Partager via

Conditions préalables requises pour le compte invité

  • Article

Microsoft Managed Desktop nécessite les paramètres suivants dans votre Microsoft Entra organization pour l’accès au compte invité. Vous pouvez ajuster ces paramètres dans le Portail Azure sous Identités externes / Collaboration externe :

  • Les administrateurs et les utilisateurs disposant du rôle Inviteur d’invités peuvent définir l’invitation sur Oui.
  • Pour restrictions de collaboration, choisissez l’une des options suivantes :
    • Si vous sélectionnez Autoriser l’envoi d’invitations à n’importe quel domaine (le plus inclusif), aucune autre configuration n’est requise.
    • Si vous sélectionnez Refuser les invitations aux domaines spécifiés, assurez-vous que Microsoft.com n’est pas répertorié dans les domaines cibles.
    • Si vous sélectionnez Autoriser les invitations uniquement aux domaines spécifiés (le plus restrictif), assurez-vous que Microsoft.com est répertorié dans les domaines cibles.

Création d’un rôle et d’un groupe lors de l’inscription

Lorsque votre locataire est inscrit au service, Microsoft crée un groupe par rôle dans votre Microsoft Entra organization.

Exemple de processus d’accès au compte invité

  1. Une notification d’alerte est reçue par l’équipe SOC (Microsoft Managed Desktop Secure Operations Centers).
  2. Un ingénieur SOC envoie une demande d’accès unique pour le rôle d’administrateur de la sécurité.
  3. Selon les besoins de la tâche, l’équipe peut avoir besoin d’un accès unique avec approbation ou approbation automatique.
    1. Une fois la demande spécifique au rôle terminée, l’ingénieur du service SOC se connecte au portail Microsoft Defender du locataire et examine l’alerte. Les actions d’investigation principales au cours d’une investigation d’alerte classique peuvent inclure des éléments tels que :
      1. Examen des détails spécifiques de l’alerte renseignés par Defender.
      2. Classifiez, définissez l’état ou commentez l’incident ou l’alerte.
      3. Examen des détails de la page chronologie et de l’incident de l’appareil.
      4. Approuver ou refuser des actions correctives.
      5. Démarrez des investigations automatisées.
    2. Utilisez les fonctionnalités de la chasse avancée .
  4. Une fois ces actions terminées, l’ingénieur SOC se déconnecte du locataire et ferme la demande.

Paramètres de collaboration externe

Microsoft Managed Desktop recommande la configuration suivante dans votre Microsoft Entra organization pour l’accès au compte invité. Vous pouvez ajuster ces paramètres dans le Portail Azure sous Identités externes / Paramètres de collaboration externe :

Setting Description
Accès invité Les utilisateurs invités ont un accès limité aux propriétés et aux appartenances des objets du répertoire.
Paramètres de l’invitation à un invité Les utilisateurs membres et ceux affectés à des rôles d’administrateur spécifiques peuvent inviter des utilisateurs invités, y compris des invités disposant d’autorisations de membre

Microsoft Managed Desktop nécessite la configuration suivante dans votre Microsoft Entra organization pour l’accès au compte invité. Vous pouvez ajuster ce paramètre dans le Portail Azure sous Identités externes / Paramètres de collaboration externe :

Setting Option
Restrictions de collaboration Sélectionnez l’une des options suivantes :
  • Si vous sélectionnez Autoriser l’envoi d’invitations à n’importe quel domaine (le plus inclusif), aucune autre configuration n’est requise.
  • Si vous sélectionnez Refuser les invitations aux domaines spécifiés, assurez-vous que Microsoft.com n’est pas répertorié dans les domaines cibles.
  • Si vous sélectionnez Autoriser les invitations uniquement aux domaines spécifiés (le plus restrictif), assurez-vous que Microsoft.com est répertorié dans les domaines cibles.

    Si vous définissez des restrictions qui interagissent avec ces paramètres, veillez à exclure les comptes Microsoft Entra ID de service d’espace de travail moderne. Par exemple, si vous avez une stratégie d’accès conditionnel qui empêche les comptes invités d’accéder au portail Intune, excluez le groupe Comptes de service Modern Workplace de cette stratégie.

    Pour plus d’informations, consultez Activer la collaboration externe B2B et gérer les utilisateurs pouvant inviter des invités.

    Administrateur Intune sans licence

    Le paramètre Autoriser l’accès aux administrateurs sans licence doit être activé. Si ce paramètre n’est pas activé, des erreurs peuvent se produire lorsque nous essayons d’accéder à votre Microsoft Entra organization pour le service. Vous pouvez activer ce paramètre sans vous soucier des implications en matière de sécurité. L’étendue de l’accès est définie par les rôles attribués aux utilisateurs, y compris notre personnel des opérations.

    Pour activer ce paramètre :

    1. Accédez au Centre d’administration Microsoft Intune.
    2. Accédez à Administration du client, puis sélectionnez Rôles. Ensuite, sélectionnez Licences d’administrateur.
    3. Dans la section Autoriser l’accès aux administrateurs sans licence, sélectionnez Oui.

    Importante

    Vous ne pouvez pas annuler ce paramètre après avoir sélectionné Oui.

    Pour plus d’informations, consultez les administrateurs sans licence dans Microsoft Intune.