Ajouter un compte d’administrateur
Exercice - Ajouter un compte d’administrateur
Dans ID externe Microsoft Entra, un locataire externe représente votre annuaire de comptes de consommateurs et d’invités. Avec un rôle d’administrateur, les comptes professionnels et invités peuvent gérer le locataire.
Remarque
Vous aurez besoin au moins du rôle d’annuaire Administrateur d’utilisateurs pour créer un compte administrateur.
Ce rôle est un rôle privilégié. Veuillez lire les meilleures pratiques concernant l’utilisation des rôles privilégiés.
Vous avez des commentaires ? Faites-nous savoir comment se déroule votre projet de preuve de concept. Nous aimerions connaître votre opinion.
Avertissement
Lors de la création de comptes d’administrateur, nous vous recommandons d’attribuer aux utilisateurs le rôle le moins privilégié nécessaire, de façon à ce qu’ils disposent uniquement des autorisations dont ils ont besoin pour accomplir leurs tâches.
Pour ajouter un compte d’administrateur, connectez-vous au Centre d’administration Microsoft Entra avec au moins des autorisations d’administrateur de rôle privilégié et accédez à Identité>Utilisateurs>Tous les utilisateurs. Ensuite, sélectionnez Nouvel utilisateur>Créer un utilisateur.
Dans la page Créer un utilisateur, indiquez les informations suivantes :
- Sous Informations de base, entrez les informations pour cet administrateur :
- Nom d’utilisateur principal (obligatoire) : nom d’utilisateur du nouvel utilisateur. Par exemple : emily@woodgrovelive.com.
- Nom d’affichage : nom du nouvel utilisateur. Par exemple, Emily Doe.
- Dans Mot de passe, copiez le mot de passe généré automatiquement fourni dans la zone de mot de passe. Vous devrez fournir ce mot de passe à l’utilisateur lors de sa première connexion.
- Sous Informations de base, entrez les informations pour cet administrateur :
Sous Propriétés, vous pouvez également entrer un prénom et un nom ainsi que d’autres propriétés.
Pour ajouter des autorisations d’administration pour l’utilisateur, ajoutez-les à un ou plusieurs rôles d’administrateur dans Microsoft Entra ID. Sous Affectations, sélectionnez Ajouter un rôle. Ensuite, recherchez le rôle que vous souhaitez affecter à cet utilisateur, puis choisissez Sélectionner.
Avertissement
Lors de la création de comptes d’administrateur, nous vous recommandons d’attribuer aux utilisateurs le rôle le moins privilégié nécessaire, de façon à ce qu’ils disposent uniquement des autorisations dont ils ont besoin pour accomplir leurs tâches.
Pour créer le compte, sélectionnez Créer.
Bravo ! L’administrateur est créé et ajouté à votre locataire externe.
1. Créer un utilisateur
Pour créer un utilisateur, remplacez les valeurs suivantes dans la requête Microsoft Graph :
- displayName avec le nom d’affichage de l’utilisateur.
- mailNickname avec un alias de messagerie pour l’utilisateur. Cette propriété doit être spécifiée lors de la création d’un utilisateur.
- userPrincipalName avec le nom principal (UPN) de l’utilisateur. Le format standard est alias@domain, où le domaine doit être présent dans la collection de domaines vérifiés du locataire.
- mot de passe avec un mot de passe temporaire que vous partagerez avec l’utilisateur. Lors de la première connexion, l’utilisateur sera invité à modifier son mot de passe.
Exemple
L’exemple suivant montre comment créer un compte d’utilisateur pour Adele Vance.
POST https://graph.microsoft.com/v1.0/applications
{
"accountEnabled": true,
"displayName": "Adele Vance",
"mailNickname": "AdeleV",
"userPrincipalName": "AdeleV@wggdemo.onmicrosoft.com",
"passwordProfile": {
"forceChangePasswordNextSignIn": true,
"password": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u"
}
}
1.1 Copier l’identifiant utilisateur
À partir de la réponse, copiez la valeur de l’ID. Par exemple :
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users/$entity",
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
...
}
2. Attribuer un rôle d’administrateur
Une fois le nouvel utilisateur créé, créez une attribution de rôle (unifiée). Dans la requête Microsoft Graph suivante, remplacez :
- {user-id} avec l’ID d’utilisateur de l’étape précédente.
- {role-id} avec l’un des rôles intégrés Microsoft Entra.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
"principalId": "{user-id}",
"roleDefinitionId": "{role-id}",
"directoryScopeId": "/"
}
Exemple
L’exemple suivant affecte le rôle Administrateur de sécurité à Adele Vance
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "194ae4cb-b126-40b2-bd5b-6091b380977d",
"directoryScopeId": "/"
}