Partage via

Ajouter et gérer les comptes administrateur

  • Article

S’applique à : Cercle blanc avec un symbole X gris. Les locataires de main-d’œuvre cercle vert avec un symbole de coche blanc. Locataires externes (en savoir plus)

Les comptes d’administrateur sont des utilisateurs de votre locataire externe Microsoft Entra qui ont reçu des rôles d’administrateur. Vous pouvez ajouter un compte d’administrateur à votre locataire en créant ou en invitant un utilisateur via le Centre d’administration Microsoft Entra ou Microsoft Graph et en leur attribuant un rôle d’administrateur. Si vous n’attribuez pas de rôle d’administrateur, l’utilisateur dispose des autorisations utilisateur par défaut.

Cet article se concentre sur la gestion des comptes d’administrateur à l’aide du Centre d’administration Microsoft Entra. Vous devez disposer au moins des autorisations d’administrateur d’utilisateurs pour ajouter ou supprimer des utilisateurs.

Consultez également Gérer les comptes d’utilisateur pour les consommateurs et les clients professionnels pour plus d’informations sur les utilisateurs finaux de votre application. Ces utilisateurs n’ont généralement pas de rôles d’administrateur attribués afin qu’ils conservent les autorisations utilisateur par défaut.

Prérequis

  • Si vous n’avez pas encore créé votre propre instance externe Microsoft Entra, créez-en un maintenant.
  • Comprendre les comptes d’utilisateur dans ID externe Microsoft Entra.
  • Comprendre les rôles utilisateur pour contrôler l’accès aux ressources.

Ajouter un compte d’administrateur

Procédez comme suit pour créer un compte d’utilisateur et accorder des autorisations d’administrateur au compte en ajoutant un rôle Microsoft Entra. (Seules les étapes requises sont décrites ici. Pour obtenir une description complète de toutes les propriétés, consultez l’article Microsoft Entra ID How to create users.)

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de rôle privilégié au moins.

  2. Si vous avez accès à plusieurs locataires, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire externe à partir du menu Répertoires + abonnements.

  3. Accédez à Entra ID>Users.

  4. Sélectionnez Nouvel utilisateur>Créer un utilisateur.

  5. Sous l’onglet Informations de base , sous Identité, entrez les informations de cet administrateur :

    • Nom d’utilisateur principal : entrez un nom d’utilisateur unique et sélectionnez un domaine dans le menu après le symbole @.
    • Nom complet : entrez le nom de l’utilisateur, tel que Chris Green ou Chris A. Green.
    • Mot de passe : copiez le mot de passe généré automatiquement ou décochez l’option Générer automatiquement le mot de passe et entrez un autre mot de passe. Vous devez donner ce mot de passe à l’administrateur pour vous connecter pour la première fois.

  6. Sélectionnez l’onglet Affectations et procédez comme suit pour attribuer un rôle à l’utilisateur. (L’ajout d’un groupe est facultatif).

    • Sélectionnez + Ajouter un rôle.
    • Dans le menu qui s’affiche, choisissez jusqu’à 20 rôles dans la liste. Vous pouvez affecter l’utilisateur à un ou plusieurs rôles d’administrateur dans Microsoft Entra ID.
    • Sélectionnez le bouton Sélectionner .

  7. Sélectionnez le bouton Vérifier + créer .

L’administrateur est créé et ajouté à votre locataire externe.

Inviter un administrateur (compte invité)

Vous pouvez également inviter un nouvel utilisateur invité à gérer votre locataire. Pour inviter un nouvel utilisateur invité avec des autorisations d’administrateur, procédez comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de rôle privilégié au moins.

  2. Si vous avez accès à plusieurs locataires, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire externe à partir du menu Répertoires + abonnements.

  3. Accédez à Entra ID>Users.

  4. Sélectionnez Nouvel utilisateur Inviter un utilisateur>externe (préversion).

  5. Sous l’onglet Informations de base , entrez les informations de l’utilisateur :

    • E-mail. Obligatoire. Adresse e-mail de l’utilisateur que vous souhaitez inviter.
    • Nom d'affichage. Prénom et nom du nouvel utilisateur. Par exemple, Mary Parker.
    • Sous Message d’invitation :
      • Cochez la case Envoyer un message d’invitation si vous souhaitez envoyer l’e-mail d’invitation à l’utilisateur. Sinon, décochez la case.
      • Dans Message, ajoutez un message personnel à inclure dans l’e-mail d’invitation.
      • Pour envoyer une copie de l’e-mail d’invitation à une personne, ajoutez son adresse e-mail dans la zone de texte destinataire Cc .
      • L’URL de redirection d’invitation est par défaut vers MyApplications, c’est-à-dire l’emplacement où l’utilisateur est redirigé lorsqu’il échange l’invitation. Vous pouvez le remplacer par une URL différente.

  6. Sélectionnez l’onglet Affectations et procédez comme suit pour attribuer un rôle à l’utilisateur. (L’ajout d’un groupe est facultatif).

    • Sélectionnez + Ajouter un rôle.
    • Dans le menu qui s’affiche, choisissez jusqu’à 20 rôles dans la liste. Vous pouvez affecter l’utilisateur à un ou plusieurs rôles d’administrateur dans Microsoft Entra ID.
    • Sélectionnez le bouton Sélectionner .

  7. Sélectionnez le bouton Vérifier + inviter .

Un e-mail d’invitation est envoyé à l’utilisateur. L’utilisateur doit accepter l’invitation pour pouvoir se connecter.

Modifier ou ajouter une attribution de rôle

Vous pouvez attribuer un rôle lorsque vous créez un utilisateur ou que vous invitez un utilisateur invité. Vous pouvez ajouter, modifier ou supprimer un rôle pour un utilisateur :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de rôle privilégié au moins.
  2. Si vous avez accès à plusieurs locataires, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire externe à partir du menu Répertoires + abonnements.
  3. Accédez à Entra ID>Users.
  4. Sélectionnez l’utilisateur dont vous souhaitez modifier les rôles. Ensuite, sélectionnez Rôles attribués.
  5. Sélectionnez Ajouter des attributions, sélectionnez le rôle à attribuer (par exemple , Administrateur d’application), puis choisissez Ajouter.

Supprimer une attribution de rôle

Si vous devez supprimer une attribution de rôle d’un utilisateur, procédez comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de rôle privilégié au moins.
  2. Si vous avez accès à plusieurs locataires, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire externe à partir du menu Répertoires + abonnements.
  3. Accédez à Entra ID>Users.
  4. Sélectionnez l’utilisateur dont vous souhaitez modifier les rôles. Ensuite, sélectionnez Rôles attribués.
  5. Sélectionnez le rôle que vous souhaitez supprimer, par exemple Administrateur d’application, puis sélectionnez Supprimer l’affectation.

Vérifier les attributions de rôle de compte administrateur

Dans le cadre d’un processus d’audit, vous examinez généralement les utilisateurs attribués à des rôles spécifiques dans le répertoire du client. Procédez comme suit pour vérifier quels utilisateurs sont actuellement affectés à des rôles privilégiés.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de rôle privilégié au moins.
  2. Si vous avez accès à plusieurs locataires, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire externe à partir du menu Répertoires + abonnements.
  3. Accédez à Entra ID>Rôles et administrateurs.
  4. Sélectionnez un rôle, tel que l’administrateur d’utilisateurs. La page Affectations répertorie les utilisateurs ayant ce rôle.

Supprimer un compte administrateur

Pour supprimer un utilisateur existant, vous devez disposer au moins de l’attribution de rôle Administrateur d’utilisateur . Les administrateurs d’authentification privilégiée peuvent supprimer n’importe quel utilisateur, y compris d’autres administrateurs. Les administrateurs d’utilisateurs peuvent supprimer n’importe quel utilisateur non administrateur.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’au moins administrateurs d’authentification privilégiés.
  2. Si vous avez accès à plusieurs locataires, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire externe à partir du menu Répertoires + abonnements.
  3. Accédez à Entra ID>Users.
  4. Sélectionnez l’utilisateur que vous souhaitez supprimer.
  5. Sélectionnez Supprimer, puis Oui pour confirmer la suppression.

L’utilisateur est supprimé et n’apparaît plus sur la page Tous les utilisateurs . L’utilisateur peut être vu sur la page Utilisateurs supprimés pendant les 30 prochains jours et peut être restauré pendant cette période. Pour plus d’informations sur la restauration d’un utilisateur, consultez Restaurer ou supprimer un utilisateur récemment supprimé à l’aide de l’ID Microsoft Entra.

Protéger des comptes d’administration

Nous vous recommandons de protéger tous les comptes d’administrateur avec l’authentification multifacteur (MFA) pour plus de sécurité. L’authentification multi-facteur (MFA) est un processus de vérification d’identité lors de la connexion invitant l’utilisateur à insérer un code secret à usage unique.

Microsoft recommande que les organisations disposent de deux comptes d’accès d’urgence en mode cloud uniquement auxquels le rôle Administrateur général est attribué définitivement. Ces comptes hautement privilégiés ne sont pas attribués à des personnes spécifiques. Les comptes sont limités aux scénarios d’urgence, notamment dans les cas de « casse de vitre », où les comptes normaux ne peuvent pas être utilisés ou lorsque tous les autres administrateurs sont verrouillés accidentellement. Ces comptes doivent être créés en suivant les recommandations de création de comptes d'accès d'urgence .