Rôles les moins privilégiés par tâche dans Microsoft Entra ID
Dans cet article, vous trouverez les informations nécessaires pour restreindre les autorisations d’administrateur d’un utilisateur en attribuant des rôles moins privilégiés dans Microsoft Entra ID. Vous y trouverez des tâches organisées par domaine de fonctionnalité et le rôle le moins privilégié nécessaire pour effectuer chaque tâche, ainsi que d’autres rôles non-administrateur général qui peuvent effectuer la tâche.
Vous pouvez restreindre davantage les autorisations en attribuant des rôles à des étendues plus petites ou en créant vos propres rôles personnalisés. Pour plus d’informations, consultez Attribuer des rôles Microsoft Entra à différentes étendues ou Créer et attribuer un rôle personnalisé dans Microsoft Entra ID.
Proxy d’application
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Configurer l’application de proxy d’application | Administrateur d’application | |
Configurer les propriétés du groupe de connecteurs | Administrateur d’application | |
Créer l’inscription de l’application quand la capacité est désactivée pour tous les utilisateurs | Développeur d’applications |
Administrateur d’application cloud Administrateur d’application |
Créer un groupe de connecteurs | Administrateur d’application | |
Supprimer un groupe de connecteurs | Administrateur d’application | |
Désactiver le proxy d’application | Administrateur d’application | |
Télécharger le service de connecteur | Administrateur d’application | |
Lire toute la configuration | Administrateur d’application |
Identités externes/B2C
Remarque
Des administrateurs généraux Azure AD B2C n’ont pas les mêmes autorisations que des administrateurs généraux Microsoft Entra. Si vous disposez de privilèges d’un administrateur général Azure AD B2C, vérifiez que vous vous trouvez dans un annuaire Azure AD B2C et no dans un répertoire Microsoft Entra.
Marque de société
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Configurer la marque de la société | Administrateur de la personnalisation organisationnelle | |
Lire toute la configuration | Lecteurs de répertoire | Rôle d’utilisateur par défaut |
Se connecter
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Authentification directe | Administrateur d’identité hybride | |
Lire toute la configuration | Lecteur général | Administrateur d’identité hybride |
Authentification unique homogène | Administrateur d’identité hybride |
Connect (synchronisation)
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Gérer la synchronisation d’annuaires locaux | Administrateur d’identité hybride |
Provisionnement cloud
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Authentification directe | Administrateur d’identité hybride | |
Lire toute la configuration | Lecteur général | Administrateur d’identité hybride |
Authentification unique homogène | Administrateur d’identité hybride |
Connect Health
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Ajouter ou supprimer des services | Propriétaire | |
Appliquer des correctifs à une erreur de synchronisation | Contributeur | Propriétaire |
Configurer les notifications | Contributeur | Propriétaire |
Configurer les paramètres | Propriétaire | |
Configurer les notifications de synchronisation | Contributeur | Propriétaire |
Lire les rapports de sécurité ADFS | Lecteur Sécurité |
Contributeur Propriétaire |
Lire toute la configuration | Lecteur |
Contributeur Propriétaire |
Lire les erreurs de synchronisation | Lecteur |
Contributeur Propriétaire |
Lire les services de synchronisation | Lecteur |
Contributeur Propriétaire |
Afficher les métriques et les alertes | Lecteur |
Contributeur Propriétaire |
Afficher les métriques et les alertes | Lecteur |
Contributeur Propriétaire |
Afficher les métriques et les alertes de service de synchronisation | Lecteur |
Contributeur Propriétaire |
Noms de domaine personnalisés
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Gérer des domaines | Administrateur de nom de domaine | |
Lire toute la configuration | Lecteurs de répertoire | Rôle d’utilisateur par défaut |
Services de domaine
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Créer des instances Microsoft Entra Domain Services |
Administrateur d’application Administrateur de groupes Contributeur aux services de domaine |
|
Effectuer toutes les tâches de Microsoft Entra Domain Services | Groupe Administrateurs AAD DC | |
Lire toute la configuration | Lecteur sur l’abonnement Azure contenant le service AD DS |
Appareils
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Supprimer un appareil | Administrateur d’appareil cloud | Administrateur Intune |
Désactiver un appareil | Administrateur d’appareil cloud | Administrateur Intune |
Activer un appareil | Administrateur d’appareil cloud | Administrateur Intune |
Lire la configuration de base | Rôle d’utilisateur par défaut | |
Lire les clés BitLocker | Administrateur d’appareil cloud |
Administrateur du support technique Administrateur Intune Administrateur de la sécurité Lecteur Sécurité |
Applications d’entreprise
Gestion des droits d’utilisation
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Ajouter des ressources à un catalogue | Administrateur Identity Governance | Avec la gestion des droits d’utilisation, vous pouvez déléguer cette tâche au propriétaire du catalogue |
Ajouter des sites SharePoint Online au catalogue | Administrateur SharePoint |
Groupes
Licences
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Affecter une licence | Administrateur de licence | Administrateur d’utilisateurs |
Lire toute la configuration | Lecteurs de répertoire | Rôle d’utilisateur par défaut |
Révoquer une licence | Administrateur de licence | Administrateur d’utilisateurs |
Tester ou acheter un abonnement | Administrateur de facturation |
Microsoft Entra Health
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Afficher les signaux de surveillance des scénarios | Lecteur de rapports |
Lecteur Sécurité Opérateur de sécurité Administrateur de la sécurité Administrateur du support technique Lecteur général |
Protection des ID Microsoft Entra
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Configurer des notifications d’alerte | Administrateur de la sécurité | |
Configurer et activer ou désactiver la stratégie MFA | Administrateur de la sécurité | |
Configurer et activer ou désactiver la stratégie de connexion à risque | Administrateur de la sécurité | |
Configurer et activer ou désactiver la stratégie d’utilisateur à risque | Administrateur de la sécurité | |
Configurer des synthèses hebdomadaires | Administrateur de la sécurité | |
Ignorer toutes les détections de risques | Opérateur de sécurité | |
Corriger ou ignorer des vulnérabilités | Administrateur de la sécurité | |
Lire toute la configuration | Lecteur Sécurité | |
Lire toutes les détections de risques | Lecteur Sécurité | |
Lire les vulnérabilités | Lecteur Sécurité |
Surveillance et intégrité : Journaux d’audit et de connexion
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Lire les journaux d’audit | Lecteur de rapports |
Administrateur d’application Administrateur d’application cloud Administrateur d’appareil cloud Administrateur d’accès global sécurisé Administrateur d’identité hybride Administrateur de la sécurité Opérateur de sécurité Lecteur Sécurité |
Surveillance et intégrité - Journaux d’approvisionnement
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Lire les journaux d’activité de connexion | Lecteur de rapports |
Administrateur d’application Administrateur d’application cloud Administrateur d’appareil cloud Administrateur d’identité hybride Administrateur de la sécurité Opérateur de sécurité Lecteur Sécurité |
Surveillance et intégrité – Recommandations
Authentification multifacteur
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Supprimer tous les mots de passe d’application existants qui ont été générés par les utilisateurs sélectionnés | Administrateur de la stratégie d’authentification | Administrateur d’authentification |
Désactiver MFA par utilisateur | Administrateur d’authentification | Administrateur d’authentification privilégié |
Activer MFA par utilisateur | Administrateur d’authentification | Administrateur d’authentification privilégié |
Gérer les paramètres du service MFA | Administrateur de la stratégie d’authentification | |
Demander aux utilisateurs sélectionnés de fournir à nouveau des méthodes de contact | Administrateur d’authentification | |
Restaurer l’authentification multifacteur pour tous les appareils mémorisés | Administrateur d’authentification |
Serveur MFA
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Blocage/déblocage des utilisateurs | Administrateur de la stratégie d’authentification | |
Configurer le verrouillage de compte | Administrateur de la stratégie d’authentification | |
Configurer les règles de mise en cache | Administrateur de la stratégie d’authentification | |
Configurer l’alerte de fraude | Administrateur de la stratégie d’authentification | |
Configurer les notifications | Administrateur de la stratégie d’authentification | |
Configurer un contournement à usage unique | Administrateur de la stratégie d’authentification | |
Configurer les paramètres d’appel téléphonique | Administrateur de la stratégie d’authentification | |
Configurer des fournisseurs | Administrateur de la stratégie d’authentification | |
Configurez les paramètres du serveur | Administrateur de la stratégie d’authentification | |
Lire un rapport d’activité | Lecteur général | |
Lire toute la configuration | Lecteur général | |
Lire l’état du serveur | Lecteur général |
Relations organisationnelles
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Gérer les fournisseurs d’identité | Administrateur de fournisseurs d’identité externes | |
Lire toute la configuration | Lecteur général |
Réinitialisation du mot de passe
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Configurer les méthodes d’authentification | Administrateur de la stratégie d’authentification | |
Configurer la personnalisation | Administrateur de la stratégie d’authentification | |
Configurer la notification | Administrateur de la stratégie d’authentification | |
Configurer l’intégration locale | Administrateur de la stratégie d’authentification | |
Configurer les propriétés de la réinitialisation de mot de passe | Administrateur d’utilisateurs | Administrateur de la stratégie d’authentification |
Configurer l’inscription | Administrateur de la stratégie d’authentification | |
Lire toute la configuration | Administrateur de la sécurité | Administrateur d’utilisateurs |
Gestion des autorisations
Qu’est-ce que la gestion des autorisations Microsoft Entra
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Intégration des locataires | Administrateur de gestion des autorisations | |
Intégrer les environnements cloud | Administrateur de gestion des autorisations | |
Attribuer des autorisations dans la Gestion des autorisations Microsoft Entra | Administrateur de gestion des autorisations | |
Démarrer l’essai et acheter des licences de la gestion des autorisations Microsoft Entra | Administrateur de facturation |
Privileged Identity Management
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Affecter des utilisateurs aux rôles | Administrateur de rôle privilégié | |
Configurer les paramètres de rôle | Administrateur de rôle privilégié | |
Afficher l’activité d’audit | Lecteur Sécurité | |
Afficher les appartenances aux rôles | Lecteur Sécurité |
Rôles et administrateurs
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Gérer les attributions de rôles | Administrateur de rôle privilégié | |
Révision d’accès en lecture d’un rôle Microsoft Entra | Lecteur Sécurité |
Administrateur de la sécurité Administrateur de rôle privilégié |
Lire toute la configuration | Rôle d’utilisateur par défaut |
Sécurité - Méthodes d’authentification
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Activer ou désactiver des méthodes d’authentification | Administrateur de la stratégie d’authentification | |
Afficher, approvisionner au nom d’une personne et gérer des méthodes d’authentification individuelles des utilisateurs | Administrateur d’authentification | Administrateur d’authentification privilégié |
Configurer la protection par mot de passe | Administrateur de la sécurité | |
Configurer le verrouillage intelligent | Administrateur de la sécurité | |
Lire toute la configuration | Lecteur général |
Sécurité – Accès conditionnel
Sécurité - Score de sécurité d’identité
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Lire toute la configuration | Lecteur Sécurité | Administrateur de la sécurité |
Lire un score de sécurité | Lecteur Sécurité | Administrateur de la sécurité |
Mettre à jour l’état d’un événement | Administrateur de la sécurité |
Sécurité - Connexions à risque
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Lire toute la configuration | Lecteur Sécurité | |
Lire les connexions à risque | Lecteur Sécurité |
Sécurité - Utilisateurs avec indicateur de risque
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Ignorer tous les événements | Administrateur de la sécurité | |
Lire toute la configuration | Lecteur Sécurité | |
Lire les utilisateurs avec indicateur de risque | Lecteur Sécurité |
Droit d’accès temporaire
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Créer, supprimer ou afficher un passe d’accès temporaire pour les administrateurs ou les membres (sauf eux-mêmes) | Administrateur d’authentification privilégié | |
Créer, supprimer ou afficher un passe d’accès temporaire pour les membres (sauf eux-mêmes) | Administrateur d’authentification | |
Afficher les détails d’un passe d’accès temporaire pour un utilisateur (sans lire le code lui-même) | Lecteur général | |
Configurer ou mettre à jour la stratégie de méthode d’authentification par passe d’accès temporaire | Administrateur de la stratégie d’authentification |
Locataire
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Créez un locataire Microsoft Entra ID ou Azure AD B2C | Créateur du locataire | |
Mettre à jour les propriétés de locataire Microsoft Entra | Administrateur de facturation | |
Gérer la déclaration de confidentialité et lesde contact | Administrateur de facturation |
Utilisateurs
Tâche | Rôle moins privilégié | Autres rôles |
---|---|---|
Ajouter un utilisateur à un rôle d’annuaire | Administrateur de rôle privilégié | |
Ajouter un utilisateur à un groupe | Administrateur d’utilisateurs | |
Affecter une licence | Administrateur de licence | Administrateur d’utilisateurs |
Créer un utilisateur invité | Inviteur d’invités | Administrateur d’utilisateurs |
Réinitialiser l’invitation d’un utilisateur invité | Administrateur du support technique | Administrateur d’utilisateurs |
Créer un utilisateur | Administrateur d’utilisateurs | |
Suppression d’utilisateurs | Administrateur d’utilisateurs | |
Invalider les jetons d’actualisation des administrateurs limités | Administrateur d’utilisateurs | |
Invalider des jetons d’actualisation des non-administrateurs | Administrateur du support technique | Administrateur d’utilisateurs |
Invalider les jetons d’actualisation des administrateurs privilégiés | Administrateur d’authentification privilégié | |
Lire la configuration de base | Rôle d’utilisateur par défaut | |
Réinitialiser le mot de passe pour les administrateurs limités | Administrateur d’utilisateurs | |
Réinitialiser le mot de passe des non-administrateurs | Administrateur de mots de passe | Administrateur d’utilisateurs |
Réinitialiser le mot de passe des administrateurs privilégiés | Administrateur d’authentification privilégié | |
Révoquer une licence | Administrateur de licence | Administrateur d’utilisateurs |
Mettre à jour toutes les propriétés, sauf le nom d’utilisateur principal | Administrateur d’utilisateurs | |
Mettre à jour la propriété de synchronisation locale activée | Administrateur d’identité hybride | |
Mettre à jour le nom d’utilisateur principal pour les administrateurs limités | Administrateur d’utilisateurs | |
Mettre à jour la propriété Nom d’utilisateur principal sur les administrateurs privilégiés | Administrateur d’authentification privilégié | |
Mettre à jour les paramètres utilisateur – Autorisations de rôle d’utilisateur par défaut | Administrateur de rôle privilégié | |
Mettre à jour les paramètres utilisateur – Accès des utilisateurs invités | Administrateur de rôle privilégié | |
Mettre à jour les paramètres utilisateur – Centre d’administration | Administrateur général | |
Mettre à jour les paramètres utilisateur – Connexions des comptes LinkedIn | Administrateur général | |
Mettre à jour les paramètres utilisateur – Demander à l’utilisateur s’il veut rester connecté | Administrateur général | |
Mettre à jour les méthodes d’authentification | Administrateur d’authentification | Administrateur d’authentification privilégié |