Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) permet une meilleure gestion de la sécurité pour les grandes organisations et pour les petites et moyennes entreprises travaillant avec des collaborateurs externes, des fournisseurs ou des indépendants qui ont besoin d’accéder à des ressources spécifiques dans votre environnement, mais pas nécessairement à l’ensemble de l’infrastructure ou à toutes les étendues liées à la facturation. Vous pouvez utiliser les fonctionnalités de Microsoft Entra B2B pour collaborer avec des utilisateurs externes et utiliser Azure RBAC pour accorder uniquement les autorisations dont ont besoin les utilisateurs externes dans votre environnement.
Prerequisites
Pour attribuer des rôles Azure ou supprimer des attributions de rôles, vous devez disposer des éléments suivants :
-
Microsoft.Authorization/roleAssignments/writeetMicrosoft.Authorization/roleAssignments/deleteautorisations, telles que Administrateur des accès utilisateur ou Propriétaire
Quand inviteriez-vous des utilisateurs externes ?
Voici quelques exemples de scénarios lorsque vous pouvez inviter des utilisateurs à votre organisation et accorder des autorisations :
- Autorisez un fournisseur indépendant externe disposant uniquement d’un compte de messagerie pour accéder à vos ressources Azure pour un projet.
- Autoriser un partenaire externe à gérer certaines ressources ou un abonnement entier.
- Autoriser les ingénieurs de support non dans votre organisation (tels que le support Microsoft) à accéder temporairement à votre ressource Azure pour résoudre les problèmes.
Différences d’autorisation entre les utilisateurs membres et les utilisateurs invités
Les utilisateurs d’un annuaire ayant un type de membre (utilisateurs membres) ont des autorisations différentes par défaut que les utilisateurs invités à partir d’un autre annuaire en tant qu’invité B2B Collaboration (utilisateurs invités). Par exemple, les utilisateurs membres peuvent lire presque toutes les informations d’annuaire tandis que les utilisateurs invités disposent d’autorisations d’annuaire restreintes. Pour plus d’informations sur les utilisateurs membres et les utilisateurs invités, consultez Quelles sont les autorisations utilisateur par défaut dans Microsoft Entra ID ?.
Inviter un utilisateur externe à votre annuaire
Suivez ces étapes pour inviter un utilisateur externe à votre annuaire dans l’ID Microsoft Entra.
Connectez-vous au portail Azure.
Vérifiez que les paramètres de collaboration externe de votre organisation sont configurés de telle sorte que vous êtes autorisé à inviter des utilisateurs externes. Pour plus d’informations, consultez Configurer les paramètres de collaboration externe.
Sélectionnez Microsoft Entra ID>Utilisateurs.
Sélectionnez Nouvel utilisateur Inviter un utilisateur>externe.
Suivez les étapes pour inviter un utilisateur externe. Pour plus d’informations, consultez Ajouter des utilisateurs microsoft Entra B2B Collaboration dans le portail Azure.
Après avoir invité un utilisateur externe à l’annuaire, vous pouvez envoyer à l’utilisateur externe un lien direct vers une application partagée, ou l’utilisateur externe peut sélectionner le lien accepter l’invitation dans l’e-mail d’invitation.
Pour que l’utilisateur externe puisse accéder à votre annuaire, il doit terminer le processus d’invitation.
Pour plus d’informations sur le processus de l'invitation, consultez la rédemption des invitations Microsoft Entra B2B Collaboration.
Attribuer un rôle à un utilisateur externe
Dans Azure RBAC, pour accorder l’accès, vous attribuez un rôle. Pour attribuer un rôle à un utilisateur externe, vous suivez les mêmes étapes que pour un utilisateur membre, un groupe, un principal de service ou une identité managée. Suivez ces étapes pour attribuer un rôle à un utilisateur externe dans différentes étendues.
Connectez-vous au portail Azure.
Dans la zone de recherche située en haut, recherchez l’étendue à laquelle vous souhaitez accorder l’accès. Par exemple, recherchez Groupes d’administration, Abonnements, Groupes de ressources, ou une ressource spécifique.
Sélectionnez la ressource spécifique pour cette étendue.
Sélectionnez Contrôle d’accès (IAM).
Voici un exemple de la page Contrôle d’accès (IAM) pour un groupe de ressources.
Sélectionnez l’onglet Attributions de rôles afin d’afficher les attributions de rôles pour cette étendue.
Sélectionnez Ajouter>Ajouter une attribution de rôle.
Si vous n’avez pas les autorisations nécessaires pour attribuer des rôles, l’option Ajouter une attribution de rôle est désactivée.
La page Ajouter une attribution de rôle s’ouvre.
Sous l’onglet Rôle , sélectionnez un rôle tel que Contributeur de machine virtuelle.
Sous l’onglet Membres , sélectionnez Utilisateur, groupe ou principal de service.
Sélectionnez Sélectionner des membres.
Recherchez et sélectionnez l’utilisateur externe. Si vous ne voyez pas l’utilisateur dans la liste, vous pouvez taper dans la zone Sélectionner pour rechercher le nom d’affichage ou l’adresse e-mail dans le répertoire.
Vous pouvez entrer du texte dans la zone Sélectionner pour rechercher des noms d’affichage ou des adresses e-mail dans le répertoire.
Sélectionnez Sélectionner pour ajouter l’utilisateur externe à la liste Membres.
Sous l’onglet Révision + affectation , sélectionnez Vérifier + affecter.
Après quelques instants, l’utilisateur externe se voit attribuer le rôle dans la portée sélectionnée.
Attribuer un rôle à un utilisateur externe qui n'est pas encore enregistré dans votre annuaire
Pour attribuer un rôle à un utilisateur externe, vous suivez les mêmes étapes que pour un utilisateur membre, un groupe, un principal de service ou une identité managée.
Si l’utilisateur externe n’est pas encore dans votre annuaire, vous pouvez inviter l’utilisateur directement à partir du volet Sélectionner des membres.
Connectez-vous au portail Azure.
Dans la zone de recherche située en haut, recherchez l’étendue à laquelle vous souhaitez accorder l’accès. Par exemple, recherchez Groupes d’administration, Abonnements, Groupes de ressources, ou une ressource spécifique.
Sélectionnez la ressource spécifique pour cette étendue.
Sélectionnez Contrôle d’accès (IAM).
Sélectionnez Ajouter>Ajouter une attribution de rôle.
Si vous n’avez pas les autorisations nécessaires pour attribuer des rôles, l’option Ajouter une attribution de rôle est désactivée.
La page Ajouter une attribution de rôle s’ouvre.
Sous l’onglet Rôle , sélectionnez un rôle tel que Contributeur de machine virtuelle.
Sous l’onglet Membres , sélectionnez Utilisateur, groupe ou principal de service.
Sélectionnez Sélectionner des membres.
Dans la zone Sélectionner , tapez l’adresse e-mail de la personne que vous souhaitez inviter et sélectionnez cette personne.
Sélectionnez Sélectionner pour ajouter l’utilisateur externe à la liste Membres.
Sous l’onglet Révision + affectation , sélectionnez Vérifier + affecter pour ajouter l’utilisateur externe à votre annuaire, attribuer le rôle et envoyer une invitation.
Après quelques instants, vous verrez une notification de l’attribution de rôle et des informations sur l’invitation.
Pour inviter manuellement l’utilisateur externe, cliquez avec le bouton droit et copiez le lien d’invitation dans la notification. Ne sélectionnez pas le lien d’invitation, car il démarre le processus d’invitation.
Le lien d’invitation aura le format suivant :
https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...Envoyez le lien d’invitation à l’utilisateur externe pour terminer le processus d’invitation.
Pour plus d’informations sur le processus de l'invitation, consultez la rédemption des invitations Microsoft Entra B2B Collaboration.
Supprimer un utilisateur externe de votre annuaire
Avant de supprimer un utilisateur externe d’un répertoire, vous devez d’abord supprimer toutes les attributions de rôles pour cet utilisateur externe. Procédez comme suit pour supprimer un utilisateur externe d’un répertoire.
Ouvrez le contrôle d’accès (IAM) dans une étendue, telle que le groupe d’administration, l’abonnement, le groupe de ressources ou la ressource, où l’utilisateur externe a une attribution de rôle.
Sélectionnez l’onglet Attributions de rôles pour afficher toutes les attributions de rôles.
Dans la liste des attributions de rôles, ajoutez une coche en regard de l’utilisateur externe avec l’attribution de rôle que vous souhaitez supprimer.
Sélectionnez Supprimer.
Dans le message supprimer l’attribution de rôle qui s’affiche, sélectionnez Oui.
Sélectionnez l’onglet Administrateurs classiques.
Si l’utilisateur externe a une affectation de Co-Administrator, ajoutez une coche en regard de l’utilisateur externe, puis sélectionnez Supprimer.
Dans la barre de navigation de gauche, sélectionnezUtilisateurs>.
Sélectionnez l’utilisateur externe que vous souhaitez supprimer.
Sélectionnez Supprimer.
Dans le message de suppression qui s’affiche, sélectionnez Oui.
Troubleshoot
L’utilisateur externe ne peut pas parcourir le répertoire
Les utilisateurs externes disposent d’autorisations d’annuaire restreintes. Par exemple, les utilisateurs externes ne peuvent pas parcourir le répertoire et ne peuvent pas rechercher de groupes ou d’applications. Pour plus d’informations, consultez Quelles sont les autorisations utilisateur par défaut dans Microsoft Entra ID ?.
Si un utilisateur externe a besoin de privilèges supplémentaires dans l’annuaire, vous pouvez attribuer un rôle Microsoft Entra à l’utilisateur externe. Si vous souhaitez vraiment qu’un utilisateur externe dispose d’un accès en lecture complet à votre annuaire, vous pouvez ajouter l’utilisateur externe au rôle Lecteurs d’annuaire dans Microsoft Entra ID. Pour plus d’informations, consultez Ajouter des utilisateurs microsoft Entra B2B Collaboration dans le portail Azure.
L’utilisateur externe ne peut pas parcourir les utilisateurs, les groupes ou les principaux de service pour attribuer des rôles
Les utilisateurs externes disposent d’autorisations d’annuaire restreintes. Même si un utilisateur externe est propriétaire dans une étendue, s’il tente d’attribuer un rôle pour accorder à quelqu’un d’autre l’accès, il ne peut pas parcourir la liste des utilisateurs, des groupes ou des principaux de service.
Capture d’écran où l’utilisateur externe ne peut pas parcourir les principes de sécurité pour attribuer des rôles.
Si l’utilisateur externe connaît le nom de connexion exact de quelqu’un dans l’annuaire, il peut accorder l’accès. Si vous souhaitez vraiment qu’un utilisateur externe dispose d’un accès en lecture complet à votre annuaire, vous pouvez ajouter l’utilisateur externe au rôle Lecteurs d’annuaire dans Microsoft Entra ID. Pour plus d’informations, consultez Ajouter des utilisateurs microsoft Entra B2B Collaboration dans le portail Azure.
L’utilisateur externe ne peut pas inscrire des applications ou créer des principaux de service
Les utilisateurs externes disposent d’autorisations d’annuaire restreintes. Si un utilisateur externe doit pouvoir inscrire des applications ou créer des principaux de service, vous pouvez ajouter l’utilisateur externe au rôle Développeur d’applications dans l’ID Microsoft Entra. Pour plus d’informations, consultez Ajouter des utilisateurs microsoft Entra B2B Collaboration dans le portail Azure.
L’utilisateur externe ne voit pas le nouveau répertoire
Si un utilisateur externe a reçu l’accès à un annuaire, mais qu’il ne voit pas le nouveau répertoire répertorié dans le portail Azure lorsqu’il tente de basculer dans sa page Répertoires , assurez-vous que l’utilisateur externe a terminé le processus d’invitation. Pour plus d’informations sur le processus de l'invitation, consultez la rédemption des invitations Microsoft Entra B2B Collaboration.
L’utilisateur externe ne voit pas les ressources
Si un utilisateur externe a reçu l’accès à un annuaire, mais qu’il ne voit pas les ressources auxquelles il a été autorisé à accéder dans le portail Azure, vérifiez que l’utilisateur externe a sélectionné le répertoire approprié. Un utilisateur externe peut avoir accès à plusieurs répertoires. Pour changer de répertoires, dans le coin supérieur gauche, sélectionnez Répertoires paramètres>, puis sélectionnez le répertoire approprié.
