Gérer les comptes ajoutés pour restaurer une session pour OneDrive dans La sauvegarde Microsoft 365 |
microsoft.directory/groups/hiddenMembers/read | Lire la propriété membres masqués des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle |
microsoft.directory/groups.unified/basic/update | Actualiser les propriétés de base sur les groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/create | Créer des groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/delete | Supprimer des groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/members/update | Actualiser les membres de groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/owners/update | Actualiser les propriétaires de groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/restore | Restaurer les groupes Microsoft 365 à partir d’un conteneur supprimé de manière réversible, à l’exception des groupes pouvant être affectés par des rôles |
microsoft.office365.migrations/allEntities/allProperties/allTasks | Gérez tous les aspects de la migration Microsoft 365 |
microsoft.office365.network/performance/allProperties/read | Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.sharePoint/allEntities/allTasks | Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard SharePoint |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Lire les rapports d’utilisation d’Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur SharePoint Embedded
Attribuez le rôle Administrateur SharePoint Embedded aux utilisateurs qui doivent effectuer les tâches suivantes :
- Effectuer toutes les tâches à l’aide de PowerShell, de l’API Microsoft Graph ou du centre d’administration SharePoint
- Gérer, configurer et maintenir des conteneurs SharePoint Embedded
- Énumérer et gérer des conteneurs SharePoint Embedded
- Énumérer et gérer les autorisations pour les conteneurs SharePoint Embedded
- Gérer le stockage des conteneurs SharePoint Embedded dans un locataire
- Attribuer des stratégies de sécurité et de conformité sur des conteneurs SharePoint Embedded
- Appliquer des stratégies de sécurité et de conformité sur des conteneurs SharePoint Embedded dans un locataire
Actions | Description |
---|---|
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | Gérer tous les aspects des conteneurs SharePoint Embedded |
microsoft.office365.network/performance/allProperties/read | Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Lire les rapports d’utilisation d’Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur Skype Entreprise
Les utilisateurs avec ce rôle ont des autorisations générales dans Microsoft Skype Entreprise, quand le service est présent. Ils peuvent également gérer les attributs utilisateur propres à Skype dans Microsoft Entra ID. En outre, ce rôle permet de gérer les tickets de support et de surveiller l’intégrité des services, ainsi que d’accéder au Centre d’administration Teams et Skype Entreprise. Le compte doit également disposer d’une licence Teams ; dans le cas contraire, il ne pourra pas exécuter les applets de commande PowerShell Teams. Pour plus d’informations, consultez Skype Entreprise Administration en ligne et les informations sur les licences Teams sur Skype Entreprise licences de module complémentaire.
Remarque
Dans l’API Microsoft Graph et Microsoft Graph PowerShell, ce rôle est appelé « Administrateur de services Lync ». Dans le Portail Azure, il est nommé administrateur Skype Entreprise.
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Gérez tous les aspects de Skype Entreprise Online |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Lire les rapports d’utilisation d’Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur Teams
Les utilisateurs dans ce rôle peuvent gérer tous les aspects de la charge de travail Microsoft Teams via le centre d’administration Microsoft Teams et Skype Entreprise et les modules PowerShell respectifs. Cela inclut notamment tous les outils de gestion liés à la téléphonie, à la messagerie, aux réunions et aux équipes proprement dites. En outre, ce rôle permet de créer et de gérer tous les groupes Microsoft 365, de gérer les tickets de support et de surveiller l’état d’intégrité des services.
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.directory/authorizationPolicy/standard/read | Lire les propriétés standard de la stratégie d’autorisation |
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Mettre à jour les points de terminaison cloud autorisés de la stratégie d’accès inter-locataires |
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Mettre à jour les paramètres de réunion Teams interclouds de la stratégie d’accès inter-locataires par défaut |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | Lire les propriétés de base de la stratégie d’accès inter-locataires par défaut |
microsoft.directory/crossTenantAccessPolicy/partners/create | Créer une stratégie d’accès inter-locataires pour les partenaires |
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Mettre à jour les paramètres de réunion Teams interclouds de la stratégie d’accès inter-locataires pour les partenaires |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Lire les propriétés de base de la stratégie d’accès inter-locataires pour les partenaires |
microsoft.directory/crossTenantAccessPolicy/standard/read | Lire les propriétés de base de la stratégie d’accès inter-locataires |
microsoft.directory/externalUserProfiles/basic/update | Mettre à jour les propriétés de base des profils utilisateur externes dans le répertoire étendu pour Teams |
microsoft.directory/externalUserProfiles/delete | Supprimer des profils utilisateur externes dans le répertoire étendu pour Teams |
microsoft.directory/externalUserProfiles/standard/read | Lire les propriétés standard des profils utilisateur externes dans le répertoire étendu pour Teams |
microsoft.directory/groups/hiddenMembers/read | Lire la propriété membres masqués des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle |
microsoft.directory/groups.unified/basic/update | Actualiser les propriétés de base sur les groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/create | Créer des groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/delete | Supprimer des groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/members/update | Actualiser les membres de groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/owners/update | Actualiser les propriétaires de groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/restore | Restaurer les groupes Microsoft 365 à partir d’un conteneur supprimé de manière réversible, à l’exception des groupes pouvant être affectés par des rôles |
microsoft.directory/pendingExternalUserProfiles/basic/update | Mettre à jour les propriétés de base des profils utilisateur externes dans le répertoire étendu pour Teams |
microsoft.directory/pendingExternalUserProfiles/create | Créer des profils utilisateur externes dans le répertoire étendu pour Teams |
microsoft.directory/pendingExternalUserProfiles/delete | Supprimer des profils utilisateur externes dans le répertoire étendu pour Teams |
microsoft.directory/pendingExternalUserProfiles/standard/read | Lire les propriétés standard des profils utilisateur externes dans le répertoire étendu pour Teams |
microsoft.directory/permissionGrantPolicies/standard/read | Lire les propriétés standard des stratégies d’octroi d’autorisation |
microsoft.office365.network/performance/allProperties/read | Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Gérez tous les aspects de Skype Entreprise Online |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Lire les rapports d’utilisation d’Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
microsoft.teams/allEntities/allProperties/allTasks | Gérez toutes les ressources dans Teams |
Administrateur des communications Teams
Les utilisateurs dans ce rôle peuvent gérer les aspects de la charge de travail Microsoft Teams liés à la voix et à la téléphonie. Cela comprend les outils de gestion pour l’attribution des numéros de téléphone, les stratégies de voix et de réunion, ainsi que l’accès total à un ensemble d’outils d’analyse des appels.
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.directory/authorizationPolicy/standard/read | Lire les propriétés standard de la stratégie d’autorisation |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Gérez tous les aspects de Skype Entreprise Online |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Lire les rapports d’utilisation d’Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
microsoft.teams/callQuality/allProperties/read | Lire toutes les données du Tableau de bord de qualité des appels |
microsoft.teams/meetings/allProperties/allTasks | Gérer les réunions, notamment les stratégies de réunion, les configurations et les ponts de conférence |
microsoft.teams/voice/allProperties/allTasks | Gérer la voix, notamment les stratégies d’appel, ainsi que l’inventaire et l’attribution des numéros de téléphone |
Ingénieur de support des communications Teams
Les utilisateurs dans ce rôle peuvent résoudre les problèmes de communication dans Microsoft Teams et Skype Entreprise à l’aide des outils de résolution de problèmes des appels utilisateur dans le centre d’administration Microsoft Teams et Skype Entreprise. Les utilisateurs disposant de ce rôle peuvent visualiser l’intégralité des informations d’enregistrement des appels pour l’ensemble des participants impliqués. Ce rôle n’a pas d'accès pour afficher, créer ou gérer des tickets de support.
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.directory/authorizationPolicy/standard/read | Lire les propriétés standard de la stratégie d’autorisation |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Gérez tous les aspects de Skype Entreprise Online |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
microsoft.teams/callQuality/allProperties/read | Lire toutes les données du Tableau de bord de qualité des appels |
Spécialiste du support des communications Teams
Les utilisateurs dans ce rôle peuvent résoudre les problèmes de communication dans Microsoft Teams et Skype Entreprise à l’aide des outils de résolution de problèmes des appels utilisateur dans le centre d’administration Microsoft Teams et Skype Entreprise. Les utilisateurs disposant de ce rôle ne peuvent visualiser les détails utilisateur d’un appel que pour l’utilisateur qu’ils ont spécifiquement recherché. Ce rôle n’a pas d'accès pour afficher, créer ou gérer des tickets de support.
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.directory/authorizationPolicy/standard/read | Lire les propriétés standard de la stratégie d’autorisation |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Gérez tous les aspects de Skype Entreprise Online |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
microsoft.teams/callQuality/standard/read | Lire les données de base du Tableau de bord de qualité des appels |
Administrateur d’appareils Teams
Les utilisateurs disposant de ce rôle peuvent gérer des appareils certifiés par Teams à partir du centre d’administration Teams. Ce rôle permet d’afficher tous les appareils en un seul coup d’œil, avec la possibilité de rechercher et de filtrer les appareils. L’utilisateur peut vérifier les détails de chaque appareil, notamment le compte de connexion, la marque et le modèle de l’appareil. L’utilisateur peut modifier les paramètres sur l’appareil et mettre à jour les versions des logiciels. Ce rôle n’accorde pas d’autorisations pour vérifier l’activité Teams et la qualité d’appel de l’appareil.
Actions | Description |
---|---|
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
microsoft.teams/devices/standard/read | Gérer tous les aspects des appareils certifiés Teams, notamment les stratégies de configuration |
Administrateur de téléphonie Teams
Attribuez le rôle Administrateur de téléphonie Teams aux utilisateurs qui doivent effectuer les tâches suivantes :
- Gérer la voix et la téléphonie, notamment les stratégies d’appel, la gestion des numéros de téléphone et l’affectation, et les applications vocales
- Accès aux rapports d’utilisation RTC (Réseau téléphonique commuté) uniquement à partir du Centre d’administration Teams
- Afficher la page profil utilisateur
- Créer et gérer des tickets de support dans Azure AD et le Centre d’administration Microsoft 365
Actions | Description |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Lire et configurer Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.directory/authorizationPolicy/standard/read | Lire les propriétés standard de la stratégie d’autorisation |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Gérez tous les aspects de Skype Entreprise Online |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Lire les rapports d’utilisation d’Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
microsoft.teams/callQuality/allProperties/read | Lire toutes les données du Tableau de bord de qualité des appels |
microsoft.teams/voice/allProperties/allTasks | Gérer la voix, notamment les stratégies d’appel, ainsi que l’inventaire et l’attribution des numéros de téléphone |
Créateur du locataire
Affectez le rôle de Créateur de locataire aux utilisateurs qui doivent effectuer les tâches suivantes :
- Créer des locataires Microsoft Entra et Azure Active Directory B2C même si le bouton bascule de création de locataire est désactivé dans les paramètres utilisateur
Remarque
Les créateurs de locataires se voient attribuer le rôle Administrateur général sur les nouveaux locataires qu’ils créent.
Actions | Description |
---|---|
microsoft.directory/tenantManagement/tenants/create | Créer des nouveaux locataires dans Microsoft Entra ID |
Lecteur Rapports de synthèse de l’utilisation
Attribuez le rôle Lecteur des rapports récapitulatifs d’utilisation aux utilisateurs qui doivent effectuer les tâches suivantes dans le centre d’administration Microsoft 365 :
- Voir les rapports d’utilisation et le score d’adoption
- Lire les insights de l’organisation, mais pas les informations d’identification personnelle des utilisateurs
Ce rôle permet uniquement aux utilisateurs de voir les données au niveau de l’organisation, avec les exceptions suivantes :
- Les utilisateurs membres peuvent voir les données et les paramètres de gestion des utilisateurs.
- Les utilisateurs invités qui ont ce rôle ne peuvent pas voir les données et les paramètres de gestion des utilisateurs.
Actions | Description |
---|---|
microsoft.office365.network/performance/allProperties/read | Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365 |
microsoft.office365.usageReports/allEntities/standard/read | Lire les rapports d’utilisation Office 365 agrégés au niveau locataire |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur d'utilisateurs
Il s’agit d’un rôle privilégié. Affectez le rôle d’administrateur des utilisateurs aux utilisateurs qui doivent effectuer les tâches suivantes :
Autorisation | Plus d’informations |
---|---|
Créer des utilisateurs | |
Mettre à jour la plupart des propriétés utilisateur pour tous les utilisateurs, y compris tous les administrateurs | Qui peut effectuer des actions sensibles |
Mettre à jour les propriétés sensibles (y compris le nom d’utilisateur principal) pour certains utilisateurs | Qui peut effectuer des actions sensibles |
Désactiver ou activer certains utilisateurs | Qui peut effectuer des actions sensibles |
Supprimer ou restaurer certains utilisateurs | Qui peut effectuer des actions sensibles |
Créer et gérer des vues utilisateur | |
Créer et gérer des groupes | |
Attribuer et lire des licences pour tous les utilisateurs, y compris les administrateurs | |
Réinitialiser les mots de passe | Qui peut réinitialiser les mots de passe |
Invalidez les jetons d'actualisation. | Qui peut réinitialiser les mots de passe |
Mettre à jour les clés d’appareil (FIDO) | |
Mettre à jour les stratégies d’expiration de mot de passe | |
Créer et gérer des tickets de support dans Azure AD et le Centre d’administration Microsoft 365 | |
Suivi de l’intégrité des services |
Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :
- Ne peuvent pas gérer l’authentification multifacteur.
- Ne peuvent pas modifier les informations d’identification ou réinitialiser l’authentification multifacteur pour les membres et les propriétaires d’un groupe auquel un rôle est assignable.
- Ne peuvent pas gérer les boîtes aux lettres partagées.
- Impossible de modifier des questions de sécurité pour une opération de réinitialisation de mot de passe.
Important
Les utilisateurs auxquels ce rôle est assigné peuvent changer les mots de passe des personnes susceptibles d’avoir accès à des informations sensibles ou privées ou à des configurations critiques à l’intérieur et à l’extérieur de Microsoft Entra ID. Changer le mot de passe d’un utilisateur peut signifier la capacité d’assumer l’identité et les autorisations de cet utilisateur. Par exemple :
- Les propriétaires d’inscription d’application et d’application d’entreprise, qui peuvent gérer les informations d’identification des applications qu’ils possèdent. Ces applications peuvent disposer d’autorisations privilégiées dans Microsoft Entra ID et ailleurs qui ne sont pas accordées aux administrateurs utilisateurs. Grâce à ce chemin d’accès, un administrateur utilisateur peut être en mesure d’assumer l’identité d’un propriétaire d’application, puis d’assumer l’identité d’une application privilégiée en mettant à jour les identifiants de celle-ci.
- Propriétaires d’abonnement Azure, qui peuvent avoir accès à des informations confidentielles ou privées ou à une configuration critique dans Azure.
- Propriétaires de groupe de sécurité et de groupe Microsoft 365, qui peuvent gérer l’appartenance à un groupe. Ces groupes peuvent accorder l’accès à des informations sensibles ou privées ou à une configuration critique dans Microsoft Entra ID et ailleurs.
- Les administrateurs relevant d’autres services en dehors de Microsoft Entra ID, tels que Exchange Online, le portail Microsoft 365 Defender, le portail de conformité Microsoft Purview et les systèmes de ressources humaines.
- Les non-administrateurs comme les cadres supérieurs, les conseillers juridiques et les employés des ressources humaines qui peuvent avoir accès à des informations sensibles ou privées.
Gestionnaire de réussite de l'expérience utilisateur
Attribuez le rôle de Responsable de l’expérience utilisateur (User Experience Success Manager) aux utilisateurs qui doivent effectuer les tâches suivantes :
- Lisez les rapports d’utilisation au niveau de l’organisation pour les applications et services Microsoft 365, mais pas les détails de l’utilisateur
- Consultez les commentaires sur les produits de votre organisation, les résultats de l’enquête NPS (Net Promoter Score) et les articles d’aide afin d’identifier les opportunités de communication et de formation
- Lisez les messages du centre de messagerie et les données relatives à l’intégrité des services
Actions | Description |
---|---|
microsoft.commerce.billing/purchases/standard/read | Lire les services d’achat dans le Centre d’administration M365. |
microsoft.office365.messageCenter/messages/read | Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité |
microsoft.office365.network/performance/allProperties/read | Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365 |
microsoft.office365.organizationalMessages/allEntities/allProperties/read | Lire tous les aspects des messages organisationnels dans Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.usageReports/allEntities/standard/read | Lire les rapports d’utilisation Office 365 agrégés au niveau locataire |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur de visites virtuelles
Les utilisateurs ayant ce rôle peuvent effectuer les tâches suivantes :
- Gérer et configurer tous les aspects des visites virtuelles dans Bookings dans le Centre d’administration Microsoft 365 et dans le connecteur EHR Teams
- Afficher les rapports d’utilisation pour les Visites virtuelles dans le Centre d’administration Teams, le Centre d’administration Microsoft 365, Fabric et Power BI
- Afficher les fonctionnalités et les paramètres dans le Centre d’administration Microsoft 365, mais pas modifier les paramètres
Les visites virtuelles sont un moyen simple de planifier et de gérer des rendez-vous en ligne et vidéo pour le personnel et les participants. Par exemple, les rapports d’utilisation peuvent montrer en quoi le fait d’envoyer des SMS avant les rendez-vous peut réduire le nombre de personnes qui ne se présentent pas aux rendez-vous.
Actions | Description |
---|---|
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
microsoft.virtualVisits/allEntities/allProperties/allTasks | Gérer et partager les informations et les métriques de Virtual Visits à partir des centres d’administration ou de l’application Virtual Visits |
Administrateur Viva Goals
Attribuez le rôle Administrateur Viva Goals aux utilisateurs qui doivent effectuer les tâches suivantes :
- Gérer et configurer tous les aspects de l’application Microsoft Viva Goals
- Configurer les paramètres d’administration Microsoft Viva Goals
- Lire les informations sur les locataires Microsoft Entra
- Surveiller l’intégrité des services Microsoft 365
- Créer et gérer des demandes de service Microsoft 365
Pour plus d’informations, consultez Rôles et autorisations dans Viva Goals et Présentation de Microsoft Viva Goals.
Actions | Description |
---|---|
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
microsoft.viva.goals/allEntities/allProperties/allTasks | Gérer tous les aspects de Microsoft Viva Goals |
Administrateur Viva Pulse
Attribuez le rôle Administrateur Viva Pulse aux utilisateurs qui doivent effectuer les tâches suivantes :
- Lisez et configurez tous les paramètres de Viva Pulse
- Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
- Lire et configurer Azure Service Health
- Créer et gérer les tickets de support Azure
- Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
- Lire les rapports d’utilisation dans le Centre d’administration Microsoft 365
Pour plus d’informations, consultez Affecter un administrateur Viva Pulse au Centre d’administration Microsoft 365.
Actions | Description |
---|---|
microsoft.office365.messageCenter/messages/read | Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Lire les rapports d’utilisation d’Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
microsoft.viva.pulse/allEntities/allProperties/allTasks | Gérez tous les aspects de Microsoft Viva Pulse |
Administrateur Windows 365
Les utilisateurs avec ce rôle ont des autorisations générales sur les ressources Windows 365, lorsque le service est présent. Ce rôle donne aussi la possibilité de gérer les utilisateurs et les appareils afin d’associer la stratégie, ainsi que de créer et de gérer des groupes.
Ce rôle peut créer et gérer des groupes de sécurité, mais il ne dispose pas de droits d’administrateur sur les groupes Microsoft 365. Cela signifie que les administrateurs ne peuvent pas mettre à jour les propriétaires ou les appartenances des groupes Microsoft 365 dans l’organisation. Ils peuvent toutefois gérer le groupe Microsoft 365 qu’ils créent, ce qui fait partie de leurs privilèges d’utilisateur final. Ainsi, tout groupe Microsoft 365 (hormis les groupes de sécurité) qu’ils créent est compté dans leur quota de 250.
Affectez le rôle d’administrateur Windows 365 aux utilisateurs qui doivent effectuer les tâches suivantes :
- Gérer les PC cloud Windows 365 dans Microsoft Intune
- Inscrire et gérer les appareils dans Microsoft Entra ID, notamment l’attribution d’utilisateurs et de stratégies
- Créer et gérer des groupes de sécurité, mais pas des groupes où des rôles peuvent être attribués
- Afficher les propriétés de base dans le Centre d’administration Microsoft 365
- Lire les rapports d’utilisation dans le Centre d’administration Microsoft 365
- Créer et gérer des tickets de support dans Azure AD et le Centre d’administration Microsoft 365
Actions | Description |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Créer et gérer les tickets de support Azure |
microsoft.cloudPC/allEntities/allProperties/allTasks | Gérer tous les aspects de Windows 365 |
microsoft.directory/deletedItems.devices/delete | Supprimer définitivement les appareils qui ne peuvent plus être restaurés |
microsoft.directory/deletedItems.devices/restore | Restaurer les appareils supprimés de manière réversible à l’état d’origine |
microsoft.directory/deviceManagementPolicies/standard/read | Lire les propriétés standard de la gestion des appareils mobiles et les stratégies de gestion des applications mobiles |
microsoft.directory/deviceRegistrationPolicy/standard/read | Lire les propriétés standard sur les stratégies d’inscription des appareils |
microsoft.directory/devices/basic/update | Mettre à jour les propriétés de base sur les appareils |
microsoft.directory/devices/create | Créer des appareils (s’inscrire à Microsoft Entra ID) |
microsoft.directory/devices/delete | Supprimer des périphériques de Microsoft Entra ID |
microsoft.directory/devices/disable | Désactiver des appareils dans Microsoft Entra ID |
microsoft.directory/devices/enable | Activer des appareils dans Microsoft Entra ID |
microsoft.directory/devices/extensionAttributeSet1/update | Actualiser les propriétés extensionAttribute1 en extensionAttribute5 sur les appareils |
microsoft.directory/devices/extensionAttributeSet2/update | Actualiser les propriétés extensionAttribute6 en extensionAttribute10 sur les appareils |
microsoft.directory/devices/extensionAttributeSet3/update | Actualiser les propriétés extensionAttribute11 en extensionAttribute15 sur les appareils |
microsoft.directory/devices/registeredOwners/update | Mettre à jour les propriétaires inscrits d’appareils |
microsoft.directory/devices/registeredUsers/update | Mettre à jour les utilisateurs inscrits d’appareils |
microsoft.directory/groups.security/basic/update | Actualiser les propriétés de base de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.security/classification/update | Actualiser la propriété de classification de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.security/create | Créer des groupes de Sécurité, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.security/delete | Supprimer des groupes de Sécurité, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.security/dynamicMembershipRule/update | Actualiser la règle d’adhésion dynamique des groupes de sécurité, à l’exclusion des groupes assignables à un rôle |
microsoft.directory/groups.security/members/update | Actualiser les membres de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.security/owners/update | Actualiser les propriétaires de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.security/visibility/update | Actualiser la propriété de visibilité de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Lire les rapports d’utilisation d’Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
Administrateur des déploiements de mise à jour Windows
Les utilisateurs disposant de ce rôle peuvent créer et gérer tous les aspects des déploiements de mise à jour Windows par le biais du service des déploiements de mise à jour Windows pour entreprises. Le service de déploiement permet aux utilisateurs de définir des paramètres pour déterminer quand et comment les mises à jour sont déployées et de spécifier les mises à jour qui sont proposées aux groupes d’appareils de leur locataire. Il permet également aux utilisateurs de surveiller la progression des mises à jour.
Actions | Description |
---|---|
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Lire et configurer tous les aspects du Service Windows Update |
Administrateur Yammer
Affectez le rôle d’administrateur Yammer aux utilisateurs qui doivent effectuer les tâches suivantes :
- Gérez tous les aspects de Yammer
- Créer, gérer et restaurer des groupes Microsoft 365, mais pas des groupes attribuables aux rôles
- Voir la propriété membres masqués des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle
- Lire les rapports d’utilisation dans le Centre d’administration Microsoft 365
- Créer et gérer des demandes de service dans le Centre d'administration Microsoft 365
- Afficher les annonces dans le Centre de messages, mais pas les annonces de sécurité
- Afficher l’intégrité du service
Actions | Description |
---|---|
microsoft.directory/groups/hiddenMembers/read | Lire la propriété membres masqués des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle |
microsoft.directory/groups.unified/basic/update | Actualiser les propriétés de base sur les groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/create | Créer des groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/delete | Supprimer des groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/members/update | Actualiser les membres de groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/owners/update | Actualiser les propriétaires de groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle |
microsoft.directory/groups.unified/restore | Restaurer les groupes Microsoft 365 à partir d’un conteneur supprimé de manière réversible, à l’exception des groupes pouvant être affectés par des rôles |
microsoft.office365.messageCenter/messages/read | Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité |
microsoft.office365.network/performance/allProperties/read | Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Lire et configurer Service Health dans le Centre d’administration Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Créer et gérer des demandes de service Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Lire les rapports d’utilisation d’Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365 |
microsoft.office365.yammer/allEntities/allProperties/allTasks | Gérez tous les aspects de Yammer |
Rôles déconseillés
Les rôles suivants ne doivent pas être utilisés. Ce rôle est déconseillé et sera prochainement supprimé de Microsoft Entra ID.
- Administrateur de licences ad hoc
- Jonction d’appareils
- Gestionnaires d’appareils
- Utilisateurs d’appareils
- Créateur d’utilisateur vérifié par e-mail
- Administrateur de boîte aux lettres
- Jonction d’appareils d’espace de travail
Rôles non affichés dans le portail
Les rôles retournés par PowerShell ou l’API MS Graph ne sont pas tous visibles dans le portail Azure. Le tableau suivant organise ces différences.
Nom de l’API | Nom du portail Azure | Notes |
---|---|---|
Jonction d’appareils | Déprécié | Documentation sur les rôles déconseillés |
Gestionnaires d’appareils | Déprécié | Documentation sur les rôles déconseillés |
Utilisateurs d’appareils | Déprécié | Documentation sur les rôles déconseillés |
Comptes de synchronisation d’annuaires | Non affiché, car il ne doit pas être utilisé | Documentation sur les comptes de synchronisation d’annuaires |
Utilisateur invité | Non affiché, car il ne peut pas être utilisé | N/D |
Support de niveau 1 partenaire | Non affiché, car il ne doit pas être utilisé | Documentation sur la prise en charge du niveau 1 de partenaire |
Support de niveau 2 partenaire | Non affiché, car il ne doit pas être utilisé | Documentation sur la prise en charge du niveau 2 de partenaire |
Utilisateur invité restreint | Non affiché, car il ne peut pas être utilisé | N/D |
Utilisateur | Non affiché, car il ne peut pas être utilisé | N/D |
Jonction d’appareils d’espace de travail | Déprécié | Documentation sur les rôles déconseillés |