Partage via


Rôles les moins privilégiés par tâche dans Microsoft Entra ID

Dans cet article, vous trouverez les informations nécessaires pour restreindre les autorisations d’administrateur d’un utilisateur en attribuant des rôles moins privilégiés dans Microsoft Entra ID. Vous y trouverez des tâches organisées par domaine de fonctionnalité et le rôle le moins privilégié nécessaire pour effectuer chaque tâche, ainsi que d’autres rôles non-administrateur général qui peuvent effectuer la tâche.

Vous pouvez restreindre davantage les autorisations en attribuant des rôles à des étendues plus petites ou en créant vos propres rôles personnalisés. Pour plus d’informations, consultez Attribuer des rôles Microsoft Entra à différentes étendues ou Créer et attribuer un rôle personnalisé dans Microsoft Entra ID.

Proxy d’application

Tâche Rôle moins privilégié Autres rôles
Configurer l’application de proxy d’application Administrateur d’application
Configurer les propriétés du groupe de connecteurs Administrateur d’application
Créer l’inscription de l’application quand la capacité est désactivée pour tous les utilisateurs Développeur d’applications Administrateur d’application cloud
Administrateur d’application
Créer un groupe de connecteurs Administrateur d’application
Supprimer un groupe de connecteurs Administrateur d’application
Désactiver le proxy d’application Administrateur d’application
Télécharger le service de connecteur Administrateur d’application
Lire toute la configuration Administrateur d’application

Identités externes/B2C

Tâche Rôle moins privilégié Autres rôles
Créer des annuaires Azure AD B2C Tous les utilisateurs non invités
Créer des applications d’entreprise Administrateur d’application cloud Administrateur d’application
Créer, lire, mettre à jour et supprimer des stratégies B2C Administrateur de stratégies B2C IEF
Créer, lire, mettre à jour et supprimer des fournisseurs d’identité Administrateur de fournisseurs d’identité externes
Créer, lire, mettre à jour et supprimer des flux utilisateur de réinitialisation de mot de passe Administrateur de flux d’utilisateurs ID externe
Créer, lire, mettre à jour et supprimer des flux utilisateur de modification de profil Administrateur de flux d’utilisateurs ID externe
Créer, lire, mettre à jour et supprimer des flux utilisateur de connexion Administrateur de flux d’utilisateurs ID externe
Créer, lire, mettre à jour et supprimer des flux utilisateur d’inscription Administrateur de flux d’utilisateurs ID externe
Créer, lire, mettre à jour et supprimer des attributs utilisateur Administrateur d’attribut de flux d’utilisateurs ID externe
Créer, lire, mettre à jour et supprimer des utilisateurs Administrateur d’utilisateurs
Configurer les paramètres de collaboration B2B externe – Accès des utilisateurs invités Administrateur de rôle privilégié
Configurer les paramètres de collaboration B2B externe – Paramètres d’invitation des invités Inviteur d’invités Administrateur de flux d’utilisateurs ID externe
Configurer les paramètres de collaboration B2B externe – Paramètres pour les utilisateurs externes absents Administrateur de fournisseurs d’identité externes
Configurer les paramètres de collaboration B2B externe – Restrictions de collaboration Administrateur général
Lire toute la configuration Lecteur général
Lire les journaux d’audit B2C Lecteur général

Remarque

Des administrateurs généraux Azure AD B2C n’ont pas les mêmes autorisations que des administrateurs généraux Microsoft Entra. Si vous disposez de privilèges d’un administrateur général Azure AD B2C, vérifiez que vous vous trouvez dans un annuaire Azure AD B2C et non dans un annuaire Microsoft Entra.

Marque de société

Tâche Rôle moins privilégié Autres rôles
Configurer la marque de société Administrateur de la personnalisation organisationnelle
Lire toute la configuration Lecteurs d’annuaire Rôle d’utilisateur par défaut

Connect

Tâche Rôle moins privilégié Autres rôles
Authentification directe Administrateur d’identité hybride
Lire toute la configuration Lecteur général Administrateur d’identité hybride
Authentification unique transparente Administrateur d’identité hybride

Connect Sync

Tâche Rôle moins privilégié Autres rôles
Gérer la synchronisation d’annuaires locaux Administrateur d’identité hybride

Approvisionnement cloud

Tâche Rôle moins privilégié Autres rôles
Authentification directe Administrateur d’identité hybride
Lire toute la configuration Lecteur général Administrateur d’identité hybride
Authentification unique transparente Administrateur d’identité hybride

Connect Health

Tâche Rôle moins privilégié Autres rôles
Ajouter ou supprimer des services Propriétaire
Appliquer des correctifs à une erreur de synchronisation Contributeur Propriétaire
Configurer les notifications Contributeur Propriétaire
Configurer les paramètres Propriétaire
Configurer les notifications de synchronisation Contributeur Propriétaire
Lire les rapports de sécurité ADFS Lecteur de sécurité Contributeur
Propriétaire
Lire toute la configuration Lecteur Contributeur
Propriétaire
Lire les erreurs de synchronisation Lecteur Contributeur
Propriétaire
Lire les services de synchronisation Lecteur Contributeur
Propriétaire
Afficher les métriques et les alertes Lecteur Contributeur
Propriétaire
Afficher les métriques et les alertes Lecteur Contributeur
Propriétaire
Afficher les métriques et les alertes de service de synchronisation Lecteur Contributeur
Propriétaire

Noms de domaine personnalisés

Tâche Rôle moins privilégié Autres rôles
Gérer des domaines Administrateur de nom de domaine
Lire toute la configuration Lecteurs d’annuaire Rôle d’utilisateur par défaut

Services de domaine

Tâche Rôle moins privilégié Autres rôles
Créer des instances Microsoft Entra Domain Services Administrateur d’application
Administrateur de groupes
Contributeur aux services de domaine
Effectuer toutes les tâches de Microsoft Entra Domain Services Groupe Administrateurs AAD DC
Lire toute la configuration Lecteur sur l’abonnement Azure contenant le service AD DS

Appareils

Applications d’entreprise

Tâche Rôle moins privilégié Autres rôles
Donner son consentement aux autorisations déléguées Administrateur d’application cloud Administrateur d’application
Donner son consentement à des autorisations d’application n’incluant pas Microsoft Graph Administrateur d’application cloud Administrateur d’application
Donner son consentement aux autorisations d’application pour Microsoft Graph Administrateur de rôle privilégié
Donner son consentement aux applications qui accèdent à leurs données Rôle d’utilisateur par défaut
Créer une application d’entreprise Administrateur d’application cloud Administrateur d’application
Gérer le proxy d’application Administrateur d’application
Lire la révision d’accès d’un groupe ou d’une application Lecteur de sécurité Administrateur de la sécurité
Administrateur d’utilisateurs
Lire toute la configuration Rôle d’utilisateur par défaut
Mettre à jour les attributions d’application d’entreprise Propriétaire d’application d’entreprise Administrateur d’application cloud
Administrateur d’application
Administrateur d’utilisateurs
Mettre à jour les propriétaires d’application d’entreprise Propriétaire d’application d’entreprise Administrateur d’application cloud
Administrateur d’application
Mettre à jour les propriétés d’une application d’entreprise Propriétaire d’application d’entreprise Administrateur d’application cloud
Administrateur d’application
Mettre à jour l’approvisionnement d’une application d’entreprise Propriétaire d’application d’entreprise Administrateur d’application cloud
Administrateur d’application
Mettre à jour le libre-service d’une application d’entreprise Propriétaire d’application d’entreprise Administrateur d’application cloud
Administrateur d’application
Mettre à jour les propriétés de l’authentification unique Propriétaire d’application d’entreprise Administrateur d’application cloud
Administrateur d’application
Créer et modifier des extensions d’authentification personnalisées Administrateur d’extensibilité de l’authentification Administrateur d’application

Gestion des droits d’utilisation

Tâche Rôle moins privilégié Autres rôles
Ajouter des ressources à un catalogue Administrateur Identity Governance Avec la gestion des droits d’utilisation, vous pouvez déléguer cette tâche au propriétaire du catalogue
Ajouter des sites SharePoint Online au catalogue Administrateur SharePoint

Groupes

Tâche Rôle moins privilégié Autres rôles
Attribuer une licence Administrateur d’utilisateurs
Créer un groupe Administrateur de groupes Administrateur d’utilisateurs
Créer, mettre à jour ou supprimer la révision d’accès d’un groupe ou d’une application Administrateur d’utilisateurs
Gérer l’expiration des groupes Administrateur d’utilisateurs
Gérer les paramètres de groupe Administrateur de groupes Administrateur d’utilisateurs
Lire toutes les configurations (à l’exception de l’appartenance masquée) Lecteurs d’annuaire Rôle d’utilisateur par défaut
Lire l’appartenance masquée Membre de groupe Propriétaire de groupe
Administrateur de mot de passe
Administrateur Exchange
Administrateur SharePoint
Administrateur Teams
Administrateur d’utilisateurs
Lire l’appartenance des groupes avec une appartenance masquée Administrateur du support technique Administrateur d’utilisateurs
Administrateur Teams
Révoquer une licence Administrateur de licence Administrateur d’utilisateurs
Mettre à jour les groupes d’appartenance dynamique Propriétaire de groupe Administrateur d’utilisateurs
Mettre à jour les propriétaires de groupe Propriétaire de groupe Administrateur d’utilisateurs
Mettre à jour les propriétés de groupe Propriétaire de groupe Administrateur d’utilisateurs
Suppression d’un groupe Administrateur de groupes Administrateur d’utilisateurs

Licences

Tâche Rôle moins privilégié Autres rôles
Attribuer une licence Administrateur de licence Administrateur d’utilisateurs
Lire toute la configuration Lecteurs d’annuaire Rôle d’utilisateur par défaut
Révoquer une licence Administrateur de licence Administrateur d’utilisateurs
Tester ou acheter un abonnement Administrateur de facturation

Microsoft Entra Health

Tâche Rôle moins privilégié Autres rôles
Afficher les signaux de surveillance des scénarios Lecteur de rapports Lecteur de sécurité
Opérateur de sécurité
Administrateur de la sécurité
Administrateur du support technique
Lecteur général

Protection des ID Microsoft Entra

Tâche Rôle moins privilégié Autres rôles
Configurer des notifications d’alerte Administrateur de la sécurité
Configurer et activer ou désactiver la stratégie MFA Administrateur de la sécurité
Configurer et activer ou désactiver la stratégie de connexion à risque Administrateur de la sécurité
Configurer et activer ou désactiver la stratégie d’utilisateur à risque Administrateur de la sécurité
Configurer des synthèses hebdomadaires Administrateur de la sécurité
Ignorer toutes les détections de risques Administrateur de la sécurité
Corriger ou ignorer des vulnérabilités Administrateur de la sécurité
Lire toute la configuration Lecteur de sécurité
Lire toutes les détections de risques Lecteur de sécurité
Lire les vulnérabilités Lecteur de sécurité

Surveillance et intégrité – Journaux d’audit

Tâche Rôle moins privilégié Autres rôles
Lire les journaux d’audit Lecteur de rapports Lecteur de sécurité
Administrateur de la sécurité

Surveillance et intégrité – Journaux de connexion

Tâche Rôle moins privilégié Autres rôles
Lire les journaux d’activité de connexion Lecteur de rapports Lecteur de sécurité
Administrateur de la sécurité
Lecteur général

Surveillance et intégrité - Journaux d’approvisionnement

Surveillance et intégrité – Recommandations

Authentification multifacteur

Tâche Rôle moins privilégié Autres rôles
Supprimer tous les mots de passe d’application existants qui ont été générés par les utilisateurs sélectionnés Administrateur de la stratégie d’authentification Administrateur d’authentification
Désactiver la MFA par utilisateur Administrateur d’authentification Administrateur d’authentification privilégié
Activer MFA par utilisateur Administrateur d’authentification Administrateur d’authentification privilégié
Gérer les paramètres du service MFA Administrateur de la stratégie d’authentification
Demander aux utilisateurs sélectionnés de fournir à nouveau des méthodes de contact Administrateur d’authentification
Restaurer l’authentification multifacteur pour tous les appareils mémorisés Administrateur d’authentification

Serveur MFA

Tâche Rôle moins privilégié Autres rôles
Blocage/déblocage des utilisateurs Administrateur de la stratégie d’authentification
Configurer le verrouillage de compte Administrateur de la stratégie d’authentification
Configurer les règles de mise en cache Administrateur de la stratégie d’authentification
Configurer l’alerte de fraude Administrateur de la stratégie d’authentification
Configurer les notifications Administrateur de la stratégie d’authentification
Configurer un contournement à usage unique Administrateur de la stratégie d’authentification
Configurer les paramètres d’appel téléphonique Administrateur de la stratégie d’authentification
Configurer des fournisseurs Administrateur de la stratégie d’authentification
Configurez les paramètres du serveur Administrateur de la stratégie d’authentification
Lire un rapport d’activité Lecteur général
Lire toute la configuration Lecteur général
Lire l’état du serveur Lecteur général

Relations organisationnelles

Tâche Rôle moins privilégié Autres rôles
Gérer les fournisseurs d’identité Administrateur de fournisseurs d’identité externes
Lire toute la configuration Lecteur général

Réinitialisation de mot de passe

Tâche Rôle moins privilégié Autres rôles
Configurer les méthodes d’authentification Administrateur de la stratégie d’authentification
Configurer la personnalisation Administrateur de la stratégie d’authentification
Configurer la notification Administrateur de la stratégie d’authentification
Configurer l’intégration locale Administrateur de la stratégie d’authentification
Configurer les propriétés de la réinitialisation de mot de passe Administrateur d’utilisateurs Administrateur de la stratégie d’authentification
Configurer l’inscription Administrateur de la stratégie d’authentification
Lire toute la configuration Administrateur de la sécurité Administrateur d’utilisateurs

Gestion des autorisations

Qu’est-ce que la gestion des autorisations Microsoft Entra

Tâche Rôle moins privilégié Autres rôles
Intégration des clients Administrateur de gestion des autorisations
Intégrer les environnements cloud Administrateur de gestion des autorisations
Attribuer des autorisations dans la Gestion des autorisations Microsoft Entra Administrateur de gestion des autorisations
Démarrer l’essai et acheter des licences de la gestion des autorisations Microsoft Entra Administrateur de facturation

Privileged Identity Management

Tâche Rôle moins privilégié Autres rôles
Affecter des utilisateurs aux rôles Administrateur de rôle privilégié
Configurer les paramètres de rôle Administrateur de rôle privilégié
Afficher l’activité d’audit Lecteur de sécurité
Afficher les appartenances aux rôles Lecteur de sécurité

Rôles et administrateurs

Tâche Rôle moins privilégié Autres rôles
Gérer les attributions de rôles Administrateur de rôle privilégié
Révision d’accès en lecture d’un rôle Microsoft Entra Lecteur de sécurité Administrateur de la sécurité
Administrateur de rôle privilégié
Lire toute la configuration Rôle d’utilisateur par défaut

Sécurité – Méthodes d’authentification

Tâche Rôle moins privilégié Autres rôles
Activer ou désactiver des méthodes d’authentification Administrateur de la stratégie d’authentification
Afficher, approvisionner au nom d’une personne et gérer des méthodes d’authentification individuelles des utilisateurs Administrateur d’authentification Administrateur d’authentification privilégié
Configurer la protection par mot de passe Administrateur de la sécurité
Configurer le verrouillage intelligent Administrateur de la sécurité
Lire toute la configuration Lecteur général

Sécurité – Accès conditionnel

Tâche Rôle moins privilégié Autres rôles
Configurer des adresses IP approuvées MFA Administrateur de l’accès conditionnel
Créer des contrôles personnalisés Administrateur de l’accès conditionnel Administrateur de la sécurité
Créer des emplacements nommés Administrateur de l’accès conditionnel Administrateur de la sécurité
Créer des stratégies Administrateur de l’accès conditionnel Administrateur de la sécurité
Créer des conditions d’utilisation Administrateur de l’accès conditionnel Administrateur de la sécurité
Créer un certificat de connectivité VPN Administrateur d’application cloud Administrateur d’application
Supprimer une stratégie classique Administrateur de l’accès conditionnel Administrateur de la sécurité
Supprimer des conditions d’utilisation Administrateur de l’accès conditionnel Administrateur de la sécurité
Supprimer un certificat de connectivité VPN Administrateur de l’accès conditionnel Administrateur de la sécurité
Désactiver une stratégie classique Administrateur de l’accès conditionnel Administrateur de la sécurité
Gérer des contrôles personnalisés Administrateur de l’accès conditionnel Administrateur de la sécurité
Gérer des emplacements nommés Administrateur de l’accès conditionnel Administrateur de la sécurité
Gérer les conditions d’utilisation Administrateur de l’accès conditionnel Administrateur de la sécurité
Lire toute la configuration Rôle d’utilisateur par défaut
Lire des emplacements nommés Rôle d’utilisateur par défaut

Sécurité - Score de sécurité d’identité

Tâche Rôle moins privilégié Autres rôles
Lire toute la configuration Lecteur de sécurité Administrateur de la sécurité
Lire un score de sécurité Lecteur de sécurité Administrateur de la sécurité
Mettre à jour l’état d’un événement Administrateur de la sécurité

Sécurité - Connexions à risque

Tâche Rôle moins privilégié Autres rôles
Lire toute la configuration Lecteur de sécurité
Lire les connexions à risque Lecteur de sécurité

Sécurité - Utilisateurs avec indicateur de risque

Tâche Rôle moins privilégié Autres rôles
Ignorer tous les événements Administrateur de la sécurité
Lire toute la configuration Lecteur de sécurité
Lire les utilisateurs avec indicateur de risque Lecteur de sécurité

Passe d’accès temporaire

Tâche Rôle moins privilégié Autres rôles
Créer, supprimer ou afficher un passe d’accès temporaire pour les administrateurs ou les membres (sauf eux-mêmes) Administrateur d’authentification privilégié
Créer, supprimer ou afficher un passe d’accès temporaire pour les membres (sauf eux-mêmes) Administrateur d’authentification
Afficher les détails d’un passe d’accès temporaire pour un utilisateur (sans lire le code lui-même) Lecteur général
Configurer ou mettre à jour la stratégie de méthode d’authentification par passe d’accès temporaire Administrateur de la stratégie d’authentification

Client

Tâche Rôle moins privilégié Autres rôles
Créez un client Microsoft Entra ID ou Azure AD B2C Créateur du client
Mettre à jour les propriétés de client Microsoft Entra Administrateur de facturation
Gérer la déclaration de confidentialité et le contact Administrateur de facturation

Utilisateurs

Tâche Rôle moins privilégié Autres rôles
Ajouter un utilisateur à un rôle d’annuaire Administrateur de rôle privilégié
Ajouter un utilisateur à un groupe Administrateur d’utilisateurs
Attribuer une licence Administrateur de licence Administrateur d’utilisateurs
Créer un utilisateur invité Inviteur d’invités Administrateur d’utilisateurs
Réinitialiser l’invitation d’un utilisateur invité Administrateur du support technique Administrateur d’utilisateurs
Créer un utilisateur Administrateur d’utilisateurs
Suppression d’utilisateurs Administrateur d’utilisateurs
Invalider les jetons d’actualisation des administrateurs limités Administrateur d’utilisateurs
Invalider les jetons d’actualisation des non-administrateurs Administrateur du support technique Administrateur d’utilisateurs
Invalider les jetons d’actualisation des administrateurs privilégiés Administrateur d’authentification privilégié
Lire la configuration de base Rôle d’utilisateur par défaut
Réinitialiser le mot de passe pour les administrateurs limités Administrateur d’utilisateurs
Réinitialiser le mot de passe des non-administrateurs Administrateur de mot de passe Administrateur d’utilisateurs
Réinitialiser le mot de passe des administrateurs privilégiés Administrateur d’authentification privilégié
Révoquer une licence Administrateur de licence Administrateur d’utilisateurs
Mettre à jour toutes les propriétés, sauf le nom d’utilisateur principal Administrateur d’utilisateurs
Mettre à jour la propriété de synchronisation locale activée Administrateur d’identité hybride
Mettre à jour le nom d’utilisateur principal pour les administrateurs limités Administrateur d’utilisateurs
Mettre à jour la propriété Nom d’utilisateur principal sur les administrateurs privilégiés Administrateur d’authentification privilégié
Mettre à jour les paramètres utilisateur – Autorisations de rôle d’utilisateur par défaut Administrateur de rôle privilégié
Mettre à jour les paramètres utilisateur – Accès des utilisateurs invités Administrateur de rôle privilégié
Mettre à jour les paramètres utilisateur – Centre d’administration Administrateur général
Mettre à jour les paramètres utilisateur – Connexions des comptes LinkedIn Administrateur général
Mettre à jour les paramètres utilisateur – Demander à l’utilisateur s’il veut rester connecté Administrateur général
Mettre à jour les méthodes d’authentification Administrateur d’authentification Administrateur d’authentification privilégié

Support

Étapes suivantes