Ajouter et gérer les comptes administrateur
S’applique à : Locataires de main-d’œuvre Locataires externes (en savoir plus)
Dans ID externe Microsoft Entra, un locataire externe représente votre annuaire de comptes de consommateurs et d’invités. Avec un rôle d’administrateur, les comptes professionnels et invités peuvent gérer le locataire.
Prérequis
- Si vous n’avez pas encore créé votre propre tenant externe Microsoft Entra, créez-en un maintenant.
- Comprendre les comptes d’utilisateur dans ID externe Microsoft Entra.
- Comprendre les rôles utilisateur pour contrôler l’accès aux ressources.
Ajouter un compte d’administrateur
Pour créer un nouveau compte administrateur, procédez de la manière suivante :
Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
Accédez à Identité>Utilisateurs>Tous les utilisateurs.
Sélectionnez Nouvel utilisateur>Créer un nouvel utilisateur.
Dans la page Nouvel utilisateur, sous Sélectionner un modèle, sélectionnez Créer un utilisateur.
Sous Identité, entrez les informations de cet administrateur :
- Nom d’utilisateur. Requis. Nom d’utilisateur du nouvel utilisateur. Par exemple :
mary@contoso.com
. - Nom. Requis. Prénom et nom du nouvel utilisateur. Par exemple, Mary Parker.
- Prénom. Prénom du nouvel utilisateur. Par exemple : Mary.
- Nom de famille. Nom de famille du nouvel utilisateur. Par exemple, Parker.
- Groupes. Facultatif. Vous pouvez ajouter l’utilisateur à un ou plusieurs groupes existants. Vous pouvez également ajouter l’utilisateur à des groupes ultérieurement.
- Rôles : pour ajouter des autorisations d’administration à l’utilisateur, ajoutez-les à un rôle Microsoft Entra. Vous pouvez attribuer à l’utilisateur un ou plusieurs des rôles Administrateur dans Microsoft Entra ID.
- Paramètres : utilisez le bouton bascule oui ou non pour définir Bloquer la connexion et sélectionnez l’emplacement principal de l’administrateur dans la liste Emplacement d’utilisation.
- Informations sur l’emploi : Vous pouvez ajouter ici des informations supplémentaires sur l’utilisateur, ou le faire ultérieurement.
- Nom d’utilisateur. Requis. Nom d’utilisateur du nouvel utilisateur. Par exemple :
Copiez le mot de passe généré automatiquement fourni dans le champ Mot de passe. Vous devrez fournir ce mot de passe à l’utilisateur lors de sa première connexion.
Sélectionnez Créer.
L’administrateur est créé et ajouté à votre locataire externe.
Inviter un administrateur (compte invité)
Vous pouvez également inviter un nouvel utilisateur invité à gérer votre locataire. Pour inviter un administrateur, procédez de la manière suivante :
Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
Accédez à Identité>Utilisateurs>Tous les utilisateurs.
Sélectionnez Nouvel utilisateur>Inviter un utilisateur externe.
Dans la page Nouvel utilisateur, sous Sélectionner un modèle, sélectionnez Inviter un utilisateur.
Sous Identité, entrez les informations de l’administrateur :
- Nom. Requis. Prénom et nom du nouvel utilisateur. Par exemple, Mary Parker.
- Adresse e-mail. Requis. Adresse e-mail de l’utilisateur que vous souhaitez inviter.
- Prénom. Prénom du nouvel utilisateur. Par exemple : Mary.
- Nom de famille. Nom de famille du nouvel utilisateur. Par exemple, Parker.
- Message personnel : vous ajoutez un message personnel qui sera inclus dans l’e-mail d’invitation.
- Groupes. Facultatif. Vous pouvez ajouter l’utilisateur à un ou plusieurs groupes existants. Vous pouvez également ajouter l’utilisateur à des groupes ultérieurement.
- Rôles : pour ajouter des autorisations d’administration à l’utilisateur, ajoutez-les à un rôle Microsoft Entra. Vous pouvez attribuer à l’utilisateur un ou plusieurs des rôles Administrateur dans Microsoft Entra ID.
- Paramètres : utilisez le bouton bascule oui ou non pour définir Bloquer la connexion et sélectionnez l’emplacement principal de l’administrateur dans la liste Emplacement d’utilisation.
- Informations sur l’emploi : Vous pouvez ajouter ici des informations supplémentaires sur l’utilisateur, ou le faire ultérieurement.
Sélectionnez Inviter.
Un e-mail d’invitation est envoyé à l’utilisateur. L’utilisateur doit accepter l’invitation pour pouvoir se connecter.
Ajouter une attribution de rôle
Vous pouvez attribuer un rôle lorsque vous créez un utilisateur ou que vous invitez un utilisateur invité. Vous pouvez ajouter, modifier ou supprimer un rôle pour un utilisateur :
- Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
- Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
- Accédez à Identité>Utilisateurs>Tous les utilisateurs.
- Sélectionnez l’utilisateur dont vous souhaitez modifier les rôles. Ensuite, sélectionnez Rôles affectés.
- Sélectionnez Ajouter des affectations, le rôle à attribuer (par exemple, Administrateur(-trice) d’application), puis choisissez Ajouter.
Supprimer une attribution de rôle
Si vous devez supprimer une attribution de rôle d’un utilisateur, procédez comme suit :
- Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
- Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
- Accédez à Identité>Utilisateurs>Tous les utilisateurs.
- Sélectionnez l’utilisateur dont vous souhaitez modifier les rôles. Ensuite, sélectionnez Rôles affectés.
- Sélectionnez le rôle que vous souhaitez supprimer, tel qu’Administrateur d’application, puis sélectionnez Supprimer l’affectation.
Vérifier les attributions de rôle de compte administrateur
Dans le cadre d’un processus d’audit, vous examinez généralement les utilisateurs attribués à des rôles spécifiques dans le répertoire du client. Procédez comme suit pour vérifier quels utilisateurs sont actuellement affectés à des rôles privilégiés.
- Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
- Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
- Accédez à Identité>Rôles et administrateurs>Rôles et administrateurs.
- Sélectionnez un rôle, comme Administrateur d’utilisateurs. La page de Affectations répertorie les utilisateurs associés à ce rôle.
Supprimer un compte administrateur
Pour supprimer un utilisateur existant, vous devez disposer au moins d’une attribution de rôle Administrateur d’utilisateurs. Les administrateurs d’authentification privilégiés peuvent supprimer tous les utilisateurs, y compris d’autres administrateurs. Les administrateurs d’utilisateurs peuvent supprimer n’importe quel(le) utilisateur(-trice) non-administrateur(-trice).
- Connectez-vous au centre d’administration Microsoft Entra avec au moins le rôle d’Administrateur d’authentification privilégié.
- Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
- Accédez à Identité>Utilisateurs>Tous les utilisateurs.
- Sélectionnez l’utilisateur que vous souhaitez supprimer.
- Sélectionnez Supprimer, puis Oui pour confirmer la suppression.
L’utilisateur est supprimé et n’apparaît plus sur la page Tous les utilisateurs. L’utilisateur est affiché sur la page Utilisateurs supprimés pendant 30 jours et peut être restauré durant cette période. Si vous souhaitez en savoir davantage concernant la restauration d’un utilisateur, consultez Restaurer ou retirer un utilisateur supprimé récemment à l’aide de Microsoft Entra ID.
Protéger des comptes d’administration
Il est recommandé de protéger tous les comptes Administrateur avec l’authentification multifacteur (MFA, Multifactor Authentication) pour plus de sécurité. L’authentification multi-facteur (MFA) est un processus de vérification d’identité lors de la connexion invitant l’utilisateur à insérer un code secret à usage unique.
Microsoft recommande aux organisations de disposer de deux comptes d’accès d’urgence, en mode cloud uniquement, attribué indéfiniment au rôle Administrateur général. Ces comptes hautement privilégiés ne sont pas attribués à des personnes spécifiques. Les comptes sont limités à des scénarios d’urgence ou « de secours » dans lesquels il est impossible d’utiliser des comptes normaux ou tous les administrateurs sont accidentellement verrouillés. Ces comptes doivent être créés, conformément aux recommandations relatives aux comptes d’accès d’urgence.