Ajouter un compte d’administrateur

Effectué

Exercice - Ajouter un compte d’administrateur

Dans ID externe Microsoft Entra, un locataire externe représente votre annuaire de comptes de consommateurs et d’invités. Avec un rôle d’administrateur, les comptes professionnels et invités peuvent gérer le locataire.

Remarque

Vous aurez besoin au moins du rôle d’annuaire Administrateur d’utilisateurs pour créer un compte administrateur.

Ce rôle est un rôle privilégié. Veuillez lire les meilleures pratiques concernant l’utilisation des rôles privilégiés.

Vous avez des commentaires ? Faites-nous savoir comment se déroule votre projet de preuve de concept. Nous aimerions connaître votre opinion.

Avertissement

Lors de la création de comptes d’administrateur, nous vous recommandons d’attribuer aux utilisateurs le rôle le moins privilégié nécessaire, de façon à ce qu’ils disposent uniquement des autorisations dont ils ont besoin pour accomplir leurs tâches.

  1. Pour ajouter un compte d’administrateur, connectez-vous au Centre d’administration Microsoft Entra avec au moins des autorisations d’administrateur de rôle privilégié et accédez à Identité>Utilisateurs>Tous les utilisateurs. Ensuite, sélectionnez Nouvel utilisateur>Créer un utilisateur.

    Capture d’écran du panneau Utilisateurs avec un bouton intitulé Nouvel utilisateur mis en surbrillance et l’une des options de menu déroulant Créer un utilisateur qui vous permet de créer un utilisateur interne dans votre organisation mis en surbrillance.

  2. Dans la page Créer un utilisateur, indiquez les informations suivantes :

    • Sous Informations de base, entrez les informations pour cet administrateur :
      1. Nom d’utilisateur principal (obligatoire) : nom d’utilisateur du nouvel utilisateur. Par exemple : emily@woodgrovelive.com.
      2. Nom d’affichage : nom du nouvel utilisateur. Par exemple, Emily Doe.
    • Dans Mot de passe, copiez le mot de passe généré automatiquement fourni dans la zone de mot de passe. Vous devrez fournir ce mot de passe à l’utilisateur lors de sa première connexion.

    Capture d’écran du panneau Créer un utilisateur où les champs requis nom d’utilisateur principal, surnom de courrier, nom d’affichage et mot de passe sont renseignés.

  3. Sous Propriétés, vous pouvez également entrer un prénom et un nom ainsi que d’autres propriétés.

    Capture d’écran du panneau Créer un utilisateur où l’un des onglets intitulés « Propriétés » dans la navigation de l’Assistant est sélectionné. Il affiche des propriétés telles que le prénom, le nom et d’autres informations qui peuvent être renseignées sur l’utilisateur.

  4. Pour ajouter des autorisations d’administration pour l’utilisateur, ajoutez-les à un ou plusieurs rôles d’administrateur dans Microsoft Entra ID. Sous Affectations, sélectionnez Ajouter un rôle. Ensuite, recherchez le rôle que vous souhaitez affecter à cet utilisateur, puis choisissez Sélectionner.

    Avertissement

    Lors de la création de comptes d’administrateur, nous vous recommandons d’attribuer aux utilisateurs le rôle le moins privilégié nécessaire, de façon à ce qu’ils disposent uniquement des autorisations dont ils ont besoin pour accomplir leurs tâches.

    Capture d’écran du panneau Créer un utilisateur dans lequel l’onglet suivant dans la navigation de l’Assistant intitulé Affectations est sélectionné. Il affiche un bouton intitulé Ajouter un rôle mis en surbrillance. Dans le volet Rôles d’annuaire ouvert à droite, le rôle d’administrateur de sécurité est mis en surbrillance.

  5. Pour créer le compte, sélectionnez Créer.

    Capture d’écran du panneau Créer un utilisateur dans lequel l’onglet final dans la navigation de l’Assistant intitulé Révision et création est sélectionné. Il affiche une vue d’ensemble des notions de base, des propriétés et des affectations configurées et attribuées pour cet utilisateur.

    Bravo ! L’administrateur est créé et ajouté à votre locataire externe.

1. Créer un utilisateur

Pour créer un utilisateur, remplacez les valeurs suivantes dans la requête Microsoft Graph :

  • displayName avec le nom d’affichage de l’utilisateur.
  • mailNickname avec un alias de messagerie pour l’utilisateur. Cette propriété doit être spécifiée lors de la création d’un utilisateur.
  • userPrincipalName avec le nom principal (UPN) de l’utilisateur. Le format standard est alias@domain, où le domaine doit être présent dans la collection de domaines vérifiés du locataire.
  • mot de passe avec un mot de passe temporaire que vous partagerez avec l’utilisateur. Lors de la première connexion, l’utilisateur sera invité à modifier son mot de passe.
Exemple

L’exemple suivant montre comment créer un compte d’utilisateur pour Adele Vance.

POST https://graph.microsoft.com/v1.0/applications
{
    "accountEnabled": true,
    "displayName": "Adele Vance",
    "mailNickname": "AdeleV",
    "userPrincipalName": "AdeleV@wggdemo.onmicrosoft.com",
    "passwordProfile": {
        "forceChangePasswordNextSignIn": true,
        "password": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u"
    }
}
1.1 Copier l’identifiant utilisateur

À partir de la réponse, copiez la valeur de l’ID. Par exemple :

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users/$entity",
    "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
    ...
}        

2. Attribuer un rôle d’administrateur

Une fois le nouvel utilisateur créé, créez une attribution de rôle (unifiée). Dans la requête Microsoft Graph suivante, remplacez :

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "principalId": "{user-id}",
    "roleDefinitionId": "{role-id}",
    "directoryScopeId": "/"
}
Exemple

L’exemple suivant affecte le rôle Administrateur de sécurité à Adele Vance

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "194ae4cb-b126-40b2-bd5b-6091b380977d",
    "directoryScopeId": "/"
}