Partage via


Rôles intégrés Microsoft Entra

Dans Microsoft Entra ID, si un autre administrateur ou non administrateur doit gérer des ressources Microsoft Entra, vous lui attribuez un rôle Microsoft Entra qui fournit les autorisations dont il a besoin. Par exemple, vous pouvez attribuer des rôles pour permettre l’ajout ou la modification d’utilisateurs, la réinitialisation des mots de passe des utilisateurs, la gestion des licences d’utilisation ou la gestion des noms de domaine.

Cet article répertorie les rôles intégrés Microsoft Entra que vous pouvez affecter pour permettre la gestion des ressources Microsoft Entra. Pour obtenir des informations sur la procédure d’attribution de rôles, consultez Attribuer des rôles Microsoft Entra aux utilisateurs. Si vous recherchez des rôles pour gérer les ressources Azure, consultez Rôles intégrés Azure.

Tous les rôles

Role Description ID de modèle
Administrateur d’application Peut créer et gérer tous les aspects des inscriptions d’applications et des applications d’entreprise.
Icône d’étiquette de privilège.
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Développeur d’applications Peut créer des inscriptions d’applications indépendamment du paramètre « Les utilisateurs peuvent inscrire des applications ».
Icône d’étiquette de privilège.
cf1c38e5-3621-4004-a7cb-879624dced7c
Auteur de charge utile d'attaque Peut créer des charges utiles d’attaque qu’un administrateur peut lancer plus tard. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Administrateur de simulation d'attaque Peut créer et gérer tous les aspects des campagnes de simulation d'attaque. c430b396-e693-46cc-96f3-db01bf8bb62a
Administrateur de l’attribution des attributs Affecter des clés et des valeurs d’attributs de sécurité personnalisés aux objets Microsoft Entra pris en charge. 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
Lecteur d’attribution d’attributs Lire les clés et valeurs d’attributs de sécurité personnalisés pour les objets Microsoft Entra pris en charge. ffd52fa5-98dc-465c-991d-fc073eb59f8f
Administrateur de définition d’attribut Définir et gérer la définition des attributs de sécurité personnalisés. 8424c6f0-a189-499e-bbd0-26c1753c96d4
Lecteur de définition d’attribut Lire la définition des attributs de sécurité personnalisés. 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
Administrateur du journal d’attributs Lisez les journaux d’audit et configurez les paramètres de diagnostic pour les événements liés aux attributs de sécurité personnalisés. 5b784334-f94b-471a-a387-e7219fc49ca2
Lecteur du journal des attributs Lisez les journaux d’audit liés aux attributs de sécurité personnalisés. 9c99539d-8186-4804-835f-fd51ef9e2dcd
Administrateur d’authentification Peut accéder pour afficher, définir et réinitialiser les informations de méthode d’authentification pour tout utilisateur non administrateur.
Icône d’étiquette de privilège.
c4e39bd9-1100-46d3-8c65-fb160da0071f
Administrateur d’extensibilité de l’authentification Personnaliser les expériences de connexion et d’inscription pour les utilisateurs en créant et en gérant des extensions d’authentification personnalisées.
Icône d’étiquette de privilège.
25a516ed-2fa0-40ea-a2d0-12923a21473a
Administrateur de la stratégie d’authentification Peut créer et gérer la stratégie relative aux méthodes d'authentification, les paramètres d'authentification multifacteur à l'échelle du locataire, la stratégie de protection par mot de passe et les justificatifs vérifiables. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Administrateur Azure DevOps Peut gérer des stratégies et des paramètres Azure DevOps. e3973bdf-4987-49ae-837a-ba8e231c7286
Administrateur Azure Information Protection Peut gérer tous les aspects du produit Azure Information Protection. 7495fdc4-34c4-4d15-a289-98788ce399fd
Administrateur de jeux de clés B2C IEF Peut gérer les secrets pour la fédération et le chiffrement dans Identity Experience Framework (IEF).
Icône d’étiquette de privilège.
aaf43236-0c0d-4d5f-883a-6955382ac081
Administrateur de stratégies B2C IEF Peut créer et gérer les stratégies de framework de confiance dans Identity Experience Framework (IEF). 3edaf663-341e-4475-9f94-5c398ef6c070
Administrateur de facturation Peut effectuer des tâches de facturation courantes, comme la mise à jour des informations de paiement. b0f54661-2d74-4c50-afa3-1ec803f12efe
Administrateur de sécurité d’application cloud Peut gérer tous les aspects du produit Defender for Cloud Apps 892c5842-a9a6-463a-8041-72aa08ca3cf6
Administrateur d’application cloud Peut créer et gérer tous les aspects des inscriptions d’applications et des applications d’entreprise, à l’exception du proxy d’application.
Icône d’étiquette de privilège.
158c047a-c907-4556-b7ef-446551a6b5f7
Administrateur d’appareil cloud Accès limité pour gérer les appareils dans Microsoft Entra ID.
Icône d’étiquette de privilège.
7698a772-787b-4ac8-901f-60d6b08affd2
Administrateur de conformité Peut lire et gérer la configuration de la conformité et les rapports dans Microsoft Entra ID et Microsoft 365. 17315797-102d-40b4-93e0-432062caca18
Administrateur des données de conformité Crée et gère le contenu de conformité. e6d1a23a-da11-4be4-9570-befc86d067a7
Administrateur de l’accès conditionnel Peut gérer les fonctionnalités d’accès conditionnel.
Icône d’étiquette de privilège.
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Approbateur d’accès à Customer LockBox Peut approuver les demandes de support Microsoft pour accéder aux données organisationnelles du client. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Administrateur Desktop Analytics Peut utiliser et gérer des services et outils de gestion de bureau. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Lecteurs de répertoire Peut lire les informations d’annuaire de base. Couramment utilisé pour accorder à l’annuaire l’accès en lecture aux applications et aux invités. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Comptes de synchronisation d’annuaires Utilisé uniquement par le service Microsoft Entra Connect. d29b2b05-8046-44ba-8758-1e26182fcf32
Enregistreurs de répertoire Peut lire et écrire des informations d’annuaire de base. Pour accorder l’accès aux applications, non destiné aux utilisateurs.
Icône d’étiquette de privilège.
9360feb5-f418-4baa-8175-e2a00bac4301
Administrateur de nom de domaine Peut gérer les noms de domaine dans le cloud et localement.
Icône d’étiquette de privilège.
8329153b-31d0-4727-b945-745eb3bc5f31
Administrateur Dynamics 365 Peut gérer tous les aspects du produit Dynamics 365. 44367163-eba1-44c3-98af-f5787879f96a
Administrateur Dynamics 365 Business Central Accédez à tous les environnements Dynamics 365 Business Central et effectuez toutes les tâches d’administration. 963797fb-eb3b-4cde-8ce3-5878b3f32a3f
Administrateur Edge Gérez tous les aspects de Microsoft Edge. 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Administrateur Exchange Peut gérer tous les aspects du produit Exchange. 29232cdf-9323-42fd-ade2-1d097af3e4de
Administrateur des destinataires Exchange Peut créer ou mettre à jour des destinataires Exchange Online dans l’organisation Exchange Online. 31392ffb-586c-42d1-9346-e59415a2cc4e
Administrateur de flux d’utilisateurs ID externe Peut créer et gérer tous les aspects des flux utilisateur. 6e591065-9bad-43ed-90f3-e9424366d2f0
Administrateur d’attribut de flux d’utilisateurs ID externe Peut créer et gérer le schéma d’attribut disponible pour tous les flux utilisateur. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Administrateur de fournisseurs d’identité externes Peut configurer les fournisseurs d’identité pour une utilisation dans la fédération directe.
Icône d’étiquette de privilège.
be2f45a1-457d-42af-a067-6ec1fa63bc45
Administrateur Fabric Peut gérer tous les aspects des produits Fabric et Power BI. a9ea8996-122f-4c74-9520-8edcd192826c
Administrateur général Peut gérer tous les aspects de Microsoft Entra ID et des services Microsoft qui utilisent des identités Microsoft Entra.
Icône d’étiquette de privilège.
62e90394-69f5-4237-9190-012177145e10
Lecteur général Peut lire tous les éléments comme un administrateur général, mais ne peut pas mettre à jour.
Icône d’étiquette de privilège.
f2ef992c-3afb-46b9-b7cf-a126ee74c451
Rôle Administrateur d’accès global sécurisé Créez et gérez tous les aspects de l’accès Internet Microsoft Entra et des accès privés Microsoft Entra, notamment la gestion de l’accès aux points de terminaison publics et privés. ac434307-12b9-4fa1-a708-88bf58caabc1
Administrateur de groupes Les membres de ce rôle peuvent créer/gérer des groupes, créer/gérer des paramètres de groupes tels que des stratégies de nommage et d’expiration, ainsi qu’afficher des rapports d’activité et d’audit de groupes. fdd7a751-b60b-444a-984c-02652fe8fa1c
Inviteur d’invités Peut inviter des utilisateurs invités indépendamment du paramètre « Les membres peuvent inviter des invités ». 95e79109-95c0-4d8e-aee3-d01accf2d47b
Administrateur du support technique Peut réinitialiser des mots de passe pour les utilisateurs non-administrateurs et les administrateurs du support technique.
Icône d’étiquette de privilège.
729827e3-9c14-49f7-bb1b-9608f156bbb8
Administrateur d’identité hybride Gérez l’approvisionnement cloud d’Active Directory vers Microsoft Entra, Microsoft Entra Connect, l’authentification directe (PTA), la synchronisation de hachage du mot de passe (PHS), l’authentification unique transparente (Seamless SSO) et les paramètres de fédération. N’a pas accès à la gestion de Microsoft Entra Connect Health.
Icône d’étiquette de privilège.
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Administrateur Identity Governance Gérer l’accès à l’aide de Microsoft Entra ID pour les scénarios de gouvernance des identités. 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Administrateur Insights Dispose d’un accès administratif dans l’application Microsoft 365 Insights. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Analyste Insights Accédez aux fonctionnalités analytiques de Microsoft Viva Insights et exécutez des requêtes personnalisées. 25df335f-86eb-4119-b717-0ff02de207e9
Leader d’entreprise Insights Peut afficher et partager des tableaux de bord et des insights par le biais de l’application Microsoft 365 Insights. 31e939ad-9672-4796-9c2e-873181342d2d
Administrateur Intune Peut gérer tous les aspects du produit Intune.
Icône d’étiquette de privilège.
3a2c62db-5318-420d-8d74-23affee5d9d5
Administrateur Kaizala Peut gérer les paramètres de Microsoft Kaizala. 74ef975b-6605-40af-a5d2-b9539d836353
Administrateur des connaissances Peut configurer les connaissances, l’apprentissage et d’autres fonctionnalités intelligentes. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Gestionnaire des connaissances Peut organiser, créer, gérer et promouvoir des rubriques et des connaissances. 744ec460-397e-42ad-a462-8b3f9747a02c
Administrateur de licence Peut gérer les licences de produit pour les utilisateurs et les groupes. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Administrateur des workflows de cycle de vie Créer et gérez tous les aspects des workflows et des tâches associés aux workflows de cycle de vie dans Microsoft Entra ID.
Icône d’étiquette de privilège.
59d46f88-662b-457b-bceb-5c3809e5908f
Lecteur de confidentialité du Centre de messages Peut lire les messages et les mises à jour de sécurité uniquement dans le Centre de messages Office 365. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Lecteur du Centre de messages Peut lire les messages et les mises à jour de son organisation dans le Centre de messages Office 365 uniquement. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Administrateur(-trice) de migration Microsoft 365 Exécuter toutes les fonctionnalités de migration pour migrer le contenu vers Microsoft 365 à l’aide du gestionnaire de migration. 8c8b803f-96e1-4129-9349-20738d9f9652
Administrateur local de l’appareil joint à Microsoft Entra Les utilisateurs dotés de ce rôle sont ajoutés au groupe d’administrateurs locaux sur des appareils joints à Microsoft Entra. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Administrateur de la garantie du matériel Microsoft Créer et gérer tous les aspects des revendications et droits d’utilisation du matériel de fabrication Microsoft, comme Surface et HoloLens. 1501b917-7653-4ff9-a4b5-203eaf33784f
Spécialiste de la garantie du matériel Microsoft Créer et lire les revendications de garantie pour le matériel de fabrication Microsoft, comme Surface et HoloLens. 281fe777-fb20-4fbb-b7a3-ccebce5b0d96
Administrateur de Commerce moderne Peut gérer les achats commerciaux d’une société, d’un service ou d’une équipe. d24aef57-1500-4070-84db-2666f29cf966
Administrateur réseau Peut gérer les emplacements réseau et passer en revue les insights sur la conception réseau de l’entreprise pour les applications Software as a Service Microsoft 365. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Administrateur d’applications Office Peut gérer les services cloud des applications Office, notamment la gestion des stratégies et des paramètres, et gérer la possibilité de sélectionner, de désélectionner et de publier le contenu de la fonctionnalité « Nouveautés » sur les appareils de l’utilisateur final. 2b745bdf-0803-4d80-aa65-822c4493daac
Administrateur de la personnalisation organisationnelle Gérez tous les aspects de la personnalisation organisationnelle dans un tenant. 92ed04bf-c94a-4b82-9729-b799a7a4c178
Approbateur de messages organisationnels Passez en revue, approuvez ou rejetez de nouveaux messages organisationnels pour la distribution dans le centre d’administration Microsoft 365 avant qu’ils ne soient envoyés aux utilisateurs. e48398e2-f4bb-4074-8f31-4586725e205b
Enregistreur de messages organisationnels Écrire, publier, gérer et examiner les messages organisationnels pour les utilisateurs finaux à travers les produits Microsoft Surface. 507f53e4-4e52-4077-abd3-d2e1558b6ea2
Prise en charge de niveau 1 de partenaire Ne pas utiliser - non destiné à une utilisation générale.
Icône d’étiquette de privilège.
4ba39ca4-527c-499a-b93d-d9b492c50246
Prise en charge de niveau 2 de partenaire Ne pas utiliser - non destiné à une utilisation générale.
Icône d’étiquette de privilège.
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Administrateur de mots de passe Peut réinitialiser les mots de passe pour les utilisateurs non administrateurs et les administrateurs de mot de passe.
Icône d’étiquette de privilège.
966707d0-3269-4727-9be2-8c3a10f19b9d
Administrateur de gestion des autorisations Gérer tous les aspects de la gestion des autorisations Microsoft Entra. af78dc32-cf4d-46f9-ba4e-4428526346b5
Administrateur de plateforme Power Peut créer et gérer tous les aspects de Microsoft Dynamics 365, Power Apps et Power Automate. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Administrateur d’imprimantes Peut gérer tous les aspects des imprimantes et des connecteurs d’imprimantes. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Technicien en charge des imprimantes Peut inscrire et désinscrire des imprimantes et mettre à jour l’état de l’imprimante. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Administrateur d’authentification privilégié Peut afficher, définir et réinitialiser les informations de méthode d’authentification pour tout utilisateur (administrateur ou non administrateur).
Icône d’étiquette de privilège.
7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Administrateur de rôle privilégié Peut gérer les attributions de rôles dans Microsoft Entra ID, et tous les aspects de Privileged Identity Management.
Icône d’étiquette de privilège.
e8611ab8-c189-46e8-94e1-60213ab1f814
Lecteur de rapports Peut lire les rapports d’audit et sur les connexions. 4a5d8f65-41da-4de4-8968-e035b65339cf
Administrateur de recherche Peut créer et gérer tous les aspects des paramètres de Recherche Microsoft. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Éditeur de recherche Peut créer et gérer le contenu éditorial comme les signets, les questions et réponses, les emplacements et les plans d’étage. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Administrateur de la sécurité Peut lire des rapports et des informations de sécurité, ainsi que gérer la configuration dans Microsoft Entra ID et Office 365.
Icône d’étiquette de privilège.
194ae4cb-b126-40b2-bd5b-6091b380977d
Opérateur de sécurité Crée et gère les événements de sécurité.
Icône d’étiquette de privilège.
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Lecteur de sécurité Peut lire des rapports et des informations de sécurité dans Microsoft Entra ID et Office 365.
Icône d’étiquette de privilège.
5d6b6bb7-de71-4623-b4af-96380a352509
Administrateur de support de service Peut lire des informations sur l’intégrité du service et gérer les tickets de support. f023fd81-a637-4b56-95fd-791ac0226033
Administrateur SharePoint Peut gérer tous les aspects du service SharePoint. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Administrateur SharePoint Embedded Gérez tous les aspects des conteneurs SharePoint Embedded. 1a7d78b6-429f-476b-b8eb-35fb715fffd4
Administrateur Skype Entreprise Peut gérer tous les aspects du produit Skype Entreprise. 75941009-915a-4869-abe7-691bff18279e
Administrateur Teams Peut gérer le service Microsoft Teams. 69091246-20e8-4a56-aa4d-066075b2a7a8
Administrateur des communications Teams Peut gérer les fonctionnalités d’appel et de réunion au sein du service Microsoft Teams. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Ingénieur de support des communications Teams Peut résoudre les problèmes de communication au sein de Teams à l’aide d’outils avancés. f70938a0-fc10-4177-9e90-2178f8765737
Spécialiste du support des communications Teams Peut résoudre les problèmes de communication au sein de Teams à l’aide d’outils de base. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Administrateur d’appareils Teams Peut effectuer des tâches d’administration sur des appareils certifiés Teams. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Administrateur de téléphonie Teams Gérez les fonctionnalités vocales et de téléphonie et résolvez les problèmes de communication au sein du service Microsoft Teams. aa38014f-0993-46e9-9b45-30501a20909d
Créateur du locataire Créer de nouveaux locataires Microsoft Entra ou Azure AD B2C. 112ca1a2-15ad-4102-995e-45b0bc479a6a
Lecteur de rapports de synthèse sur l'utilisation Lit les rapports d’utilisation et le score d’adoption, mais ne peut pas accéder aux détails de l’utilisateur. 75934031-6c7e-415a-99d7-48dbd49e875e
Administrateur d’utilisateurs Peut gérer tous les aspects des utilisateurs et groupes, notamment la réinitialisation des mots de passe pour les administrateurs limités.
Icône d’étiquette de privilège.
fe930be7-5e62-47db-91af-98c3a49a38b1
Responsable de l’expérience utilisateur Consultez les commentaires sur les produits, les résultats d’enquêtes et les rapports pour trouver des possibilités de formation et de communication. 27460883-1df1-4691-b032-3b79643e5e63
Administrateur de visites virtuelles Gérez et partagez les informations et les métriques de Virtual Visits à partir des centres d’administration ou de l’application Virtual Visits. e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Administrateur Viva Goals Gérez et configurez tous les aspects de Microsoft Viva Goals. 92b086b3-e367-4ef2-b869-1de128fb986e
Administrateur Viva Pulse Peut gérer tous les paramètres de l’application Microsoft Viva Pulse. 87761b17-1ed2-4af3-9acd-92a150038160
Administrateur Windows 365 Peut provisionner et gérer tous les aspects des PC cloud. 11451d60-acb2-45eb-a7d6-43d0f0125c13
Administrateur des déploiements de mise à jour Windows Peut créer et gérer tous les aspects des déploiements Windows Update par le biais du service de déploiement Windows Update pour Entreprise. 32696413-001a-46ae-978c-ce0f6b3620d2
Administrateur Yammer Gérez tous les aspects du service Yammer. 810a2642-a034-447f-a5e8-41beaa378541

Administrateur d’application

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Les utilisateurs dans ce rôle peuvent créer et gérer tous les aspects des applications d’entreprise, des inscriptions d’application et des paramètres de proxy d’application. Notez que les utilisateurs affectés à ce rôle ne sont pas ajoutés en tant que propriétaires lorsque des inscriptions d’applications ou des applications d’entreprise sont créées.

Ce rôle accorde également la possibilité de donner son consentement pour les autorisations déléguées et les autorisations d’application, à l’exception des autorisations d’application pour Azure AD Graph et Microsoft Graph.

Important

Cette exception signifie que vous pouvez toujours donner votre consentement aux autorisations d’application pour d’autres applications (par exemple, d’autres applications Microsoft, applications tierces ou applications que vous avez inscrites). Vous pouvez toujours demander ces autorisations dans le cadre de l’inscription de l’application, mais accorder (autrement dit, consentir à) ces autorisations nécessite un administrateur plus privilégié, tel que l’administrateur de rôle privilégié.

Ce rôle permet de gérer des informations d’identification d’application. Les utilisateurs auxquels ce rôle a été attribué peuvent ajouter des informations d’identification à une application et les utiliser pour emprunter l’identité de l’application. Si l’identité de l’application a obtenu l’accès à une ressource, telle que la possibilité de créer ou de mettre à jour un utilisateur ou d’autres objets, un utilisateur auquel ce rôle a été attribué peut effectuer ces actions en empruntant l’identité de l’application. Cette capacité à emprunter l’identité de l’application peut correspondre une élévation de privilèges que l’utilisateur réalise dans ses attributions de rôle. Il est important de comprendre que l’affectation d’un utilisateur au rôle Administrateur d’applications lui donne la possibilité d’emprunter l’identité d’une application.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Gérer les stratégies de demande de consentement administrateur dans Microsoft Entra ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read Lire toutes les propriétés des demandes de consentement pour les applications inscrites auprès de Microsoft Entra ID
microsoft.directory/applicationPolicies/basic/update Mettre à jour les propriétés standard des stratégies d’application
microsoft.directory/applicationPolicies/create Créer des stratégies d’application
microsoft.directory/applicationPolicies/delete Supprimer des stratégies d’application
microsoft.directory/applicationPolicies/owners/read Lire les propriétaires des stratégies d’application
microsoft.directory/applicationPolicies/owners/update Mettre à jour la propriété Owner des stratégies d’application
microsoft.directory/applicationPolicies/policyAppliedTo/read Lire les stratégies d’application appliquées à la liste d’objets
microsoft.directory/applicationPolicies/standard/read Lire les propriétés standard des stratégies d’application
microsoft.directory/applications/applicationProxyAuthentication/update Mettre à jour l’authentification sur tous les types d’applications
microsoft.directory/applications/applicationProxy/read Lire toutes les propriétés du proxy d’application
microsoft.directory/applications/applicationProxySslCertificate/update Mettre à jour les paramètres de certificat SSL pour le proxy d’application
microsoft.directory/applications/applicationProxy/update Mettre à jour toutes les propriétés du proxy d’application
microsoft.directory/applications/applicationProxyUrlSettings/update Mettre à jour les paramètres d’URL pour le proxy d’application
microsoft.directory/applications/appRoles/update Mettre à jour la propriété appRoles sur tous les types d’applications
microsoft.directory/applications/audience/update Mettre à jour la propriété audience pour les applications
microsoft.directory/applications/authentication/update Mettre à jour l’authentification sur tous les types d’applications
microsoft.directory/applications/basic/update Mettre à jour les propriétés de base pour les applications
microsoft.directory/applications/create Créer tous les types d’applications
microsoft.directory/applications/credentials/update Mettre à jour les informations d’identification d’application
Icône d’étiquette de privilège.
microsoft.directory/applications/delete Supprimer tous les types d’applications
microsoft.directory/applications/extensionProperties/update Mettre à jour les propriétés d’extension sur les applications
microsoft.directory/applications/notes/update Mettre à jour les notes d’applications
microsoft.directory/applications/owners/update Mettre à jour les propriétaires d’applications
microsoft.directory/applications/permissions/update Mettre à jour les autorisations exposées et les autorisations requises sur tous les types d’applications
microsoft.directory/applications/policies/update Mettre à jour les stratégies d’applications
microsoft.directory/applications/synchronization/standard/read Lire les paramètres de provisionnement associés à l’objet application
microsoft.directory/applications/tag/update Mettre à jour les balises d’applications
microsoft.directory/applications/verification/update Mettre à jour la propriété applicationsverification
microsoft.directory/applicationTemplates/instantiate Instancier des applications de la galerie à partir de modèles d’application
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés sur les journaux d’audit, à l’exception des journaux d’audit des attributs de sécurité personnalisés
microsoft.directory/connectorGroups/allProperties/read Lire toutes les propriétés des groupes de connecteurs de réseau privé
microsoft.directory/connectorGroups/allProperties/update Mettre à jour toutes les propriétés des groupes de connecteurs de réseau privé
microsoft.directory/connectorGroups/create Créer des groupes de connecteurs de réseau privé
microsoft.directory/connectorGroups/delete Supprimer des groupes de connecteurs de réseau privé
microsoft.directory/connectors/allProperties/read Lire toutes les propriétés des connecteurs de réseau privé
microsoft.directory/connectors/create Créer des connecteurs de réseau privé
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Créer et gérer des extensions d’authentification personnalisées
Icône d’étiquette de privilège.
microsoft.directory/deletedItems.applications/delete Supprimer définitivement les applications qui ne peuvent plus être restaurées
microsoft.directory/deletedItems.applications/restore Restaurer les applications supprimées de manière réversible à l’état d’origine
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Créer et supprimer des octrois d’autorisations OAuth 2.0, et lire et mettre à jour toutes les propriétés
Icône d’étiquette de privilège.
microsoft.directory/provisioningLogs/allProperties/read Lire toutes les propriétés des journaux de provisionnement
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Mettre à jour les attributions de rôles des principaux de service
microsoft.directory/servicePrincipals/audience/update Mettre à jour les propriétés d’audience sur les principaux de service
microsoft.directory/servicePrincipals/authentication/update Mettre à jour les propriétés d’authentification sur les principaux de service
microsoft.directory/servicePrincipals/basic/update Mettre à jour les propriétés de base sur les principaux de service
microsoft.directory/servicePrincipals/create Créer des principaux de service
microsoft.directory/servicePrincipals/credentials/update Mettre à jour informations d’identification des principaux de service
Icône d’étiquette de privilège.
microsoft.directory/servicePrincipals/delete Supprimer des principaux de service
microsoft.directory/servicePrincipals/disable Désactiver des principaux de service
microsoft.directory/servicePrincipals/enable Activer des principaux de service
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Gérer les informations d’identification de l’authentification unique par mot de passe sur les principaux de service
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Lire les informations d’identification de l’authentification unique par mot de passe sur les principaux de service
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Consentir des permissions d’application et des permissions déléguées pour le compte d’un utilisateur ou de tous les utilisateurs, à l’exclusion des permissions d’application pour Microsoft Graph
microsoft.directory/servicePrincipals/notes/update Mettre à jour les notes de principaux de service
microsoft.directory/servicePrincipals/owners/update Mettre à jour les propriétaires de principaux de service
microsoft.directory/servicePrincipals/permissions/update Mettre à jour les autorisations des principaux de service
microsoft.directory/servicePrincipals/policies/update Mettre à jour les stratégies des principaux de service
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gérez les secrets et les informations d’identification de l’approvisionnement des applications.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Démarrez, redémarrez et suspendez les travaux de synchronisation de l’approvisionnement des applications.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Créez et gérez le schéma et les tâches de synchronisation de l’approvisionnement des applications.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gérer les secrets et les informations d’identification de l’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronizationJobs/manage Démarrez, redémarrez et suspendez les travaux de synchronisation de l’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronizationSchema/manage Créez et gérez le schéma et les tâches de synchronisation de l’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronization/standard/read Lire les paramètres de provisionnement associés au principal de service
microsoft.directory/servicePrincipals/tag/update Mettre à jour la propriété Tag pour les principaux de service
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Développeur d’applications

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Les utilisateurs dans ce rôle peuvent créer des inscriptions d’application quand le paramètre « Les utilisateurs peuvent inscrire des applications » est défini sur Non. Ce rôle octroie aussi l’autorisation de donner son consentement en son propre nom lorsque le paramètre « Les utilisateurs peuvent autoriser les applications à accéder aux données de l’entreprise en leur nom » est défini sur Non. Les utilisateurs affectés à ce rôle sont ajoutés en tant que propriétaires lorsque de nouvelles inscriptions d’applications sont créées.

Actions Description
microsoft.directory/applications/createAsOwner Créer tous les types d’applications, le créateur étant ajouté comme premier propriétaire
microsoft.directory/oAuth2PermissionGrants/createAsOwner Créer des octrois d’autorisation OAuth 2.0, avec le créateur comme premier propriétaire
Icône d’étiquette de privilège.
microsoft.directory/servicePrincipals/createAsOwner Créer des principaux de service, avec le créateur comme premier propriétaire

Auteur de charge utile d'attaque

Les utilisateurs disposant de ce rôle peuvent créer des charges utiles d'attaque, mais pas les lancer ou les programmer. Les charges utiles d'attaque sont ensuite à la disposition de tous les administrateurs du locataire, qui peuvent les utiliser pour créer une simulation.

Pour plus d’informations, consultez Autorisations Microsoft Defender pour Office 365 dans le portail Microsoft 365 Defender et les Autorisations dans le portail de conformité Microsoft Purview.

Actions Description
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Créer et gérer des charges utiles d’attaque dans le Simulateur d’attaques
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Lire les rapports de simulation d’attaque, les réponses et la formation associée

Administrateur de simulation d'attaque

Les utilisateurs disposant de ce rôle peuvent créer et gérer tous les aspects de la création d'une simulation d'attaque, du lancement ou de la planification d'une simulation, et de l'examen des résultats d'une simulation. Les membres de ce rôle ont accès à toutes les simulations du locataire.

Pour plus d’informations, consultez Autorisations Microsoft Defender pour Office 365 dans le portail Microsoft 365 Defender et les Autorisations dans le portail de conformité Microsoft Purview.

Actions Description
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Créer et gérer des charges utiles d’attaque dans le Simulateur d’attaques
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Lire les rapports de simulation d’attaque, les réponses et la formation associée
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Créer et gérer des modèles de simulation d’attaque dans le Simulateur d’attaques

Administrateur de l’attribution des attributs

Les utilisateurs dotés de ce rôle peuvent attribuer et supprimer des clés et des valeurs d’attributs de sécurité personnalisés pour les objets Microsoft Entra pris en charge, tels que les utilisateurs, les principaux de service et les appareils.

Par défaut, les rôles Administrateur général et d’autres d’administrateur ne sont pas autorisés à lire, à définir ou à assigner des attributs de sécurité personnalisés. Pour utiliser des attributs de sécurité personnalisés, vous devez disposer de l’un des rôles d’attributs de sécurité personnalisés.

Pour plus d’informations, consultez Gérer l’accès aux attributs de sécurité personnalisés dans Microsoft Entra ID.

Actions Description
microsoft.directory/attributeSets/allProperties/read Lit toutes les propriétés des jeux d’attributs
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Lire les valeurs d’attribut de sécurité personnalisées pour les identités managées Microsoft Entra
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update Mettre à jour les valeurs d’attribut de sécurité personnalisées pour les identités managées Microsoft Entra
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Lit toutes les propriétés des définitions d’attributs de sécurité personnalisés
microsoft.directory/devices/customSecurityAttributes/read Lit les valeurs d’attributs de sécurité personnalisés pour les appareils
microsoft.directory/devices/customSecurityAttributes/update Met à jour les valeurs d’attributs de sécurité personnalisés pour les appareils
microsoft.directory/servicePrincipals/customSecurityAttributes/read Lit les valeurs d’attributs de sécurité personnalisés pour les principaux de service
microsoft.directory/servicePrincipals/customSecurityAttributes/update Met à jour les valeurs d’attributs de sécurité personnalisés pour les principaux de service
microsoft.directory/users/customSecurityAttributes/read Lit les valeurs d’attributs de sécurité personnalisés pour les utilisateurs
microsoft.directory/users/customSecurityAttributes/update Met à jour les valeurs d’attributs de sécurité personnalisés pour les utilisateurs

Lecteur d’attribution d’attributs

Les utilisateurs dotés de ce rôle peuvent lire des clés et des valeurs d’attributs de sécurité personnalisés pour les objets Microsoft Entra pris en charge.

Par défaut, les rôles Administrateur général et d’autres d’administrateur ne sont pas autorisés à lire, à définir ou à assigner des attributs de sécurité personnalisés. Pour utiliser des attributs de sécurité personnalisés, vous devez disposer de l’un des rôles d’attributs de sécurité personnalisés.

Pour plus d’informations, consultez Gérer l’accès aux attributs de sécurité personnalisés dans Microsoft Entra ID.

Actions Description
microsoft.directory/attributeSets/allProperties/read Lit toutes les propriétés des jeux d’attributs
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Lire les valeurs d’attribut de sécurité personnalisées pour les identités managées Microsoft Entra
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Lit toutes les propriétés des définitions d’attributs de sécurité personnalisés
microsoft.directory/devices/customSecurityAttributes/read Lit les valeurs d’attributs de sécurité personnalisés pour les appareils
microsoft.directory/servicePrincipals/customSecurityAttributes/read Lit les valeurs d’attributs de sécurité personnalisés pour les principaux de service
microsoft.directory/users/customSecurityAttributes/read Lit les valeurs d’attributs de sécurité personnalisés pour les utilisateurs

Administrateur de définition d’attribut

Les utilisateurs dotés de ce rôle peuvent définir un ensemble valide d’attributs de sécurité personnalisés pouvant être affectés aux objets Microsoft Entra pris en charge. Ce rôle peut également activer et désactiver des attributs de sécurité personnalisés.

Par défaut, les rôles Administrateur général et d’autres d’administrateur ne sont pas autorisés à lire, à définir ou à assigner des attributs de sécurité personnalisés. Pour utiliser des attributs de sécurité personnalisés, vous devez disposer de l’un des rôles d’attributs de sécurité personnalisés.

Pour plus d’informations, consultez Gérer l’accès aux attributs de sécurité personnalisés dans Microsoft Entra ID.

Actions Description
microsoft.directory/attributeSets/allProperties/allTasks Gérer tous les aspects des jeux d’attributs
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks Gérer tous les aspects des définitions d’attributs de sécurité personnalisés

Lecteur de définition d’attribut

Les utilisateurs dotés de ce rôle peuvent lire la définition des attributs de sécurité personnalisés.

Par défaut, les rôles Administrateur général et d’autres d’administrateur ne sont pas autorisés à lire, à définir ou à assigner des attributs de sécurité personnalisés. Pour utiliser des attributs de sécurité personnalisés, vous devez disposer de l’un des rôles d’attributs de sécurité personnalisés.

Pour plus d’informations, consultez Gérer l’accès aux attributs de sécurité personnalisés dans Microsoft Entra ID.

Actions Description
microsoft.directory/attributeSets/allProperties/read Lit toutes les propriétés des jeux d’attributs
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Lit toutes les propriétés des définitions d’attributs de sécurité personnalisés

Administrateur du journal d’attributs

Attribuez le rôle Lecteur du journal d’attribut aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Lire les journaux d’audit pour les modifications de valeurs d’attribut de sécurité personnalisées
  • Lire les journaux d’audit pour les modifications et affectations d’attributs de sécurité personnalisées
  • Configurer les paramètres de diagnostic pour les attributs de sécurité personnalisés

Les utilisateurs disposant de ce rôle ne peuvent pas lire les journaux d’audit pour d’autres événements.

Par défaut, le rôle Administrateur général et d’autres rôles d’administrateur ne sont pas autorisés à lire les journaux d’audit des attributs de sécurité personnalisés. Pour lire les journaux d’audit des attributs de sécurité personnalisés, vous devez être affecté à ce rôle ou au rôle Lecteur du journal des attributs.

Pour plus d’informations, consultez Gérer l’accès aux attributs de sécurité personnalisés dans Microsoft Entra ID.

Actions Description
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks Configurer tous les aspects des paramètres de diagnostic des attributs de sécurité personnalisés
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Lire les journaux d’audit liés aux attributs de sécurité personnalisés

Lecteur du journal des attributs

Attribuez le rôle Lecteur du journal d’attribut aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Lire les journaux d’audit pour les modifications de valeurs d’attribut de sécurité personnalisées
  • Lire les journaux d’audit pour les modifications et affectations d’attributs de sécurité personnalisées

Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :

  • Configurer les paramètres de diagnostic pour les attributs de sécurité personnalisés
  • Lire les journaux d’audit pour d’autres événements

Par défaut, le rôle Administrateur général et d’autres rôles d’administrateur ne sont pas autorisés à lire les journaux d’audit des attributs de sécurité personnalisés. Pour lire les journaux d’audit pour les attributs de sécurité personnalisés, vous devez avoir ce rôle ou le rôle Administrateur du journal des attributs.

Pour plus d’informations, consultez Gérer l’accès aux attributs de sécurité personnalisés dans Microsoft Entra ID.

Actions Description
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Lire les journaux d’audit liés aux attributs de sécurité personnalisés

Administrateur d’authentification

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Affectez le rôle d’administrateur d’authentification aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Définir ou réinitialiser toute méthode d’authentification (y compris les mots de passe) pour les non-administrateurs et certains rôles. Pour obtenir la liste des rôles pour lesquels un administrateur d’authentification peut lire ou mettre à jour les méthodes d’authentification, consultez Qui peut réinitialiser les mots de passe.
  • Obliger les utilisateurs qui ne sont pas administrateurs ou affectés à certains rôles à se réinscrire avec des informations d’identification sans mot de passe existantes (par exemple, MFA, FIDO) et peuvent également révoquer la mémorisation de l’authentification multifacteur sur l’appareil, ce qui permet de demander une authentification multifacteur lors de la prochaine connexion.
  • Gérez les paramètres de l’authentification multifacteur dans le portail de gestion hérité de l’authentification multifacteur.
  • Effectuer des actions sensibles pour certains utilisateurs. Pour plus d’informations, consultez Qui peut effectuer des actions sensibles.
  • Créer et gérer des tickets de support dans Azure AD et le Centre d’administration Microsoft 365.

Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :

  • Ne peuvent pas modifier les informations d’identification ou réinitialiser l’authentification multifacteur pour les membres et les propriétaires d’un groupe auquel un rôle est assignable.
  • Impossible de gérer les jetons matériels OATH.

Le tableau suivant compare les fonctionnalités des rôles associés à l’authentification.

Rôle Gérer les méthodes d’authentification de l’utilisateur Gérer l’authentification multifacteur par utilisateur Gérer les paramètres de l’authentification multifacteur Gérer la stratégie de méthode d’authentification Gérer la stratégie de protection par mot de passe Mettre à jour les propriétés sensibles Supprimer et restaurer des utilisateurs
Administrateur d’authentification Oui pour certains utilisateurs Oui pour certains utilisateurs Oui No Non Oui pour certains utilisateurs Oui pour certains utilisateurs
Administrateur d’authentification privilégié Oui pour tous les utilisateurs Oui pour tous les utilisateurs Non Non Non Oui pour tous les utilisateurs Oui pour tous les utilisateurs
Administrateur de la stratégie d’authentification Non Oui Oui Oui Oui No Non
Administrateur d’utilisateurs Non Non Non Non Non Oui pour certains utilisateurs Oui pour certains utilisateurs

Important

Les utilisateurs auxquels ce rôle est assigné peuvent changer les informations d’identification des personnes susceptibles d’avoir accès à des informations sensibles ou privées ou à des configurations critiques à l’intérieur et à l’extérieur de Microsoft Entra ID. Changer les informations d’identification d’un utilisateur peut signifier la capacité d’assumer l’identité et les autorisations de cet utilisateur. Par exemple :

  • Les propriétaires d’inscription d’application et d’application d’entreprise, qui peuvent gérer les informations d’identification des applications qu’ils possèdent. Ces applications peuvent disposer d’autorisations privilégiées dans Microsoft Entra ID et ailleurs qui ne sont pas accordées aux administrateurs d’authentification. Par ce biais, un administrateur d’authentification peut assumer l’identité d’un propriétaire d’application, puis d’assumer l’identité d’une application privilégiée en mettant à jour les identifiants de celle-ci.
  • Propriétaires d’abonnement Azure, qui peuvent avoir accès à des informations confidentielles ou privées ou à une configuration critique dans Azure.
  • Propriétaires de groupe de sécurité et de groupe Microsoft 365, qui peuvent gérer l’appartenance à un groupe. Ces groupes peuvent accorder l’accès à des informations sensibles ou privées ou à une configuration critique dans Microsoft Entra ID et ailleurs.
  • Les administrateurs relevant d’autres services en dehors de Microsoft Entra ID, tels que Exchange Online, le portail Microsoft 365 Defender, le portail de conformité Microsoft Purview et les systèmes de ressources humaines.
  • Les non-administrateurs comme les cadres supérieurs, les conseillers juridiques et les employés des ressources humaines qui peuvent avoir accès à des informations sensibles ou privées.
Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/deletedItems.users/restore Restaurer les utilisateurs ayant fait l’objet d’une suppression réversible à leur état d’origine
microsoft.directory/users/authenticationMethods/basic/update Mettre à jour les propriétés de base des méthodes d’authentification pour les utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/authenticationMethods/create Mettre à jour les méthodes d’authentification pour les utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/authenticationMethods/delete Supprimer les méthodes d’authentification pour les utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/authenticationMethods/standard/restrictedRead Lire les propriétés standard des méthodes d’authentification qui n’incluent pas d’informations d’identification personnelle d’utilisateurs
microsoft.directory/users/basic/update Mettre à jour les propriétés de base sur les utilisateurs
microsoft.directory/users/delete Suppression d’utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/disable Désactiver des utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/enable Activer des utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/invalidateAllRefreshTokens Forcer la déconnexion en invalidant les jetons d’actualisation de l’utilisateur
Icône d’étiquette de privilège.
microsoft.directory/users/manager/update Mettre à jour le gestionnaire pour les utilisateurs
microsoft.directory/users/password/update Réinitialiser les mots de passe de tous les utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/restore Restaurer les utilisateurs supprimés
microsoft.directory/users/userPrincipalName/update Mettre à jour le nom d’utilisateur principal des utilisateurs
Icône d’étiquette de privilège.
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur d’extensibilité d’authentification

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Attribuez le rôle Administrateur d’extensibilité d’authentification aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Créer et gérer tous les aspects des extensions d’authentification personnalisées.

Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :

  • Ne peuvent pas affecter d’extensions d’authentification personnalisées à des applications pour modifier les expériences d’authentification, et ne peuvent ni consentir à des autorisations d’application ni créer des inscriptions d’application associées à l’extension d’authentification personnalisée. Au lieu de cela, vous devez utiliser le rôle Administrateur d’application, Développeur d’applications ou Administrateur d’application cloud.

Une extension d’authentification personnalisée est un point de terminaison d’API créé par un développeur pour des événements d’authentification. Elle est inscrite dans Microsoft Entra ID. Les administrateurs et propriétaires d’applications peuvent utiliser des extensions d’authentification personnalisées pour personnaliser les expériences d’authentification de leurs applications, notamment la connexion, l’inscription ou la réinitialisation de mot de passe.

En savoir plus

Actions Description
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Créer et gérer des extensions d’authentification personnalisées
Icône d’étiquette de privilège.

Administrateur de la stratégie d’authentification

Affectez le rôle d’administrateur de stratégie d’authentification aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Configurer la stratégie des méthodes d’authentification, les paramètres MFA au niveau du locataire et la stratégie de protection par mot de passe qui déterminent les méthodes que chaque utilisateur peut inscrire et utiliser.
  • Gérer les paramètres de protection par mot de passe : les configurations de verrouillage intelligent et la mise à jour de la liste des mots de passe interdits personnalisés.
  • Gérez les paramètres de l’authentification multifacteur dans le portail de gestion hérité de l’authentification multifacteur.
  • Créer et gérer des justificatifs vérifiables.
  • Créez et gérez les tickets de support Azure.

Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :

Le tableau suivant compare les fonctionnalités des rôles associés à l’authentification.

Rôle Gérer les méthodes d’authentification de l’utilisateur Gérer l’authentification multifacteur par utilisateur Gérer les paramètres de l’authentification multifacteur Gérer la stratégie de méthode d’authentification Gérer la stratégie de protection par mot de passe Mettre à jour les propriétés sensibles Supprimer et restaurer des utilisateurs
Administrateur d’authentification Oui pour certains utilisateurs Oui pour certains utilisateurs Oui No Non Oui pour certains utilisateurs Oui pour certains utilisateurs
Administrateur d’authentification privilégié Oui pour tous les utilisateurs Oui pour tous les utilisateurs Non Non Non Oui pour tous les utilisateurs Oui pour tous les utilisateurs
Administrateur de la stratégie d’authentification Non Oui Oui Oui Oui No Non
Administrateur d’utilisateurs Non Non Non Non Non Oui pour certains utilisateurs Oui pour certains utilisateurs
Actions Description
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/organization/strongAuthentication/allTasks Gérer tous les aspects des propriétés d’authentification fortes d’une organisation
microsoft.directory/userCredentialPolicies/basic/update Mettre à jour les stratégies de base pour les utilisateurs
microsoft.directory/userCredentialPolicies/create Créer des stratégies d’informations d’identification pour les utilisateurs
microsoft.directory/userCredentialPolicies/delete Supprimer des stratégies d’informations d’identification pour les utilisateurs
microsoft.directory/userCredentialPolicies/owners/read Lire les propriétaires des stratégies d’informations d’identification pour les utilisateurs
microsoft.directory/userCredentialPolicies/owners/update Mettre à jour les propriétaires de stratégies d’informations d’identification pour les utilisateurs
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Lire le lien de navigation policy.appliesTo
microsoft.directory/userCredentialPolicies/standard/read Lire les propriétés standard des stratégies d’informations d’identification pour les utilisateurs
microsoft.directory/userCredentialPolicies/tenantDefault/update Mettre à jour la propriété policy.isOrganizationDefault
microsoft.directory/verifiableCredentials/configuration/allProperties/read Lire la configuration requise pour créer et gérer des justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/allProperties/update Mettre à jour la configuration requise pour créer et gérer des justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Lire un contrat de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Mettre à jour un contrat de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Lire une carte de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Révoquer une carte de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/create Créer un contrat de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/create Créer la configuration requise pour créer et gérer des justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/delete Supprimer la configuration requise pour créer et gérer des justificatifs vérifiables et supprimer tous ses justificatifs vérifiables

Administrateur Azure DevOps

Les utilisateurs dotés de ce rôle peuvent gérer toutes les stratégies Azure DevOps de l’entreprise, applicables à toutes les organisations Azure DevOps bénéficiant de Microsoft Entra ID. Les utilisateurs dotés de ce rôle peuvent gérer cette stratégie en accédant à n’importe quelle organisation Azure DevOps bénéficiant de l’instance Microsoft Entra ID de l’entreprise. En outre, les utilisateurs dotés de ce rôle peuvent revendiquer la propriété des organisations Azure DevOps orphelines. Ce rôle n’accorde aucune autre autorisation spécifique à Azure DevOps (par exemple, administrateur de collections de projets) au sein de l’une des organisations Azure DevOps prises en charge par l’organisation Microsoft Entra de l’entreprise.

Actions Description
microsoft.azure.devOps/allEntities/allTasks Lire et configurer Azure DevOps

Administrateur Azure Information Protection

Les utilisateurs avec ce rôle ont toutes les autorisations dans le service Azure Information Protection. Ce rôle permet de configurer les étiquettes pour la stratégie Azure Information Protection, de gérer les modèles de protection et d’activer la protection. Ce rôle n’octroie aucune autorisation dans Protection des ID Microsoft Entra, Privileged Identity Management, Monitor Microsoft 365 Service Health, le portail Microsoft 365 Defender, ni dans le portail de conformité Microsoft Purview.

Actions Description
microsoft.azure.informationProtection/allEntities/allTasks Gérer tous les aspects d’Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/authorizationPolicy/standard/read Lire les propriétés standard de la stratégie d’autorisation
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de jeux de clés B2C IEF

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. L’utilisateur peut créer et gérer des clés et secrets de stratégie pour le chiffrement des jetons, la signatures des jetons et le chiffrement/déchiffrement des revendications. En ajoutant de nouvelles clés aux conteneurs de clés existants, cet administrateur limité peut substituer des secrets en fonction des besoins sans affecter les applications existantes. Cet utilisateur peut voir le contenu complet de ces secrets et leurs dates d’expiration, même après leur création.

Important

Il s’agit d’un rôle sensible. Le rôle d’administrateur de jeux de clés doit être soigneusement audité et attribué avec précaution pendant les périodes de préproduction et de production.

Actions Description
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Lire et configurer des jeux de clés dans Azure Active Directory B2C
Icône d’étiquette de privilège.

Administrateur de stratégies B2C IEF

Les utilisateurs assignés à ce rôle ont la possibilité de créer, lire, mettre à jour et supprimer toutes les stratégies personnalisées dans Azure AD B2C, et donc de contrôler totalement la plateforme Identity Experience Framework dans l’organisation Azure AD B2C concernée. En modifiant les stratégies, cet utilisateur peut établir une fédération directe avec des fournisseurs d’identité externes, modifier le schéma d’annuaire, modifier tout le contenu visible par l’utilisateur (HTML, CSS et JavaScript), modifier les exigences liées à une authentification, créer des utilisateurs, envoyer des données utilisateur à des systèmes externes, notamment des migrations complètes, et modifier toutes les informations utilisateur, notamment des champs sensibles comme les mots de passe et les numéros de téléphone. À l’inverse, ce rôle ne peut pas modifier les clés de chiffrement ou modifier les secrets utilisés pour la fédération dans l’organisation.

Important

L’administrateur de stratégies B2C IEF est un rôle très sensible qui doit être attribué de manière très limitée pour les organisations en production. Les activités de ces utilisateurs doivent faire l’objet d’un audit précis, en particulier pour les organisations en production.

Actions Description
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Lire et configurer des stratégies personnalisées dans Azure Active Directory B2C

Administrateur de facturation

Effectue les achats, gère les abonnements, gère les tickets de support et supervise l’intégrité du service.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.commerce.billing/allEntities/allProperties/allTasks Gérer tous les aspects de la facturation Office 365
microsoft.directory/organization/basic/update Mettre à jour des propriétés de base sur une organisation
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de sécurité d’application cloud

Les utilisateurs dotés de ce rôle disposent d’autorisations complètes dans Defender for Cloud Apps. Ils peuvent ajouter des administrateurs, ajouter des stratégies et des paramètres Microsoft Defender for Cloud Apps, charger des journaux et effectuer des actions de gouvernance.

Actions Description
microsoft.directory/cloudAppSecurity/allProperties/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard dans Microsoft Defender for Cloud Apps
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur d'applications cloud

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Les utilisateurs dans ce rôle ont les mêmes autorisations que celles du rôle Administrateur d’application, sans la possibilité de gérer le proxy d’application. Ce rôle permet de créer et de gérer tous les aspects des applications d’entreprise et des inscriptions d’applications. Les utilisateurs affectés à ce rôle ne sont pas ajoutés en tant que propriétaires lorsque des inscriptions d’applications ou des applications d’entreprise sont créées.

Ce rôle accorde également la possibilité de donner son consentement pour les autorisations déléguées et les autorisations d’application, à l’exception des autorisations d’application pour Azure AD Graph et Microsoft Graph.

Important

Cette exception signifie que vous pouvez toujours donner votre consentement aux autorisations d’application pour d’autres applications (par exemple, d’autres applications Microsoft, applications tierces ou applications que vous avez inscrites). Vous pouvez toujours demander ces autorisations dans le cadre de l’inscription de l’application, mais accorder (autrement dit, consentir à) ces autorisations nécessite un administrateur plus privilégié, tel que l’administrateur de rôle privilégié.

Ce rôle permet de gérer des informations d’identification d’application. Les utilisateurs auxquels ce rôle a été attribué peuvent ajouter des informations d’identification à une application et les utiliser pour emprunter l’identité de l’application. Si l’identité de l’application a obtenu l’accès à une ressource, telle que la possibilité de créer ou de mettre à jour un utilisateur ou d’autres objets, un utilisateur auquel ce rôle a été attribué peut effectuer ces actions en empruntant l’identité de l’application. Cette capacité à emprunter l’identité de l’application peut correspondre une élévation de privilèges que l’utilisateur réalise dans ses attributions de rôle. Il est important de comprendre que l’affectation d’un utilisateur au rôle Administrateur d’applications lui donne la possibilité d’emprunter l’identité d’une application.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Gérer les stratégies de demande de consentement administrateur dans Microsoft Entra ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read Lire toutes les propriétés des demandes de consentement pour les applications inscrites auprès de Microsoft Entra ID
microsoft.directory/applicationPolicies/basic/update Mettre à jour les propriétés standard des stratégies d’application
microsoft.directory/applicationPolicies/create Créer des stratégies d’application
microsoft.directory/applicationPolicies/delete Supprimer des stratégies d’application
microsoft.directory/applicationPolicies/owners/read Lire les propriétaires des stratégies d’application
microsoft.directory/applicationPolicies/owners/update Mettre à jour la propriété Owner des stratégies d’application
microsoft.directory/applicationPolicies/policyAppliedTo/read Lire les stratégies d’application appliquées à la liste d’objets
microsoft.directory/applicationPolicies/standard/read Lire les propriétés standard des stratégies d’application
microsoft.directory/applications/appRoles/update Mettre à jour la propriété appRoles sur tous les types d’applications
microsoft.directory/applications/audience/update Mettre à jour la propriété audience pour les applications
microsoft.directory/applications/authentication/update Mettre à jour l’authentification sur tous les types d’applications
microsoft.directory/applications/basic/update Mettre à jour les propriétés de base pour les applications
microsoft.directory/applications/create Créer tous les types d’applications
microsoft.directory/applications/credentials/update Mettre à jour les informations d’identification d’application
Icône d’étiquette de privilège.
microsoft.directory/applications/delete Supprimer tous les types d’applications
microsoft.directory/applications/extensionProperties/update Mettre à jour les propriétés d’extension sur les applications
microsoft.directory/applications/notes/update Mettre à jour les notes d’applications
microsoft.directory/applications/owners/update Mettre à jour les propriétaires d’applications
microsoft.directory/applications/permissions/update Mettre à jour les autorisations exposées et les autorisations requises sur tous les types d’applications
microsoft.directory/applications/policies/update Mettre à jour les stratégies d’applications
microsoft.directory/applications/synchronization/standard/read Lire les paramètres de provisionnement associés à l’objet application
microsoft.directory/applications/tag/update Mettre à jour les balises d’applications
microsoft.directory/applications/verification/update Mettre à jour la propriété applicationsverification
microsoft.directory/applicationTemplates/instantiate Instancier des applications de la galerie à partir de modèles d’application
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés sur les journaux d’audit, à l’exception des journaux d’audit des attributs de sécurité personnalisés
microsoft.directory/deletedItems.applications/delete Supprimer définitivement les applications qui ne peuvent plus être restaurées
microsoft.directory/deletedItems.applications/restore Restaurer les applications supprimées de manière réversible à l’état d’origine
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Créer et supprimer des octrois d’autorisations OAuth 2.0, et lire et mettre à jour toutes les propriétés
Icône d’étiquette de privilège.
microsoft.directory/provisioningLogs/allProperties/read Lire toutes les propriétés des journaux de provisionnement
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Mettre à jour les attributions de rôles des principaux de service
microsoft.directory/servicePrincipals/audience/update Mettre à jour les propriétés d’audience sur les principaux de service
microsoft.directory/servicePrincipals/authentication/update Mettre à jour les propriétés d’authentification sur les principaux de service
microsoft.directory/servicePrincipals/basic/update Mettre à jour les propriétés de base sur les principaux de service
microsoft.directory/servicePrincipals/create Créer des principaux de service
microsoft.directory/servicePrincipals/credentials/update Mettre à jour informations d’identification des principaux de service
Icône d’étiquette de privilège.
microsoft.directory/servicePrincipals/delete Supprimer des principaux de service
microsoft.directory/servicePrincipals/disable Désactiver des principaux de service
microsoft.directory/servicePrincipals/enable Activer des principaux de service
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Gérer les informations d’identification de l’authentification unique par mot de passe sur les principaux de service
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Lire les informations d’identification de l’authentification unique par mot de passe sur les principaux de service
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Consentir des permissions d’application et des permissions déléguées pour le compte d’un utilisateur ou de tous les utilisateurs, à l’exclusion des permissions d’application pour Microsoft Graph
microsoft.directory/servicePrincipals/notes/update Mettre à jour les notes de principaux de service
microsoft.directory/servicePrincipals/owners/update Mettre à jour les propriétaires de principaux de service
microsoft.directory/servicePrincipals/permissions/update Mettre à jour les autorisations des principaux de service
microsoft.directory/servicePrincipals/policies/update Mettre à jour les stratégies des principaux de service
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gérez les secrets et les informations d’identification de l’approvisionnement des applications.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Démarrez, redémarrez et suspendez les travaux de synchronisation de l’approvisionnement des applications.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Créez et gérez le schéma et les tâches de synchronisation de l’approvisionnement des applications.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gérer les secrets et les informations d’identification de l’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronizationJobs/manage Démarrez, redémarrez et suspendez les travaux de synchronisation de l’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronizationSchema/manage Créez et gérez le schéma et les tâches de synchronisation de l’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronization/standard/read Lire les paramètres de provisionnement associés au principal de service
microsoft.directory/servicePrincipals/tag/update Mettre à jour la propriété Tag pour les principaux de service
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur d’appareil cloud

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Les utilisateurs dans ce rôle peuvent activer, désactiver et supprimer des appareils dans Microsoft Entra ID, et lire des clés BitLocker Windows 10 (le cas échéant) dans le portail Azure. Ce rôle ne permet pas de gérer d’autres propriétés sur l’appareil.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés sur les journaux d’audit, à l’exception des journaux d’audit des attributs de sécurité personnalisés
microsoft.directory/authorizationPolicy/standard/read Lire les propriétés standard de la stratégie d’autorisation
microsoft.directory/bitlockerKeys/key/read Lire les métadonnées et la clé BitLocker sur les appareils
Icône d’étiquette de privilège.
microsoft.directory/deletedItems.devices/delete Supprimer définitivement les appareils qui ne peuvent plus être restaurés
microsoft.directory/deletedItems.devices/restore Restaurer les appareils supprimés de manière réversible à l’état d’origine
microsoft.directory/deviceLocalCredentials/password/read Lire toutes les propriétés des informations d’identification du compte d’administrateur local sauvegardées pour les appareils joints à Microsoft Entra, y compris le mot de passe
microsoft.directory/deviceManagementPolicies/basic/update Mettre à jour les propriétés de base de la gestion des appareils mobiles et les stratégies de gestion des applications mobiles
Icône d’étiquette de privilège.
microsoft.directory/deviceManagementPolicies/standard/read Lire les propriétés standard de la gestion des appareils mobiles et les stratégies de gestion des applications mobiles
microsoft.directory/deviceRegistrationPolicy/basic/update Mettre à jour les propriétés de base des stratégies d’inscription d’appareil
Icône d’étiquette de privilège.
microsoft.directory/deviceRegistrationPolicy/standard/read Lire les propriétés standard sur les stratégies d’inscription des appareils
microsoft.directory/devices/delete Supprimer des périphériques de Microsoft Entra ID
microsoft.directory/devices/disable Désactiver des appareils dans Microsoft Entra ID
microsoft.directory/devices/enable Activer des appareils dans Microsoft Entra ID
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365

Administrateur de conformité

Les utilisateurs avec ce rôle disposent des autorisations pour gérer les fonctionnalités liées à la conformité dans le portail de conformité Microsoft Purview, le centre d’administration Microsoft 365, Azure et le portail Microsoft 365 Defender. Les personnes responsables peuvent également gérer toutes les fonctionnalités dans le centre d’administration Exchange et créer des tickets de support pour Azure et Microsoft 365. Pour plus d’informations, consultez Rôles et groupes de rôles dans Microsoft Defender pour Office 365 et conformité Microsoft Purview.

Dans Peut
Portail de conformité Microsoft Purview Protéger et gérer les données de votre organisation dans les services Microsoft 365
Gérer les alertes de conformité
Gestionnaire de conformité Microsoft Purview Suivre, affecter et vérifier les activités de conformité réglementaire de votre organisation
Portail Microsoft 365 Defender Gérer la gouvernance des données
Procéder à l'examen juridique des données
Gérer une requête d'objet de données

Ce rôle dispose des mêmes autorisations que le groupe de rôles Administrateur de conformité dans le contrôle d’accès en fonction du rôle (RBAC) du portail Microsoft 365 Defender.
Intune Afficher toutes les données d’audit Intune
Microsoft Defender for Cloud Apps Dispose d'autorisations en lecture seule et peut gérer les alertes
Peut créer et modifier les stratégies de fichier et autoriser des actions de gouvernance de fichier
Peut afficher tous les rapports intégrés sous Gestion des données
Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/entitlementManagement/allProperties/read Lire toutes les propriétés dans la gestion des droits d’utilisation de Microsoft Entra
microsoft.office365.complianceManager/allEntities/allTasks Gérez tous les aspects d’Office 365 Compliance Manager
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur des données de conformité

Les utilisateurs dotés de ce rôle sont autorisés à suivre les données dans le portail de conformité Microsoft Purview, le centre d’administration Microsoft 365 et Azure. Les utilisateurs peuvent également suivre les données de conformité dans le centre d’administration Exchange, le Gestionnaire de compatibilité, le centre d’administration Teams et Skype Entreprise, et créer des tickets de support pour Azure et Microsoft 365. Pour plus d’informations sur les différences entre l’administrateur de conformité et l’administrateur des données de conformité, consultez Rôles et groupes de rôles dans Microsoft Defender pour Office 365 et conformité Microsoft Purview.

Dans Peut
Portail de conformité Microsoft Purview Superviser les stratégies de conformité au sein des services Microsoft 365
Gérer les alertes de conformité
Gestionnaire de conformité Microsoft Purview Suivre, affecter et vérifier les activités de conformité réglementaire de votre organisation
Portail Microsoft 365 Defender Gérer la gouvernance des données
Procéder à l'examen juridique des données
Gérer une requête d'objet de données

Ce rôle dispose des mêmes autorisations que le groupe de rôles Administrateur des données de conformité dans le contrôle d’accès en fonction du rôle (RBAC) du portail Microsoft 365 Defender.
Intune Afficher toutes les données d’audit Intune
Microsoft Defender for Cloud Apps Dispose d'autorisations en lecture seule et peut gérer les alertes
Peut créer et modifier les stratégies de fichier et autoriser des actions de gouvernance de fichier
Peut afficher tous les rapports intégrés sous Gestion des données
Actions Description
microsoft.azure.informationProtection/allEntities/allTasks Gérer tous les aspects d’Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/authorizationPolicy/standard/read Lire les propriétés standard de la stratégie d’autorisation
microsoft.directory/cloudAppSecurity/allProperties/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard dans Microsoft Defender for Cloud Apps
microsoft.office365.complianceManager/allEntities/allTasks Gérez tous les aspects d’Office 365 Compliance Manager
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de l’accès conditionnel

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Les utilisateurs avec ce rôle ont la possibilité de gérer les paramètres d’accès conditionnel Microsoft Entra.

Actions Description
microsoft.directory/conditionalAccessPolicies/basic/update Mettre à jour les propriétés de base des stratégies d'accès conditionnel
microsoft.directory/conditionalAccessPolicies/create Créer des stratégies d’accès conditionnel
microsoft.directory/conditionalAccessPolicies/delete Supprimer les stratégies d'accès conditionnel
microsoft.directory/conditionalAccessPolicies/owners/read Lire les propriétaires des politiques d'accès conditionnel
microsoft.directory/conditionalAccessPolicies/owners/update Mettre à jour les propriétaires des stratégies d'accès conditionnel
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Lire la propriété "appliqué à" pour les stratégies d'accès conditionnel
microsoft.directory/conditionalAccessPolicies/standard/read Lire l'accès conditionnel pour les stratégies
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Mettre à jour le locataire par défaut pour les stratégies d'accès conditionnel
microsoft.directory/namedLocations/basic/update Mettre à jour des propriétés de base de règles personnalisées qui définissent des emplacements réseau
microsoft.directory/namedLocations/create Créer des règles personnalisées qui définissent des emplacements réseau
microsoft.directory/namedLocations/delete Supprimer des règles personnalisées qui définissent des emplacements réseau
microsoft.directory/namedLocations/standard/read Lire des propriétés de base de règles personnalisées qui définissent des emplacements réseau
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Mettre à jour le contexte d’authentification par accès conditionnel des actions de ressources de contrôle d’accès basé sur les rôles (RBAC) de Microsoft 365
Icône d’étiquette de privilège.

Approbateur d’accès à Customer LockBox

Gère les requêtes Customer Lockbox Microsoft Purview dans votre organisation. Il reçoit par e-mail des notifications ayant trait aux requêtes Customer Lockbox, et peut approuver ou refuser ces requêtes depuis le centre d'administration Microsoft 365. Il peut activer ou désactiver la fonctionnalité Customer Lockbox. Seuls les administrateurs généraux peuvent réinitialiser les mots de passe des personnes dotées de ce rôle.

Actions Description
microsoft.office365.lockbox/allEntities/allTasks Gérer tous les aspects de Customer Lockbox
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur Desktop Analytics

Les utilisateurs ayant ce rôle peuvent gérer le service Desktop Analytics. Ils ont notamment la possibilité d’afficher l’inventaire des ressources, de créer des plans de déploiement et de visualiser l’état du déploiement et de l’intégrité.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/authorizationPolicy/standard/read Lire les propriétés standard de la stratégie d’autorisation
microsoft.office365.desktopAnalytics/allEntities/allTasks Gérer tous les aspects de Desktop Analytics

Lecteurs de répertoires

Les utilisateurs de ce rôle peuvent lire des informations de base relatives aux répertoires. Ce rôle doit être utilisé pour :

  • Accorder à un ensemble spécifique d’utilisateurs invités un accès en lecture au lieu de l’accorder à tous les utilisateurs invités.
  • Accorder à un ensemble spécifique d’utilisateurs non-administrateurs l’accès au centre d’administration Microsoft Entra lorsque « Restreindre l’accès au Centre d’administration Microsoft Entra » est définie sur « Oui ».
  • Accorder un accès aux principaux de service au répertoire quand Directory.Read.All n’est pas possible.
Actions Description
microsoft.directory/administrativeUnits/members/read Lire les membres des unités administratives
microsoft.directory/administrativeUnits/standard/read Lire les propriétés de base sur les unités administratives
microsoft.directory/applicationPolicies/standard/read Lire les propriétés standard des stratégies d’application
microsoft.directory/applications/owners/read Lire les propriétaires d’applications
microsoft.directory/applications/policies/read Lire les stratégies d’applications
microsoft.directory/applications/standard/read Lire les propriétés standard des applications
microsoft.directory/contacts/memberOf/read Lire l’appartenance à un groupe pour tous les contacts dans Microsoft Entra ID
microsoft.directory/contacts/standard/read Lire les propriétés de base sur les contacts dans Microsoft Entra ID
microsoft.directory/contracts/standard/read Lire les propriétés de base sur les contrats de partenaire
microsoft.directory/devices/memberOf/read Lire les appartenances aux appareils
microsoft.directory/devices/registeredOwners/read Lire les propriétaires inscrits d’appareils
microsoft.directory/devices/registeredUsers/read Lire les utilisateurs inscrits d’appareils
microsoft.directory/devices/standard/read Lire les propriétés de base sur les appareils
microsoft.directory/directoryRoles/eligibleMembers/read Lire les membres éligibles des rôles Microsoft Entra
microsoft.directory/directoryRoles/members/read Lire tous les membres des rôles Microsoft Entra
microsoft.directory/directoryRoles/standard/read Lire les propriétés de base des rôles Microsoft Entra
microsoft.directory/domains/standard/read Lire les propriétés de base sur les domaines
microsoft.directory/groups/appRoleAssignments/read Lire les attributions de rôles d’application des groupes
microsoft.directory/groupSettings/standard/read Lire les propriétés de base sur des paramètres de groupe
microsoft.directory/groupSettingTemplates/standard/read Lire les propriétés de base sur des modèles de paramètres de groupe
microsoft.directory/groups/memberOf/read Lire la propriété memberOf des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle
microsoft.directory/groups/members/read Lire la propriété membres des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle
microsoft.directory/groups/owners/read Lire la propriété propriétaires des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle
microsoft.directory/groups/settings/read Lire les paramètres des groupes
microsoft.directory/groups/standard/read Lire les propriétés standard des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle
microsoft.directory/oAuth2PermissionGrants/standard/read Lire les propriétés de base sur les octrois d’autorisations OAuth 2.0
microsoft.directory/organization/standard/read Lire les propriétés de base sur une organisation
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Lire les autorités de certification approuvées pour l’authentification par mot de passe
microsoft.directory/roleAssignments/standard/read Lire les propriétés de base sur les attributions de rôles
microsoft.directory/roleDefinitions/standard/read Lire les propriétés de base sur les définitions de rôles
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Lire les attributions de rôles des principaux de service
microsoft.directory/servicePrincipals/appRoleAssignments/read Lire les attributions de rôles affectées aux principaux de service
microsoft.directory/servicePrincipals/memberOf/read Lire les appartenances aux groupes sur les principaux de service
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Lire les octrois d’autorisations déléguées sur les principaux de service
microsoft.directory/servicePrincipals/ownedObjects/read Lire les objets détenus des principaux de service
microsoft.directory/servicePrincipals/owners/read Lire les propriétaires des principaux de service
microsoft.directory/servicePrincipals/policies/read Lire les stratégies des principaux de service
microsoft.directory/servicePrincipals/standard/read Lire toutes les propriétés des principaux du service
microsoft.directory/subscribedSkus/standard/read Lire les propriétés de base sur les abonnements
microsoft.directory/users/appRoleAssignments/read Lire les attributions de rôle d’application des utilisateurs
microsoft.directory/users/deviceForResourceAccount/read Lire deviceForResourceAccount des utilisateurs
microsoft.directory/users/directReports/read Lire les collaborateurs directs des utilisateurs
microsoft.directory/users/invitedBy/read Lire l’utilisateur qui a invité un utilisateur externe à un locataire
microsoft.directory/users/licenseDetails/read Lire les détails de licence des utilisateurs
microsoft.directory/users/manager/read Lire les gestionnaires d’utilisateurs
microsoft.directory/users/memberOf/read Lire les appartenances aux groupes des utilisateurs
microsoft.directory/users/oAuth2PermissionGrants/read Lire les octrois d’autorisations déléguées sur les utilisateurs
microsoft.directory/users/ownedDevices/read Lire les appareils détenus des utilisateurs
microsoft.directory/users/ownedObjects/read Lire les objets détenus des utilisateurs
microsoft.directory/users/photo/read Lire la photo des utilisateurs
microsoft.directory/users/registeredDevices/read Lire les appareils inscrits des utilisateurs
microsoft.directory/users/scopedRoleMemberOf/read Lire l’appartenance d’un utilisateur à un rôle Microsoft Entra étendu à une unité administrative
microsoft.directory/users/sponsors/read Lire les sponsors des utilisateurs
microsoft.directory/users/standard/read Lire les propriétés de base sur les utilisateurs

Comptes de synchronisation d’annuaires

Ne pas utiliser. Ce rôle est automatiquement attribué au service Microsoft Entra Connect et n’est pas prévu ni pris en charge pour une autre utilisation.

Actions Description
microsoft.directory/onPremisesSynchronization/standard/read Lire et gérer des objets pour activer la synchronisation d’annuaires locale

Enregistreurs de répertoire

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Les utilisateurs de ce rôle peuvent lire et mettre à jour les informations de base des utilisateurs, des groupes et des principaux de service.

Actions Description
microsoft.directory/applications/extensionProperties/update Mettre à jour les propriétés d’extension sur les applications
microsoft.directory/contacts/create Créer des contacts
microsoft.directory/groups/assignLicense Attribuer des licences de produits à des groupes pour la gestion des licences basée sur un groupe
microsoft.directory/groups/basic/update Actualiser les propriétés de base des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/classification/update Actualiser les propriétés de classification des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/create Créer des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/dynamicMembershipRule/update Actualiser la règle d’adhésion dynamique des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groupSettings/basic/update Mettre à jour les propriétés de base sur les paramètres de groupe
microsoft.directory/groupSettings/create Créer des paramètres de groupe
microsoft.directory/groupSettings/delete Supprimer des paramètres de groupe
microsoft.directory/groups/groupType/update Actualiser les propriétés qui affectent le type de groupe des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/members/update Actualiser la propriété membres des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/onPremWriteBack/update Mettre à jour les groupes Microsoft Entra pour qu’ils soient réécrits localement avec Microsoft Entra Connect
microsoft.directory/groups/owners/update Actualiser la propriété propriétaires des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/reprocessLicenseAssignment Retraiter les attributions de licence pour la gestion des licences basée sur un groupe
microsoft.directory/groups/settings/update Mettre à jour les paramètres des groupes
microsoft.directory/groups/visibility/update Actualiser la propriété de visibilité des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/oAuth2PermissionGrants/basic/update Mettre à jour les octrois d’autorisations OAuth 2.0
Icône d’étiquette de privilège.
microsoft.directory/oAuth2PermissionGrants/create Créer des octrois d’autorisations OAuth 2.0
Icône d’étiquette de privilège.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Mettre à jour les attributions de rôles des principaux de service
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Gérez les informations d’identification et les secrets du provisionnement d’application d’un locataire cloud vers un locataire cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Démarrez, redémarrez et mettez en pause les travaux de synchronisation du provisionnement d’application d’un locataire cloud vers un locataire cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Créez et gérez le schéma et les travaux de synchronisation du provisionnement d’application d’un locataire cloud vers un locataire cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gérez les secrets et les informations d’identification de l’approvisionnement des applications.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Démarrez, redémarrez et suspendez les travaux de synchronisation de l’approvisionnement des applications.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Créez et gérez le schéma et les tâches de synchronisation de l’approvisionnement des applications.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gérer les secrets et les informations d’identification de l’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronizationJobs/manage Démarrez, redémarrez et suspendez les travaux de synchronisation de l’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronizationSchema/manage Créer et gérer le schéma et les tâches de synchronisation de l’approvisionnement des applications
microsoft.directory/users/assignLicense Gérer les licences utilisateur
microsoft.directory/users/basic/update Mettre à jour les propriétés de base sur les utilisateurs
microsoft.directory/users/create Ajouter des utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/disable Désactiver des utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/enable Activer des utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/invalidateAllRefreshTokens Forcer la déconnexion en invalidant les jetons d’actualisation de l’utilisateur
Icône d’étiquette de privilège.
microsoft.directory/users/inviteGuest Inviter des utilisateurs
microsoft.directory/users/manager/update Mettre à jour le gestionnaire pour les utilisateurs
microsoft.directory/users/photo/update Actualiser la photo des utilisateurs
microsoft.directory/users/reprocessLicenseAssignment Retraiter les attributions de licence pour les utilisateurs
microsoft.directory/users/sponsors/update Mettre à jour les sponsors des utilisateurs
microsoft.directory/users/userPrincipalName/update Mettre à jour le nom d’utilisateur principal des utilisateurs
Icône d’étiquette de privilège.

Administrateur de nom de domaine

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Les utilisateurs disposant de ce rôle peuvent gérer (lire, ajouter, vérifier, mettre à jour et supprimer) des noms de domaine. Ils peuvent également lire les informations du répertoire sur les utilisateurs, les groupes et les applications, car ces objets possèdent des dépendances de domaine. Pour les environnements locaux, les utilisateurs disposant de ce rôle peuvent configurer des noms de domaine pour la fédération afin que les utilisateurs associés soient toujours authentifiés localement. Ces utilisateurs peuvent ensuite se connecter à des services Microsoft Entra avec leurs mots de passe locaux par le biais de l’authentification unique. Les paramètres de fédération doivent être synchronisés via Microsoft Entra Connect, afin que les utilisateurs disposent également des autorisations nécessaires pour gérer Microsoft Entra Connect.

Actions Description
microsoft.directory/domains/allProperties/allTasks Créer et supprimer des domaines, ainsi que lire et mettre à jour toutes les propriétés
Icône d’étiquette de privilège.
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur Dynamics 365

Les utilisateurs auxquels ce rôle est assigné disposent d’autorisations générales dans Microsoft Dynamics 365 Online, lorsque le service est présent. Ils ont aussi la possibilité de gérer les tickets de support et de surveiller l’intégrité du service. Pour plus d’informations, consultez Utiliser des rôles d’administrateur de service pour gérer votre locataire.

Remarque

Dans l’API Microsoft Graph et Microsoft Graph PowerShell, ce rôle est nommé Dynamics 365 Administrateur de service. Dans le Portail Azure, il est nommé administrateur Dynamics 365.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.dynamics365/allEntities/allTasks Gérez tous les aspects de Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur Dynamics 365 Business Central

Attribuez le rôle Administrateur Dynamics 365 Business Central aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Accéder aux environnements Dynamics 365 Business Central
  • Effectuer toutes les tâches d’administration sur les environnements
  • Gérer le cycle de vie des environnements du client
  • Superviser les extensions installées sur les environnements
  • Contrôler les mises à niveau des environnements
  • Effectuer des exportations de données d’environnements
  • Lire et configurer les tableaux de bord d’intégrité des services Azure et Microsoft 365

Ce rôle ne fournit aucune autorisation pour les autres produits Dynamics 365.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.directory/domains/standard/read Lire les propriétés de base sur les domaines
microsoft.directory/organization/standard/read Lire les propriétés de base sur une organisation
microsoft.directory/subscribedSkus/standard/read Lire les propriétés de base sur les abonnements
microsoft.directory/users/standard/read Lire les propriétés de base sur les utilisateurs
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks Gérer tous les aspects de Dynamics 365 Business Central
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur Edge

Les utilisateurs ayant ce rôle peuvent créer et gérer la liste des sites d’entreprise requise pour le mode Internet Explorer sur Microsoft Edge. Ce rôle accorde des autorisations pour créer, modifier et publier la liste de sites, ainsi qu’un accès pour gérer les tickets de support. En savoir plus

Actions Description
microsoft.edge/allEntities/allProperties/allTasks Gérer tous les aspects de Microsoft Edge
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur Exchange

Les utilisateurs avec ce rôle ont des autorisations générales dans Microsoft Exchange Online, quand le service est présent. Ils ont aussi la possibilité de créer et de gérer tous les groupes Microsoft 365, de gérer les tickets de support et de surveiller l’état d’intégrité des services. Pour plus d’informations, consultez À propos des rôles d’administrateur dans le Centre d’administration Microsoft 365.

Remarque

Dans l’API Microsoft Graph et Microsoft Graph PowerShell, ce rôle est nommé Administrateur de service Exchange. Dans le Portail Azure, il est nommé Administrateur Exchange. Dans le Centre d’administration Exchange, il est nommé administrateur Exchange Online.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks Créer et gérer une stratégie Exchange Online Protection dans La sauvegarde Microsoft 365
microsoft.backup/exchangeRestoreSessions/allProperties/allTasks Lire et configurer la session de restauration pour Exchange Online dans la sauvegarde Microsoft 365
microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks Gérer tous les points de restauration associés aux boîtes aux lettres Exchange Online sélectionnées dans la sauvegarde M365
microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks Gérer les boîtes aux lettres ajoutées à la stratégie Exchange Online Protection dans La sauvegarde Microsoft 365
microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks Gérer les boîtes aux lettres ajoutées pour restaurer une session pour Exchange Online dans la sauvegarde Microsoft 365
microsoft.directory/groups/hiddenMembers/read Lire la propriété membres masqués des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle
microsoft.directory/groups.unified/basic/update Actualiser les propriétés de base sur les groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/create Créer des groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/delete Supprimer des groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/members/update Actualiser les membres de groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/owners/update Actualiser les propriétaires de groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/restore Restaurer les groupes Microsoft 365 à partir d’un conteneur supprimé de manière réversible, à l’exception des groupes pouvant être affectés par des rôles
microsoft.office365.exchange/allEntities/basic/allTasks Gérez tous les aspects d’Exchange Online
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur des destinataires Exchange

Les utilisateurs dotés de ce rôle disposent d’un accès en lecture aux destinataires et d’un accès en écriture aux attributs de ces destinataires dans Exchange Online. Pour plus d’informations, consultez Destinataires dans Exchange Server.

Actions Description
microsoft.office365.exchange/migration/allProperties/allTasks Gérez toutes les tâches liées à la migration des destinataires dans Exchange Online
microsoft.office365.exchange/recipients/allProperties/allTasks Créez et supprimez tous les destinataires, et lisez et mettez à jour toutes les propriétés des destinataires dans Exchange Online

Administrateur de flux d’utilisateurs ID externe

Les utilisateurs ayant ce rôle peuvent créer et gérer des flux d’utilisateurs (également appelés stratégies « intégrées ») dans le portail Azure. Ces utilisateurs peuvent personnaliser le contenu HTML/CSS/JavaScript, modifier les conditions d’authentification multifacteur, sélectionner des revendications dans le jeton, gérer les connecteurs d’API et leurs informations d’identification, et configurer les paramètres de session pour tous les flux d’utilisateurs de l’organisation Microsoft Entra. En revanche, ce rôle ne prévoit pas la possibilité de consulter les données utilisateur ni d’apporter des modifications aux attributs inclus dans le schéma de l’organisation. La modification des stratégies Identity Experience Framework (également appelées stratégies personnalisées) sort également de la portée de ce rôle.

Actions Description
microsoft.directory/b2cUserFlow/allProperties/allTasks Lire et configurer des flux d’utilisateurs dans Azure Active Directory B2C

Administrateur d’attribut de flux d’utilisateurs ID externe

Les utilisateurs ayant ce rôle peuvent ajouter ou supprimer des attributs personnalisés disponibles pour tous les flux d’utilisateurs dans l’organisation Microsoft Entra. Ainsi, ils peuvent modifier ou ajouter de nouveaux éléments au schéma d’utilisateur final, influer sur le comportement de tous les flux d’utilisateurs et entraîner indirectement des modifications des données demandées aux utilisateurs finaux et envoyées sous forme de revendications aux applications. Ce rôle ne peut pas modifier des flux d’utilisateurs.

Actions Description
microsoft.directory/b2cUserAttribute/allProperties/allTasks Lire et configurer les attributs utilisateur dans Azure Active Directory B2C

Administrateur de fournisseurs d’identité externes

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Cet administrateur gère la fédération entre les organisations Microsoft Entra et les fournisseurs d’identité externes. Avec ce rôle, les utilisateurs peuvent ajouter de nouveaux fournisseurs d’identité et configurer tous les paramètres disponibles (par exemple, chemin d’authentification, ID de service, conteneurs de clés attribués). Cet utilisateur peut permettre à l’organisation Microsoft Entra d’approuver des authentifications de fournisseurs d’identité externes. L’impact produit sur les expériences d’utilisateur final varie selon le type d’organisation :

  • Organisations Microsoft Entra pour les employés et les partenaires : l’ajout d’une fédération (par exemple, avec Gmail) impacte immédiatement toutes les invitations d’invités qui ne sont pas encore utilisées. Consultez Ajout de Google comme fournisseur d’identité pour les utilisateurs invités B2B.
  • Organisations Azure Active Directory B2C : l’ajout d’une fédération (par exemple, avec Facebook ou une autre organisation Microsoft Entra) n’impacte pas immédiatement les flux d’utilisateurs finaux tant que le fournisseur d’identité n’est pas ajouté comme option dans un flux d’utilisateurs (aussi appelé stratégie intégrée). Consultez Configuration d’un compte Microsoft comme fournisseur d’identité pour obtenir un exemple. Pour modifier des flux d’utilisateurs, le rôle limité d’« administrateur de flux d’utilisateurs B2C » est nécessaire.
Actions Description
microsoft.directory/domains/federation/update Mettre à jour la propriété de fédération des domaines
Icône d’étiquette de privilège.
microsoft.directory/identityProviders/allProperties/allTasks Lire et configurer des fournisseurs d’identité dans Azure Active Directory B2C
Icône d’étiquette de privilège.

Administrateur Fabric

Les utilisateurs avec ce rôle ont des autorisations générales dans Microsoft Fabric et Power BI, quand le service est présent, et peuvent gérer des tickets de support et contrôler l’intégrité du service. Pour plus d’informations, consultez Présentation des rôles d’Administrateur Fabric.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.powerApps.powerBI/allEntities/allTasks Gérez tous les aspects de Fabric et Power BI

Administrateur général

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Les utilisateurs avec ce rôle ont accès à toutes les fonctionnalités d’administration dans Microsoft Entra ID, ainsi qu’aux services qui utilisent des identités Microsoft Entra comme le portail Microsoft 365 Defender, le portail de conformité Microsoft Purview, Exchange Online, SharePoint Online et Skype Entreprise Online. Les administrateurs généraux peuvent afficher les journaux d’activité du répertoire. Par ailleurs, les administrateurs généraux peuvent élever leur accès pour gérer tous les abonnements et groupes d’administration Azure. Ils obtiennent ainsi un accès complet à toutes les ressources Azure à l’aide du locataire Microsoft Entra correspondant. La personne qui s’inscrit pour l’organisation Microsoft Entra devient administrateur général. Une entreprise peut comprendre plusieurs administrateurs généraux. Les administrateurs généraux peuvent réinitialiser le mot de passe des utilisateurs et de tous les autres administrateurs. Un administrateur général ne peut pas supprimer sa propre attribution d’administrateur général. Cela permet d’éviter une situation dans laquelle une organisation ne disposerait d’aucun administrateur général.

Notes

À titre de meilleure pratique, Microsoft recommande d’attribuer le rôle Administrateur général à moins de cinq personnes dans votre organisation. Pour plus d'informations, consultez Meilleures pratiques pour les rôles Microsoft Entra.

Actions Description
microsoft.azure.advancedThreatProtection/allEntities/allTasks Gérer tous les aspects d’Azure Advanced Threat Protection
microsoft.azure.informationProtection/allEntities/allTasks Gérer tous les aspects d’Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.backup/allEntities/allProperties/allTasks Gérer tous les aspects de la sauvegarde Microsoft 365
microsoft.cloudPC/allEntities/allProperties/allTasks Gérer tous les aspects de Windows 365
microsoft.commerce.billing/allEntities/allProperties/allTasks Gérer tous les aspects de la facturation Office 365
microsoft.commerce.billing/purchases/standard/read Lire les services d’achat dans le Centre d’administration M365.
microsoft.directory/accessReviews/allProperties/allTasks (Déconseillé) Créer et supprimer les révisions d’accès, lire et actualiser toutes les propriétés des révisions d’accès ainsi que gérer les révisions d’accès des groupes dans Microsoft Entra ID
microsoft.directory/accessReviews/definitions/allProperties/allTasks Gérer les révisions d’accès de toutes les ressources révisables dans Microsoft Entra ID
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Gérer les stratégies de demande de consentement administrateur dans Microsoft Entra ID
microsoft.directory/administrativeUnits/allProperties/allTasks Créez et gérez des unités administratives (y compris les membres).
microsoft.directory/appConsent/appConsentRequests/allProperties/read Lire toutes les propriétés des demandes de consentement pour les applications inscrites auprès de Microsoft Entra ID
microsoft.directory/applications/allProperties/allTasks Créer et supprimer des applications, ainsi que lire et mettre à jour toutes les propriétés
Icône d’étiquette de privilège.
microsoft.directory/applications/synchronization/standard/read Lire les paramètres de provisionnement associés à l’objet application
microsoft.directory/applicationTemplates/instantiate Instancier des applications de la galerie à partir de modèles d’application
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés sur les journaux d’audit, à l’exception des journaux d’audit des attributs de sécurité personnalisés
microsoft.directory/authorizationPolicy/allProperties/allTasks Gérer tous les aspects de la stratégie d’autorisation
Icône d’étiquette de privilège.
microsoft.directory/bitlockerKeys/key/read Lire les métadonnées et la clé BitLocker sur les appareils
Icône d’étiquette de privilège.
microsoft.directory/cloudAppSecurity/allProperties/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard dans Microsoft Defender for Cloud Apps
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Gérer toutes les propriétés des politiques d'accès conditionnel
microsoft.directory/connectorGroups/allProperties/read Lire toutes les propriétés des groupes de connecteurs de réseau privé
microsoft.directory/connectorGroups/allProperties/update Mettre à jour toutes les propriétés des groupes de connecteurs de réseau privé
microsoft.directory/connectorGroups/create Créer des groupes de connecteurs de réseau privé
microsoft.directory/connectorGroups/delete Supprimer des groupes de connecteurs de réseau privé
microsoft.directory/connectors/allProperties/read Lire toutes les propriétés des connecteurs de réseau privé
microsoft.directory/connectors/create Créer des connecteurs de réseau privé
microsoft.directory/contacts/allProperties/allTasks Créer et supprimer des contacts, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/contracts/allProperties/allTasks Créer et supprimer des contrats de partenaire, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Mettre à jour les points de terminaison cloud autorisés de la stratégie d’accès inter-locataires
microsoft.directory/crossTenantAccessPolicy/basic/update Mettre à jour les paramètres de base de la stratégie d’accès inter-locataires
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Mettre à jour les paramètres de Microsoft Entra B2B Collaboration de la stratégie d’accès inter-tenants par défaut
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Mettre à jour les paramètres de connexion directe Microsoft Entra B2B de la stratégie d’accès inter-tenants par défaut
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Mettre à jour les paramètres de réunion Teams interclouds de la stratégie d’accès inter-locataires par défaut
microsoft.directory/crossTenantAccessPolicy/default/standard/read Lire les propriétés de base de la stratégie d’accès inter-locataires par défaut
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Mettre à jour les restrictions de locataire de la stratégie d’accès inter-locataires par défaut
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Mettre à jour les paramètres de Microsoft Entra B2B Collaboration de la stratégie d’accès inter-tenants pour les partenaires
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Mettre à jour les paramètres de connexion directe Microsoft Entra B2B de la stratégie d’accès inter-tenants pour les partenaires
microsoft.directory/crossTenantAccessPolicy/partners/create Créer une stratégie d’accès inter-locataires pour les partenaires
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Mettre à jour les paramètres de réunion Teams interclouds de la stratégie d’accès inter-locataires pour les partenaires
microsoft.directory/crossTenantAccessPolicy/partners/delete Supprimer une stratégie d’accès inter-locataires pour les partenaires
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Mettre à jour les paramètres de base de la stratégie de synchronisation inter-locataires
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Créer une stratégie de synchronisation interlocataire pour les partenaires
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Lire les propriétés de base de la stratégie de synchronisation inter-locataires
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Lire les propriétés de base de la stratégie d’accès inter-locataires pour les partenaires
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Mettre à jour des modèles de stratégie de synchronisation entre tenants pour une organisation multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings Réinitialiser un modèle de stratégie de synchronisation entre tenants d’une organisation multi-tenant avec les paramètres par défaut
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Lire les propriétés de base des modèles de stratégie de synchronisation entre tenants pour une organisation multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Mettre à jour des modèles de stratégie d’accès entre tenants pour une organisation multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings Réinitialiser un modèle de stratégie d’accès entre tenants d’une organisation multi-tenant avec les paramètres par défaut
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Lire les propriétés de base des modèles de stratégie d’accès entre tenants pour une organisation multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Mettre à jour les restrictions de locataire de la stratégie d’accès inter-locataires pour les partenaires
microsoft.directory/crossTenantAccessPolicy/standard/read Lire les propriétés de base de la stratégie d’accès inter-locataires
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Créer et gérer des extensions d’authentification personnalisées
Icône d’étiquette de privilège.
microsoft.directory/deletedItems/delete Supprimer définitivement les objets qui ne peuvent plus être restaurés
microsoft.directory/deletedItems/restore Restaurer les objets supprimés de manière réversible à l’état d’origine
microsoft.directory/deviceLocalCredentials/password/read Lire toutes les propriétés des informations d’identification du compte d’administrateur local sauvegardées pour les appareils joints à Microsoft Entra, y compris le mot de passe
microsoft.directory/deviceManagementPolicies/basic/update Mettre à jour les propriétés de base de la gestion des appareils mobiles et les stratégies de gestion des applications mobiles
Icône d’étiquette de privilège.
microsoft.directory/deviceManagementPolicies/standard/read Lire les propriétés standard de la gestion des appareils mobiles et les stratégies de gestion des applications mobiles
microsoft.directory/deviceRegistrationPolicy/basic/update Mettre à jour les propriétés de base des stratégies d’inscription d’appareil
Icône d’étiquette de privilège.
microsoft.directory/deviceRegistrationPolicy/standard/read Lire les propriétés standard sur les stratégies d’inscription des appareils
microsoft.directory/devices/allProperties/allTasks Créer et supprimer des appareils, ainsi que lire et mettre à jour toutes les propriétés
Icône d’étiquette de privilège.
microsoft.directory/directoryRoles/allProperties/allTasks Créer et supprimer des rôles d’annuaire, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Créer et supprimer des définitions de rôle Microsoft Entra, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/domains/allProperties/allTasks Créer et supprimer des domaines, ainsi que lire et mettre à jour toutes les propriétés
Icône d’étiquette de privilège.
microsoft.directory/domains/federationConfiguration/basic/update Mettre à jour la configuration de fédération de base pour les domaines
microsoft.directory/domains/federationConfiguration/create Créer une configuration de fédération pour les domaines
microsoft.directory/domains/federationConfiguration/delete Supprimer une configuration de fédération pour les domaines
microsoft.directory/domains/federationConfiguration/standard/read Lire les propriétés standard de la configuration de fédération pour les domaines
microsoft.directory/entitlementManagement/allProperties/allTasks Créer et supprimer des ressources, ainsi que lire et mettre à jour toutes les propriétés dans la gestion des droits d’utilisation Microsoft Entra
microsoft.directory/externalUserProfiles/basic/update Mettre à jour les propriétés de base des profils utilisateur externes dans le répertoire étendu pour Teams
microsoft.directory/externalUserProfiles/delete Supprimer des profils utilisateur externes dans le répertoire étendu pour Teams
microsoft.directory/externalUserProfiles/standard/read Lire les propriétés standard des profils utilisateur externes dans le répertoire étendu pour Teams
microsoft.directory/groups/allProperties/allTasks Créer et supprimer des groupes, ainsi que lire et mettre à jour toutes les propriétés
Icône d’étiquette de privilège.
microsoft.directory/groupsAssignableToRoles/allProperties/update Mettre à jour des groupes assignables à un rôle
microsoft.directory/groupsAssignableToRoles/assignLicense Attribuer une licence à des groupes assignables à des rôles
microsoft.directory/groupsAssignableToRoles/create Créer des groupes pouvant se voir attribuer des rôles
microsoft.directory/groupsAssignableToRoles/delete Supprimer des groupes assignables à un rôle
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Retraiter les attributions de licences à des groupes assignables à des rôles
microsoft.directory/groupsAssignableToRoles/restore Restaurer des groupes assignables à un rôle
microsoft.directory/groupSettings/allProperties/allTasks Créer et supprimer des paramètres de groupe, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/groupSettingTemplates/allProperties/allTasks Créer et supprimer des modèles de paramètre de groupe, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Gérer la stratégie d’authentification hybride dans Microsoft Entra ID
Icône d’étiquette de privilège.
microsoft.directory/identityProtection/allProperties/allTasks Créer et supprimer toutes les ressources, et lire et mettre à jour des propriétés standard dans Microsoft Entra ID Protection
Icône d’étiquette de privilège.
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Gérer tous les aspects des workflows et des tâches de cycle de vie dans Microsoft Entra ID
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Créer et supprimer loginTenantBranding, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/multiTenantOrganization/basic/update Mettre à jour les propriétés de base d’une organisation multi-tenant
microsoft.directory/multiTenantOrganization/create Créer une organisation multi-tenant
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Rejoindre une organisation multilocataire
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Lire les propriétés d’une demande de jointure à une organisation multi-tenant
microsoft.directory/multiTenantOrganization/standard/read Lire les propriétés de base d’une organisation multi-tenant
microsoft.directory/multiTenantOrganization/tenants/create Créer un tenant dans une organisation multi-tenant
microsoft.directory/multiTenantOrganization/tenants/delete Supprimer un tenant participant à une organisation multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Lire les détails organisationnel d’un tenant participant à une organisation multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Mettre à jour les propriétés de base d’un tenant participant à une organisation multi-tenant
microsoft.directory/multiTenantOrganization/tenants/standard/read Lire les propriétés de base d’un tenant participant à une organisation multi-tenant
microsoft.directory/namedLocations/basic/update Mettre à jour des propriétés de base de règles personnalisées qui définissent des emplacements réseau
microsoft.directory/namedLocations/create Créer des règles personnalisées qui définissent des emplacements réseau
microsoft.directory/namedLocations/delete Supprimer des règles personnalisées qui définissent des emplacements réseau
microsoft.directory/namedLocations/standard/read Lire des propriétés de base de règles personnalisées qui définissent des emplacements réseau
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Créer et supprimer des octrois d’autorisations OAuth 2.0, et lire et mettre à jour toutes les propriétés
Icône d’étiquette de privilège.
microsoft.directory/onPremisesSynchronization/basic/update Mettre à jour les informations de synchronisation d’annuaires locales de base
microsoft.directory/onPremisesSynchronization/standard/read Lire les informations de synchronisation d’annuaires locales standard
microsoft.directory/organization/allProperties/allTasks Lire et actualiser toutes les propriétés d’une organisation
microsoft.directory/passwordHashSync/allProperties/allTasks Gérer tous les aspects de la synchronisation de hachage du mot de passe (PHS) dans Microsoft Entra ID
microsoft.directory/pendingExternalUserProfiles/basic/update Mettre à jour les propriétés de base des profils utilisateur externes dans le répertoire étendu pour Teams
microsoft.directory/pendingExternalUserProfiles/create Créer des profils utilisateur externes dans le répertoire étendu pour Teams
microsoft.directory/pendingExternalUserProfiles/delete Supprimer des profils utilisateur externes dans le répertoire étendu pour Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Lire les propriétés standard des profils utilisateur externes dans le répertoire étendu pour Teams
microsoft.directory/permissionGrantPolicies/basic/update Mettre à jour les propriétés de base des stratégies d’octroi d’autorisation
microsoft.directory/permissionGrantPolicies/create Créer des stratégies d’octroi d’autorisation
microsoft.directory/permissionGrantPolicies/delete Supprimer les stratégies d’octroi d’autorisation
microsoft.directory/permissionGrantPolicies/standard/read Lire les propriétés standard des stratégies d’octroi d’autorisation
microsoft.directory/policies/allProperties/allTasks Créer et supprimer des stratégies, ainsi que lire et mettre à jour toutes les propriétés
Icône d’étiquette de privilège.
microsoft.directory/privilegedIdentityManagement/allProperties/read Lire toutes les ressources dans Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lire toutes les propriétés des journaux de provisionnement.
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Mettre à jour le contexte d’authentification par accès conditionnel des actions de ressources de contrôle d’accès basé sur les rôles (RBAC) de Microsoft 365
Icône d’étiquette de privilège.
microsoft.directory/roleAssignments/allProperties/allTasks Créer et supprimer des attributions de rôle, et lire et mettre à jour toutes les propriétés des attributions de rôle
microsoft.directory/roleDefinitions/allProperties/allTasks Créer et supprimer des définitions de rôle, et lire et mettre à jour toutes les propriétés
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Créer et supprimer des scopedRoleMemberships, et lire et mettre à jour toutes les propriétés
microsoft.directory/serviceAction/activateService Effectuer l’action « activer le service » pour un service
microsoft.directory/serviceAction/disableDirectoryFeature Effectuer l’action de service « désactiver la fonctionnalité d’annuaire »
microsoft.directory/serviceAction/enableDirectoryFeature Effectuer l’action de service « activer la fonctionnalité d’annuaire »
microsoft.directory/serviceAction/getAvailableExtentionProperties Effectuer l’action de service getAvailableExtentionProperties
microsoft.directory/servicePrincipalCreationPolicies/basic/update Mettre à jour les propriétés de base de stratégies de création de principal de service
microsoft.directory/servicePrincipalCreationPolicies/create Créer des stratégies de création de principal de service
microsoft.directory/servicePrincipalCreationPolicies/delete Supprimer des stratégies de création de principal de service
microsoft.directory/servicePrincipalCreationPolicies/standard/read Lire les propriétés standard de stratégies de création de principal de service
microsoft.directory/servicePrincipals/allProperties/allTasks Créer et supprimer des principaux de service, ainsi que lire et mettre à jour toutes les propriétés
Icône d’étiquette de privilège.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Consentir à toute autorisation sur toute application
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Gérez les informations d’identification et les secrets du provisionnement d’application d’un locataire cloud vers un locataire cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Démarrez, redémarrez et mettez en pause les travaux de synchronisation du provisionnement d’application d’un locataire cloud vers un locataire cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Créez et gérez le schéma et les travaux de synchronisation du provisionnement d’application d’un locataire cloud vers un locataire cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gérez les secrets et les informations d’identification de l’approvisionnement des applications.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Démarrez, redémarrez et suspendez les travaux de synchronisation de l’approvisionnement des applications.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Créez et gérez le schéma et les tâches de synchronisation de l’approvisionnement des applications.
microsoft.directory/servicePrincipals/synchronization/standard/read Lire les paramètres de provisionnement associés au principal de service
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.directory/subscribedSkus/allProperties/allTasks Acheter et gérer des abonnements, ainsi que supprimer des abonnements
microsoft.directory/tenantManagement/tenants/create Créer des nouveaux locataires dans Microsoft Entra ID
microsoft.directory/users/allProperties/allTasks Créer et supprimer des utilisateurs, ainsi que lire et mettre à jour toutes les propriétés
Icône d’étiquette de privilège.
microsoft.directory/users/authenticationMethods/basic/update Mettre à jour les propriétés de base des méthodes d’authentification pour les utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/authenticationMethods/create Mettre à jour les méthodes d’authentification pour les utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/authenticationMethods/delete Supprimer les méthodes d’authentification pour les utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/authenticationMethods/standard/read Lire les propriétés standard des méthodes d’authentification pour les utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/convertExternalToInternalMemberUser Convertir un utilisateur externe en utilisateur interne
microsoft.directory/verifiableCredentials/configuration/allProperties/read Lire la configuration requise pour créer et gérer des justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/allProperties/update Mettre à jour la configuration requise pour créer et gérer des justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Lire un contrat de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Mettre à jour un contrat de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Lire une carte de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Révoquer une carte de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/create Créer un contrat de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/create Créer la configuration requise pour créer et gérer des justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/delete Supprimer la configuration requise pour créer et gérer des justificatifs vérifiables et supprimer tous ses justificatifs vérifiables
microsoft.dynamics365/allEntities/allTasks Gérez tous les aspects de Dynamics 365
microsoft.edge/allEntities/allProperties/allTasks Gérer tous les aspects de Microsoft Edge
microsoft.flow/allEntities/allTasks Gérez tous les aspects de Microsoft Power Automate
microsoft.graph.dataConnect/allEntities/allProperties/allTasks Gérer les aspects de Connexion aux données Microsoft Graph
microsoft.hardware.support/shippingAddress/allProperties/allTasks Créer, lire, mettre à jour et supprimer des adresses d’expédition pour les demandes de garantie de matériel Microsoft, notamment les adresses d’expédition créées par d’autres personnes
microsoft.hardware.support/shippingStatus/allProperties/read Lire l’état d’expédition pour les demandes de garantie de matériel Microsoft ouvertes
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Créer et gérer tous les aspects des demandes de garantie matérielle Microsoft
microsoft.insights/allEntities/allProperties/allTasks Gérer tous les aspects de l’application Insights
microsoft.intune/allEntities/allTasks Gérez tous les aspects de Microsoft Intune
microsoft.networkAccess/allEntities/allProperties/allTasks Gérer tous les aspects de l’accès réseau Microsoft Entra
microsoft.office365.complianceManager/allEntities/allTasks Gérez tous les aspects d’Office 365 Compliance Manager
microsoft.office365.desktopAnalytics/allEntities/allTasks Gérer tous les aspects de Desktop Analytics
microsoft.office365.exchange/allEntities/basic/allTasks Gérer tous les aspects d’Exchange Online
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks Gérer tous les aspects des conteneurs SharePoint Embedded
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Lire et mettre jour toutes les propriétés de la compréhension du contenu dans le centre d’administration Microsoft 365
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Lire les rapports analytiques de la compréhension du contenu dans le Centre d'administration Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Lire et mettre jour toutes les propriétés du réseau de connaissances dans le centre d’administration Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Gérer la visibilité des rubriques du réseau de connaissances dans le Centre d'administration Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Gérer les sources d'apprentissage et toutes leurs propriétés dans l'application d'apprentissage
microsoft.office365.lockbox/allEntities/allTasks Gérer tous les aspects de Customer Lockbox
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.messageCenter/securityMessages/read Lire les messages de sécurité dans le Centre de messages du Centre d’administration Microsoft 365
microsoft.office365.migrations/allEntities/allProperties/allTasks Gérez tous les aspects de la migration Microsoft 365
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Gérer tous les aspects de la création de messages organisationnels dans Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Gérer tous les aspects des centres de sécurité et de conformité
microsoft.office365.search/content/manage Créer et supprimer du contenu, ainsi que lire et mettre à jour toutes les propriétés dans Recherche Microsoft
microsoft.office365.securityComplianceCenter/allEntities/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard dans le Centre de sécurité et conformité Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard SharePoint
microsoft.office365.skypeForBusiness/allEntities/allTasks Gérez tous les aspects de Skype Entreprise Online
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.userCommunication/allEntities/allTasks Lire et mettre à jour la visibilité des messages Nouveautés
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Gérez tous les aspects de Yammer
microsoft.permissionsManagement/allEntities/allProperties/allTasks Gérer tous les aspects de la Gestion des autorisations Microsoft Entra
microsoft.powerApps/allEntities/allTasks Gérez tous les aspects de Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks Gérez tous les aspects de Fabric et Power BI
microsoft.teams/allEntities/allProperties/allTasks Gérez toutes les ressources dans Teams
microsoft.virtualVisits/allEntities/allProperties/allTasks Gérer et partager les informations et les métriques de Virtual Visits à partir des centres d’administration ou de l’application Virtual Visits
microsoft.viva.goals/allEntities/allProperties/allTasks Gérer tous les aspects de Microsoft Viva Goals
microsoft.viva.pulse/allEntities/allProperties/allTasks Gérez tous les aspects de Microsoft Viva Pulse
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Gérer tous les aspects de Microsoft Defender pour point de terminaison
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Lire et configurer tous les aspects du Service Windows Update

Lecteur général

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Les utilisateurs affectés à ce rôle peuvent lire les paramètres et les informations d’administration entre les services Microsoft 365, mais ne peuvent pas entreprendre d’actions de gestion. Le lecteur général est l’équivalent en lecture seule de l’Administrateur général. Affecter un rôle de Lecteur général plutôt que d’Administrateur général pour la planification, les audits ou les investigations. Utiliser le Lecteur global conjointement à d’autres rôles d’administrateur limités comme celui de l’Administrateur Exchange pour faciliter le travail sans affecter le rôle d’Administrateur général. Le Lecteur général fonctionne avec le centre d’administration Microsoft 365, le centre d’administration Exchange, le centre d’administration SharePoint, le centre d’administration Teams, le portail Microsoft 365 Defender, le portail de conformité Microsoft Purview, le portail Azure et le centre d’administration Gestion des appareils.

Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :

  • Impossible d’accéder à la zone Acheter des services dans le Centre d’administration Microsoft 365.

Notes

Le rôle Lecteur général a les limitations suivantes :

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.backup/allEntities/allProperties/read Lire tous les aspects de la sauvegarde Microsoft 365
microsoft.cloudPC/allEntities/allProperties/read Lire tous les aspects de Windows 365
microsoft.commerce.billing/allEntities/allProperties/read Lire toutes les ressources de la facturation d’Office 365
microsoft.commerce.billing/purchases/standard/read Lire les services d’achat dans le Centre d’administration M365.
microsoft.directory/accessReviews/allProperties/read (Déconseillé) Lire toutes les propriétés des révisions d’accès
microsoft.directory/accessReviews/definitions/allProperties/read Lire toutes les propriétés des révisions d’accès de toutes les ressources pouvant être examinées dans Microsoft Entra ID
microsoft.directory/adminConsentRequestPolicy/allProperties/read Lire toutes les propriétés des stratégies de demande de consentement administrateur dans Microsoft Entra ID
microsoft.directory/administrativeUnits/allProperties/read Lire toutes les propriétés des unités administratives, y compris les membres
microsoft.directory/appConsent/appConsentRequests/allProperties/read Lire toutes les propriétés des demandes de consentement pour les applications inscrites auprès de Microsoft Entra ID
microsoft.directory/applications/allProperties/read Lire toutes les propriétés (y compris les propriétés privilégiées) sur tous les types d’applications
microsoft.directory/applications/synchronization/standard/read Lire les paramètres de provisionnement associés à l’objet application
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés sur les journaux d’audit, à l’exception des journaux d’audit des attributs de sécurité personnalisés
microsoft.directory/authorizationPolicy/standard/read Lire les propriétés standard de la stratégie d’autorisation
microsoft.directory/bitlockerKeys/key/read Lire les métadonnées et la clé BitLocker sur les appareils
Icône d’étiquette de privilège.
microsoft.directory/cloudAppSecurity/allProperties/read Lire toutes les propriétés de Defender for Cloud Apps
microsoft.directory/conditionalAccessPolicies/allProperties/read Lire toutes les propriétés des stratégies d'accès conditionnel
microsoft.directory/connectorGroups/allProperties/read Lire toutes les propriétés des groupes de connecteurs de réseau privé
microsoft.directory/connectors/allProperties/read Lire toutes les propriétés des connecteurs de réseau privé
microsoft.directory/contacts/allProperties/read Lire toutes les propriétés des contacts
microsoft.directory/crossTenantAccessPolicy/default/standard/read Lire les propriétés de base de la stratégie d’accès inter-locataires par défaut
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Lire les propriétés de base de la stratégie de synchronisation inter-locataires
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Lire les propriétés de base de la stratégie d’accès inter-locataires pour les partenaires
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Lire les propriétés de base des modèles de stratégie de synchronisation entre tenants pour une organisation multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Lire les propriétés de base des modèles de stratégie d’accès entre tenants pour une organisation multi-tenant
microsoft.directory/crossTenantAccessPolicy/standard/read Lire les propriétés de base de la stratégie d’accès inter-locataires
microsoft.directory/customAuthenticationExtensions/allProperties/read Lire les extensions d’authentification personnalisée
microsoft.directory/deviceLocalCredentials/standard/read Lire toutes les propriétés des informations d’identification du compte d’administrateur local sauvegardées pour les appareils joints à Microsoft Entra, excepté le mot de passe
microsoft.directory/deviceManagementPolicies/standard/read Lire les propriétés standard de la gestion des appareils mobiles et les stratégies de gestion des applications mobiles
microsoft.directory/deviceRegistrationPolicy/standard/read Lire les propriétés standard sur les stratégies d’inscription des appareils
microsoft.directory/devices/allProperties/read Lire toutes les propriétés des appareils
microsoft.directory/directoryRoles/allProperties/read Lire toutes les propriétés des rôles d’annuaire
microsoft.directory/directoryRoleTemplates/allProperties/read Lire toutes les propriétés des modèles de rôle d’annuaire
microsoft.directory/domains/allProperties/read Lire toutes les propriétés des domaines
microsoft.directory/domains/federationConfiguration/standard/read Lire les propriétés standard de la configuration de fédération pour les domaines
microsoft.directory/entitlementManagement/allProperties/read Lire toutes les propriétés dans la gestion des droits d’utilisation de Microsoft Entra
microsoft.directory/externalUserProfiles/standard/read Lire les propriétés standard des profils utilisateur externes dans le répertoire étendu pour Teams
microsoft.directory/groups/allProperties/read Lire toutes les propriétés (notamment les propriétés privilégiées) des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle
microsoft.directory/groupSettings/allProperties/read Lire toutes les propriétés des paramètres de groupe
microsoft.directory/groupSettingTemplates/allProperties/read Lire toutes les propriétés des modèles de paramètre de groupe
microsoft.directory/identityProtection/allProperties/read Lire toutes les ressources dans Microsoft Entra ID Protection
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read Lire toutes les propriétés des workflows et des tâches de cycle de vie dans Microsoft Entra ID
microsoft.directory/loginOrganizationBranding/allProperties/read Lire toutes les propriétés de la page de connexion de votre organisation
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Lire les propriétés d’une demande de jointure à une organisation multi-tenant
microsoft.directory/multiTenantOrganization/standard/read Lire les propriétés de base d’une organisation multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Lire les détails organisationnel d’un tenant participant à une organisation multi-tenant
microsoft.directory/multiTenantOrganization/tenants/standard/read Lire les propriétés de base d’un tenant participant à une organisation multi-tenant
microsoft.directory/namedLocations/standard/read Lire des propriétés de base de règles personnalisées qui définissent des emplacements réseau
microsoft.directory/oAuth2PermissionGrants/allProperties/read Lire toutes les propriétés des octrois d'autorisation OAuth 2.0
microsoft.directory/organization/allProperties/read Lire toutes les propriétés d’une organisation
microsoft.directory/pendingExternalUserProfiles/standard/read Lire les propriétés standard des profils utilisateur externes dans le répertoire étendu pour Teams
microsoft.directory/permissionGrantPolicies/standard/read Lire les propriétés standard des stratégies d’octroi d’autorisation
microsoft.directory/policies/allProperties/read Lire toutes les propriétés des stratégies
microsoft.directory/privilegedIdentityManagement/allProperties/read Lire toutes les ressources dans Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lire toutes les propriétés des journaux de provisionnement.
microsoft.directory/roleAssignments/allProperties/read Lire toutes les propriétés des attributions de rôle
microsoft.directory/roleDefinitions/allProperties/read Lire toutes les propriétés des définitions de rôle
microsoft.directory/scopedRoleMemberships/allProperties/read Afficher les membres des unités administratives
microsoft.directory/serviceAction/getAvailableExtentionProperties Effectuer l’action de service getAvailableExtentionProperties
microsoft.directory/servicePrincipalCreationPolicies/standard/read Lire les propriétés standard de stratégies de création de principal de service
microsoft.directory/servicePrincipals/allProperties/read Lire toutes les propriétés (y compris les propriétés privilégiées) sur servicePrincipals
microsoft.directory/servicePrincipals/synchronization/standard/read Lire les paramètres de provisionnement associés au principal de service
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.directory/subscribedSkus/allProperties/read Lire toutes les propriétés des abonnements produits
microsoft.directory/users/allProperties/read Lire toutes les propriétés des utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/authenticationMethods/standard/restrictedRead Lire les propriétés standard des méthodes d’authentification qui n’incluent pas d’informations d’identification personnelle d’utilisateurs
microsoft.directory/verifiableCredentials/configuration/allProperties/read Lire la configuration requise pour créer et gérer des justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Lire un contrat de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Lire une carte de justificatifs vérifiables
microsoft.edge/allEntities/allProperties/read Lire tous les aspects de Microsoft Edge
microsoft.graph.dataConnect/allEntities/allProperties/read Lire les aspects de Connexion aux données Microsoft Graph
microsoft.hardware.support/shippingAddress/allProperties/read Lire les adresses d’expédition pour les demandes de garantie de matériel Microsoft, notamment les adresses d’expédition existantes créées par d’autres
microsoft.hardware.support/shippingStatus/allProperties/read Lire l’état d’expédition pour les demandes de garantie de matériel Microsoft ouvertes
microsoft.hardware.support/warrantyClaims/allProperties/read Lire les demandes de garantie de matériel Microsoft
microsoft.insights/allEntities/allProperties/read Lire tous les aspects de Viva Insights
microsoft.networkAccess/allEntities/allProperties/read Lire tous les aspects de l’accès réseau Microsoft Entra
microsoft.office365.fileStorageContainers/allEntities/allProperties/read Lire les entités et les autorisations des conteneurs SharePoint Embedded
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.messageCenter/securityMessages/read Lire les messages de sécurité dans le Centre de messages du Centre d’administration Microsoft 365
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read Lire tous les aspects des messages organisationnels dans Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/read Lire toutes les propriétés dans les centres de sécurité et de conformité
microsoft.office365.securityComplianceCenter/allEntities/read Lire les propriétés standard dans le Centre de conformité et de sécurité Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/read Lire tous les aspects de Yammer
microsoft.permissionsManagement/allEntities/allProperties/read Lire tous les aspects de la Gestion des autorisations Microsoft Entra
microsoft.teams/allEntities/allProperties/read Lire toutes les propriétés de Microsoft Teams
microsoft.virtualVisits/allEntities/allProperties/read Lire tous les aspects de Virtual Visits
microsoft.viva.goals/allEntities/allProperties/read Lire tous les aspects de Microsoft Viva Goals
microsoft.viva.pulse/allEntities/allProperties/read Lire tous les aspects de Microsoft Viva Pulse
microsoft.windows.updatesDeployments/allEntities/allProperties/read Lire tous les aspects du Service Windows Update

Administrateur d’accès global sécurisé

Attribuez le rôle Administrateur d’accès global sécurisé aux utilisateurs qui doivent effectuer ceci :

  • Créer et gérer tous les aspects de l’accès Internet Microsoft Entra et de l’accès privé Microsoft Entra
  • Gérer l’accès aux points de terminaison publics et privés

Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :

  • Impossible de gérer les applications d’entreprise, les inscriptions d’applications, l’accès conditionnel ou les paramètres de proxy d’application

En savoir plus

Actions Description
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/applicationPolicies/standard/read Lire les propriétés standard des stratégies d’application
microsoft.directory/applications/applicationProxy/read Lire toutes les propriétés du proxy d’application
microsoft.directory/applications/owners/read Lire les propriétaires d’applications
microsoft.directory/applications/policies/read Lire les stratégies d’applications
microsoft.directory/applications/standard/read Lire les propriétés standard des applications
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés sur les journaux d’audit, à l’exception des journaux d’audit des attributs de sécurité personnalisés
microsoft.directory/conditionalAccessPolicies/standard/read Lire l'accès conditionnel pour les stratégies
microsoft.directory/connectorGroups/allProperties/read Lire toutes les propriétés des groupes de connecteurs de réseau privé
microsoft.directory/connectors/allProperties/read Lire toutes les propriétés des connecteurs de réseau privé
microsoft.directory/crossTenantAccessPolicy/default/standard/read Lire les propriétés de base de la stratégie d’accès inter-locataires par défaut
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Lire les propriétés de base de la stratégie d’accès inter-locataires pour les partenaires
microsoft.directory/crossTenantAccessPolicy/standard/read Lire les propriétés de base de la stratégie d’accès inter-locataires
microsoft.directory/namedLocations/standard/read Lire des propriétés de base de règles personnalisées qui définissent des emplacements réseau
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.networkAccess/allEntities/allProperties/allTasks Gérer tous les aspects de l’accès réseau Microsoft Entra
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de groupes

Les utilisateurs de ce rôle peuvent créer/gérer des groupes et ses paramètres, comme les stratégies d’attribution de noms et d’expiration. Il est important de comprendre que l’affectation d’un utilisateur à ce rôle lui donne la possibilité de gérer tous les groupes au sein de l’organisation dans diverses charges de travail telles que Teams, SharePoint et Yammer en plus d’Outlook. De même, l’utilisateur pourra gérer les différents paramètres des groupes à travers divers portails d’administration, comme le centre d’administration Microsoft, le portail Azure, ainsi que des charges de travail spécifiques telles que les centres d’administration Teams et SharePoint.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/deletedItems.groups/delete Supprimer définitivement les groupes qui ne peuvent plus être restaurés
microsoft.directory/deletedItems.groups/restore Restaurer les groupes supprimés de manière réversible à l’état d’origine
microsoft.directory/groups/assignLicense Attribuer des licences de produits à des groupes pour la gestion des licences basée sur un groupe
microsoft.directory/groups/basic/update Actualiser les propriétés de base des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/classification/update Actualiser les propriétés de classification des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/create Créer des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/delete Supprimer des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/dynamicMembershipRule/update Actualiser la règle d’adhésion dynamique des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/groupType/update Actualiser les propriétés qui affectent le type de groupe des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/hiddenMembers/read Lire la propriété membres masqués des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle
microsoft.directory/groups/members/update Actualiser la propriété membres des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/onPremWriteBack/update Mettre à jour les groupes Microsoft Entra pour qu’ils soient réécrits localement avec Microsoft Entra Connect
microsoft.directory/groups/owners/update Actualiser la propriété propriétaires des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/reprocessLicenseAssignment Retraiter les attributions de licence pour la gestion des licences basée sur un groupe
microsoft.directory/groups/restore Restaurer les groupes à partir d’un conteneur supprimé de manière réversible
microsoft.directory/groups/settings/update Mettre à jour les paramètres des groupes
microsoft.directory/groups/visibility/update Actualiser la propriété de visibilité des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Inviteur

les utilisateurs auxquels ce rôle est assigné peuvent gérer les invitations d’utilisateurs invités Microsoft Entra B2B lorsque le paramètre utilisateur Les membres peuvent inviter est défini sur Non. Pour plus d’informations sur B2B Collaboration, consultez la page À propos de Microsoft Entra B2B Collaboration. Il n’inclut pas d’autres autorisations.

Actions Description
microsoft.directory/users/appRoleAssignments/read Lire les attributions de rôle d’application des utilisateurs
microsoft.directory/users/deviceForResourceAccount/read Lire deviceForResourceAccount des utilisateurs
microsoft.directory/users/directReports/read Lire les collaborateurs directs des utilisateurs
microsoft.directory/users/invitedBy/read Lire l’utilisateur qui a invité un utilisateur externe à un locataire
microsoft.directory/users/inviteGuest Inviter des utilisateurs
microsoft.directory/users/licenseDetails/read Lire les détails de licence des utilisateurs
microsoft.directory/users/manager/read Lire les gestionnaires d’utilisateurs
microsoft.directory/users/memberOf/read Lire les appartenances aux groupes des utilisateurs
microsoft.directory/users/oAuth2PermissionGrants/read Lire les octrois d’autorisations déléguées sur les utilisateurs
microsoft.directory/users/ownedDevices/read Lire les appareils détenus des utilisateurs
microsoft.directory/users/ownedObjects/read Lire les objets détenus des utilisateurs
microsoft.directory/users/photo/read Lire la photo des utilisateurs
microsoft.directory/users/registeredDevices/read Lire les appareils inscrits des utilisateurs
microsoft.directory/users/scopedRoleMemberOf/read Lire l’appartenance d’un utilisateur à un rôle Microsoft Entra étendu à une unité administrative
microsoft.directory/users/sponsors/read Lire les sponsors des utilisateurs
microsoft.directory/users/standard/read Lire les propriétés de base sur les utilisateurs

Administrateur du support technique

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Les utilisateurs avec ce rôle peuvent changer les mots de passe, invalider les jetons d’actualisation, créer et gérer les demandes de support avec Microsoft pour Azure et les services Microsoft 365, et surveiller l’intégrité des services. L’invalidation d’un jeton d’actualisation oblige l’utilisateur à se reconnecter. Le rôle attribué à un utilisateur détermine si un administrateur du support technique peut réinitialiser le mot de passe de l’utilisateur et invalider les jetons d’actualisation. Pour obtenir la liste des rôles pour lesquels un administrateur du support technique peut réinitialiser les mots de passe et invalider les jetons d’actualisation, consultez Qui peut réinitialiser les mots de passe.

Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :

  • Ne peuvent pas modifier les informations d’identification ou réinitialiser l’authentification multifacteur pour les membres et les propriétaires d’un groupe auquel un rôle est assignable.

Important

Les utilisateurs auxquels ce rôle est assigné peuvent changer les mots de passe des personnes susceptibles d’avoir accès à des informations sensibles ou privées ou à des configurations critiques à l’intérieur et à l’extérieur de Microsoft Entra ID. Changer le mot de passe d’un utilisateur peut signifier la capacité d’assumer l’identité et les autorisations de cet utilisateur. Par exemple :

  • Les propriétaires d’inscription d’application et d’application d’entreprise, qui peuvent gérer les informations d’identification des applications qu’ils possèdent. Ces applications peuvent disposer d’autorisations privilégiées dans Microsoft Entra ID et ailleurs qui ne sont pas accordées aux administrateurs du support technique. Grâce à ce chemin d’accès, un administrateur de support technique peut être en mesure d’assumer l’identité d’un propriétaire d’application, puis d’assumer l’identité d’une application privilégiée en mettant à jour les identifiants de celle-ci.
  • Propriétaires d’abonnement Azure, qui peuvent avoir accès à des informations confidentielles ou privées ou à une configuration critique dans Azure.
  • Propriétaires de groupe de sécurité et de groupe Microsoft 365, qui peuvent gérer l’appartenance à un groupe. Ces groupes peuvent accorder l’accès à des informations sensibles ou privées ou à une configuration critique dans Microsoft Entra ID et ailleurs.
  • Les administrateurs relevant d’autres services en dehors de Microsoft Entra ID, tels que Exchange Online, le portail Microsoft 365 Defender, le portail de conformité Microsoft Purview et les systèmes de ressources humaines.
  • Les non-administrateurs comme les cadres supérieurs, les conseillers juridiques et les employés des ressources humaines qui peuvent avoir accès à des informations sensibles ou privées.

La délégation d’autorisations administratives à des sous-ensembles d’utilisateurs et l’application de stratégies à un sous-ensemble d’utilisateurs sont possibles avec des unités administratives.

Ce rôle était auparavant appelé « administrateur de mot de passe » dans le portail Azure. Il a été renommé administrateur du support technique pour s’aligner sur le nom existant dans l’API Microsoft Graph et Microsoft Graph PowerShell.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/bitlockerKeys/key/read Lire les métadonnées et la clé BitLocker sur les appareils
Icône d’étiquette de privilège.
microsoft.directory/deviceLocalCredentials/standard/read Lire toutes les propriétés des informations d’identification du compte d’administrateur local sauvegardées pour les appareils joints à Microsoft Entra, excepté le mot de passe
microsoft.directory/users/invalidateAllRefreshTokens Forcer la déconnexion en invalidant les jetons d’actualisation de l’utilisateur
Icône d’étiquette de privilège.
microsoft.directory/users/password/update Réinitialiser les mots de passe de tous les utilisateurs
Icône d’étiquette de privilège.
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur d’identité hybride

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Les utilisateurs de ce rôle peuvent créer, gérer et déployer la configuration de l’approvisionnement d’Active Directory vers Microsoft Entra ID à l’aide de l’approvisionnement cloud, ainsi que gérer Microsoft Entra Connect, l’authentification directe (PTA), la synchronisation de hachage du mot de passe (PHS), l’authentification unique transparente (Seamless SSO) et les paramètres de fédération. N’a pas accès à la gestion de Microsoft Entra Connect Health. Les utilisateurs peuvent également dépanner et superviser les journaux à l’aide de ce rôle.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/applications/appRoles/update Mettre à jour la propriété appRoles sur tous les types d’applications
microsoft.directory/applications/audience/update Mettre à jour la propriété audience pour les applications
microsoft.directory/applications/authentication/update Mettre à jour l’authentification sur tous les types d’applications
microsoft.directory/applications/basic/update Mettre à jour les propriétés de base pour les applications
microsoft.directory/applications/create Créer tous les types d’applications
microsoft.directory/applications/delete Supprimer tous les types d’applications
microsoft.directory/applications/notes/update Mettre à jour les notes d’applications
microsoft.directory/applications/owners/update Mettre à jour les propriétaires d’applications
microsoft.directory/applications/permissions/update Mettre à jour les autorisations exposées et les autorisations requises sur tous les types d’applications
microsoft.directory/applications/policies/update Mettre à jour les stratégies d’applications
microsoft.directory/applications/synchronization/standard/read Lire les paramètres de provisionnement associés à l’objet application
microsoft.directory/applications/tag/update Mettre à jour les balises d’applications
microsoft.directory/applicationTemplates/instantiate Instancier des applications de la galerie à partir de modèles d’application
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés sur les journaux d’audit, à l’exception des journaux d’audit des attributs de sécurité personnalisés
microsoft.directory/cloudProvisioning/allProperties/allTasks Lisez et configurez toutes les propriétés du service de provisionnement cloud Microsoft Entra.
microsoft.directory/deletedItems.applications/delete Supprimer définitivement les applications qui ne peuvent plus être restaurées
microsoft.directory/deletedItems.applications/restore Restaurer les applications supprimées de manière réversible à l’état d’origine
microsoft.directory/domains/allProperties/read Lire toutes les propriétés des domaines
microsoft.directory/domains/federationConfiguration/basic/update Mettre à jour la configuration de fédération de base pour les domaines
microsoft.directory/domains/federationConfiguration/create Créer une configuration de fédération pour les domaines
microsoft.directory/domains/federationConfiguration/delete Supprimer une configuration de fédération pour les domaines
microsoft.directory/domains/federationConfiguration/standard/read Lire les propriétés standard de la configuration de fédération pour les domaines
microsoft.directory/domains/federation/update Mettre à jour la propriété de fédération des domaines
Icône d’étiquette de privilège.
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Gérer la stratégie d’authentification hybride dans Microsoft Entra ID
Icône d’étiquette de privilège.
microsoft.directory/onPremisesSynchronization/basic/update Mettre à jour les informations de synchronisation d’annuaires locales de base
microsoft.directory/onPremisesSynchronization/standard/read Lire les informations de synchronisation d’annuaires locales standard
microsoft.directory/organization/dirSync/update Mettre à jour la propriété de synchronisation d’annuaire d’organisation
microsoft.directory/passwordHashSync/allProperties/allTasks Gérer tous les aspects de la synchronisation de hachage du mot de passe (PHS) dans Microsoft Entra ID
microsoft.directory/provisioningLogs/allProperties/read Lire toutes les propriétés des journaux de provisionnement
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Mettre à jour les attributions de rôles des principaux de service
microsoft.directory/servicePrincipals/audience/update Mettre à jour les propriétés d’audience sur les principaux de service
microsoft.directory/servicePrincipals/authentication/update Mettre à jour les propriétés d’authentification sur les principaux de service
microsoft.directory/servicePrincipals/basic/update Mettre à jour les propriétés de base sur les principaux de service
microsoft.directory/servicePrincipals/create Créer des principaux de service
microsoft.directory/servicePrincipals/delete Supprimer des principaux de service
microsoft.directory/servicePrincipals/disable Désactiver des principaux de service
microsoft.directory/servicePrincipals/enable Activer des principaux de service
microsoft.directory/servicePrincipals/notes/update Mettre à jour les notes de principaux de service
microsoft.directory/servicePrincipals/owners/update Mettre à jour les propriétaires de principaux de service
microsoft.directory/servicePrincipals/permissions/update Mettre à jour les autorisations des principaux de service
microsoft.directory/servicePrincipals/policies/update Mettre à jour les stratégies des principaux de service
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Gérez les informations d’identification et les secrets du provisionnement d’application d’un locataire cloud vers un locataire cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Démarrez, redémarrez et mettez en pause les travaux de synchronisation du provisionnement d’application d’un locataire cloud vers un locataire cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Créez et gérez le schéma et les travaux de synchronisation du provisionnement d’application d’un locataire cloud vers un locataire cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gérez les secrets et les informations d’identification de l’approvisionnement des applications.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Démarrez, redémarrez et suspendez les travaux de synchronisation de l’approvisionnement des applications.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Créez et gérez le schéma et les tâches de synchronisation de l’approvisionnement des applications.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gérer les secrets et les informations d’identification de l’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronizationJobs/manage Démarrez, redémarrez et suspendez les travaux de synchronisation de l’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronizationSchema/manage Créez et gérez le schéma et les tâches de synchronisation de l’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronization/standard/read Lire les paramètres de provisionnement associés au principal de service
microsoft.directory/servicePrincipals/tag/update Mettre à jour la propriété Tag pour les principaux de service
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.directory/users/authorizationInfo/update Mettre à jour la propriété Identifiants utilisateur du certificat à valeurs multiples des utilisateurs
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur Identity Governance

Les utilisateurs dotés de ce rôle peuvent gérer la configuration de la gouvernance des identités Microsoft Entra ID, notamment les packages d'accès, les révisions d'accès, les catalogues et les stratégies, afin que l'accès soit approuvé et révisé et que les utilisateurs invités qui n'ont plus besoin de l'accès soient supprimés.

Actions Description
microsoft.directory/accessReviews/allProperties/allTasks (Déconseillé) Créer et supprimer les révisions d’accès, lire et actualiser toutes les propriétés des révisions d’accès ainsi que gérer les révisions d’accès des groupes dans Microsoft Entra ID
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Gérer les révisions d’accès des attributions de rôles d’application dans Microsoft Entra ID
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Gérer les révisions d’accès pour les attributions de packages d’accès dans la gestion des droits d’utilisation
microsoft.directory/accessReviews/definitions.groups/allProperties/read Lisez toutes les propriétés des révisions d’accès pour l’appartenance aux groupes de sécurité et Microsoft 365, y compris les groupes pouvant être attribués à des rôles.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Mettez à jour toutes les propriétés des révisions d’accès pour l’appartenance aux groupes de sécurité et Microsoft 365, à l’exception des groupes pouvant être attribués à des rôles.
microsoft.directory/accessReviews/definitions.groups/create Créez des révisions d’accès pour l’appartenance aux groupes de sécurité et Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Supprimez les révisions d’accès pour l’appartenance aux groupes de sécurité et Microsoft 365.
microsoft.directory/entitlementManagement/allProperties/allTasks Créer et supprimer des ressources, ainsi que lire et mettre à jour toutes les propriétés dans la gestion des droits d’utilisation Microsoft Entra
microsoft.directory/groups/members/update Actualiser la propriété membres des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Mettre à jour les attributions de rôles des principaux de service

Administrateur Insights

Les utilisateurs ayant ce rôle peuvent accéder à l’ensemble des fonctionnalités d’administration de l’application Microsoft Viva Insights. Ce rôle permet de lire les informations de répertoire, de contrôler l’intégrité du service, de soumettre des tickets de support et d’accéder aux aspects des paramètres Administrateur Insights.

En savoir plus

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.insights/allEntities/allProperties/allTasks Gérer tous les aspects de l’application Insights
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Analyste Insights

Attribuez le rôle Analyste Insights aux utilisateurs qui doivent effectuer les actions suivantes :

  • Analyser les données dans l’application Microsoft Viva Insights, mais pas gérer les paramètres de configuration
  • Créer, gérer et exécuter des requêtes
  • Afficher les paramètres de base et les rapports dans le Centre d’administration Microsoft 365
  • Créer et gérer des demandes de service dans le Centre d'administration Microsoft 365

En savoir plus

Actions Description
microsoft.insights/queries/allProperties/allTasks Exécuter et gérer des requêtes dans Viva Insights
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Leader d’entreprise Insights

Les utilisateurs ayant ce rôle peuvent accéder à un ensemble de tableaux de bord et d’insights par le biais de l’application Microsoft Viva Insights. Ceci inclut l’accès total à tous les tableaux de bord et aux insights présentés et la fonctionnalité d’exploration de données. Les utilisateurs ayant ce rôle n’ont pas accès aux paramètres de configuration du produit, lesquels sont de la responsabilité réservée au rôle Administrateur Insights.

En savoir plus

Actions Description
microsoft.insights/programs/allProperties/update Déployer et gérer des programmes dans l’application Insights
microsoft.insights/reports/allProperties/read Visualiser les rapports et le tableau de bord dans l’application Insights

Administrateur Intune

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Les utilisateurs avec ce rôle ont des autorisations générales dans Microsoft Intune Online, quand le service est présent. Ce rôle donne aussi la possibilité de gérer les utilisateurs et les appareils afin d’associer la stratégie, ainsi que de créer et de gérer des groupes. Pour plus d’informations, consultez Contrôle d’accès en fonction du rôle (RBAC) avec Microsoft Intune.

Ce rôle peut créer et gérer tous les groupes de sécurité. Cependant, l’Administrateur Intune ne dispose pas de droits d’administrateur sur les groupes Office. Cela signifie que l’administrateur ne peut pas mettre à jour les propriétaires ou les membres de tous les groupes Office au sein de l’organisation. Cependant, il peut gérer le groupe Office qu’il crée, ce qui fait partie de ses privilèges d’utilisateur final. Ainsi, tout groupe Office (et non un groupe de sécurité) qu’il crée doit être comptabilisé au titre de son quota de 250.

Remarque

Dans l’API Microsoft Graph et Microsoft Graph PowerShell, ce rôle est nommé Administrateur de service Intune. Dans le Portail Azure, il est nommé Administrateur Intune.

Actions Description
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Gérer tous les aspects de Windows 365
microsoft.directory/bitlockerKeys/key/read Lire les métadonnées et la clé BitLocker sur les appareils
Icône d’étiquette de privilège.
microsoft.directory/contacts/basic/update Mettre à jour les propriétés de base sur les contacts
microsoft.directory/contacts/create Créer des contacts
microsoft.directory/contacts/delete Supprimer des contacts
microsoft.directory/deletedItems.devices/delete Supprimer définitivement les appareils qui ne peuvent plus être restaurés
microsoft.directory/deletedItems.devices/restore Restaurer les appareils supprimés de manière réversible à l’état d’origine
microsoft.directory/deviceLocalCredentials/password/read Lire toutes les propriétés des informations d’identification du compte d’administrateur local sauvegardées pour les appareils joints à Microsoft Entra, y compris le mot de passe
microsoft.directory/deviceManagementPolicies/standard/read Lire les propriétés standard de la gestion des appareils mobiles et les stratégies de gestion des applications mobiles
microsoft.directory/deviceRegistrationPolicy/standard/read Lire les propriétés standard sur les stratégies d’inscription des appareils
microsoft.directory/devices/basic/update Mettre à jour les propriétés de base sur les appareils
microsoft.directory/devices/create Créer des appareils (s’inscrire à Microsoft Entra ID)
microsoft.directory/devices/delete Supprimer des périphériques de Microsoft Entra ID
microsoft.directory/devices/disable Désactiver des appareils dans Microsoft Entra ID
microsoft.directory/devices/enable Activer des appareils dans Microsoft Entra ID
microsoft.directory/devices/extensionAttributeSet1/update Actualiser les propriétés extensionAttribute1 en extensionAttribute5 sur les appareils
microsoft.directory/devices/extensionAttributeSet2/update Actualiser les propriétés extensionAttribute6 en extensionAttribute10 sur les appareils
microsoft.directory/devices/extensionAttributeSet3/update Actualiser les propriétés extensionAttribute11 en extensionAttribute15 sur les appareils
microsoft.directory/devices/registeredOwners/update Mettre à jour les propriétaires inscrits d’appareils
microsoft.directory/devices/registeredUsers/update Mettre à jour les utilisateurs inscrits d’appareils
microsoft.directory/groups/hiddenMembers/read Lire la propriété membres masqués des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle
microsoft.directory/groups.security/basic/update Actualiser les propriétés de base de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/classification/update Actualiser la propriété de classification de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/create Créer des groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/delete Supprimer des groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/dynamicMembershipRule/update Actualiser la règle d’adhésion dynamique des groupes de sécurité, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.security/members/update Actualiser les membres de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/owners/update Actualiser les propriétaires de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/visibility/update Actualiser la propriété de visibilité de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/users/basic/update Mettre à jour les propriétés de base sur les utilisateurs
microsoft.directory/users/manager/update Mettre à jour le gestionnaire pour les utilisateurs
microsoft.directory/users/photo/update Actualiser la photo des utilisateurs
microsoft.intune/allEntities/allTasks Gérez tous les aspects de Microsoft Intune
microsoft.office365.organizationalMessages/allEntities/allProperties/read Lire tous les aspects des messages organisationnels dans Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur Kaizala

Les utilisateurs dotés de ce rôle ont des autorisations générales de gérer des paramètres au sein de Microsoft Kaizala, quand le service est présent, et ils peuvent gérer les tickets de support et superviser l’intégrité du service. De plus, l’utilisateur peut accéder à des rapports liés à l’adoption et à l’utilisation de Kaizala par les membres de l’organisation, ainsi qu’à des rapports d’entreprise générés avec les actions Kaizala.

Actions Description
microsoft.directory/authorizationPolicy/standard/read Lire les propriétés standard de la stratégie d’autorisation
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur des connaissances

Les utilisateurs dotés de ce rôle disposent d’un accès total à tous les paramètres de connaissances, d’apprentissage et de fonctionnalités intelligentes disponibles dans le centre d’administration Microsoft 365. Ils ont une compréhension générale de la suite de produits, des détails des licences et ont la responsabilité de contrôler l’accès. L’Administrateur des connaissances peut créer et gérer du contenu, comme des rubriques, des acronymes et des ressources d’apprentissage. De plus, ces utilisateurs peuvent créer des centres de contenu, superviser l’intégrité du service et créer des demandes de service.

Actions Description
microsoft.directory/groups.security/basic/update Actualiser les propriétés de base de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/create Créer des groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/createAsOwner Créer des groupes de Sécurité, à l’exclusion des groupes à attribution de rôle Le créateur est ajouté en tant que premier propriétaire.
microsoft.directory/groups.security/delete Supprimer des groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/members/update Actualiser les membres de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/owners/update Actualiser les propriétaires de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Lire et mettre jour toutes les propriétés de la compréhension du contenu dans le centre d’administration Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Lire et mettre jour toutes les propriétés du réseau de connaissances dans le centre d’administration Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Gérer les sources d'apprentissage et toutes leurs propriétés dans l'application d'apprentissage
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Lire toutes les propriétés des étiquettes de sensibilité dans le Centre de sécurité et conformité
microsoft.office365.sharePoint/allEntities/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Gestionnaire des connaissances

Les utilisateurs qui disposent de ce rôle peuvent créer et gérer du contenu, comme des rubriques, des acronymes et du contenu d'apprentissage. Ces utilisateurs sont principalement responsables de la qualité et de la structure des connaissances. Cet utilisateur dispose de tous les droits sur les actions de gestion des rubriques pour confirmer une rubrique, approuver des modifications ou supprimer une rubrique. Ce rôle peut également gérer les taxonomies dans le cadre de l'outil de gestion du magasin de termes et créer des centres de contenu.

Actions Description
microsoft.directory/groups.security/basic/update Actualiser les propriétés de base de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/create Créer des groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/createAsOwner Créer des groupes de Sécurité, à l’exclusion des groupes à attribution de rôle Le créateur est ajouté en tant que premier propriétaire.
microsoft.directory/groups.security/delete Supprimer des groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/members/update Actualiser les membres de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/owners/update Actualiser les propriétaires de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Lire les rapports analytiques de la compréhension du contenu dans le Centre d'administration Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Gérer la visibilité des rubriques du réseau de connaissances dans le Centre d'administration Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de licence

Les utilisateurs dans ce rôle peuvent lire, ajouter, supprimer et mettre à jour des attributions de licence pour les utilisateurs, les groupes (à l’aide de la gestion des licences par groupe) et gérer l’emplacement d’utilisation pour les utilisateurs. Le rôle ne permet pas d’acheter ou de gérer des abonnements, de créer ou de gérer des groupes, ni de créer ou de gérer les utilisateurs au-delà de leur emplacement d’utilisation. Ce rôle n’a pas d'accès pour afficher, créer ou gérer des tickets de support.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.directory/authorizationPolicy/standard/read Lire les propriétés standard de la stratégie d’autorisation
microsoft.directory/groups/assignLicense Attribuer des licences de produits à des groupes pour la gestion des licences basée sur un groupe
microsoft.directory/groups/reprocessLicenseAssignment Retraiter les attributions de licence pour la gestion des licences basée sur un groupe
microsoft.directory/users/assignLicense Gérer les licences utilisateur
microsoft.directory/users/reprocessLicenseAssignment Retraiter les attributions de licence pour les utilisateurs
microsoft.directory/users/usageLocation/update Mettre à jour l’emplacement d’utilisation des utilisateurs
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur des workflows de cycle de vie

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Affectez le rôle d’administrateur Lifecycle Workflows aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Créer et gérer tous les aspects des workflows et des tâches associés aux workflows de cycle de vie dans Microsoft Entra ID
  • Vérifier l’exécution des workflows planifiés
  • Lancer des exécutions de workflow à la demande
  • Inspecter les journaux d’exécution du workflow
Actions Description
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Gérer tous les aspects des workflows et des tâches de cycle de vie dans Microsoft Entra ID
microsoft.directory/organization/strongAuthentication/read Lire les propriétés d’authentification forte d’une organisation
microsoft.directory/users/lifeCycleInfo/read Lire les informations de cycle de vie des utilisateurs, telles que employeeLeaveDateTime
Icône d’étiquette de privilège.

Lecteur de confidentialité du Centre de messages

Les utilisateurs dotés de ce rôle peuvent superviser toutes les notifications dans le Centre de messages, notamment les messages de confidentialité des données. Les lecteurs de confidentialité du Centre de messages reçoivent des notifications par e-mail, notamment celles liées à la confidentialité des données, et ils peuvent se désabonner à l’aide des préférences du Centre de messages. Seuls l’administrateur général et le lecteur de confidentialité du Centre de messages peuvent lire les messages de confidentialité des données. De plus, ce rôle permet de voir les groupes, les domaines et les abonnements. Il n’est pas autorisé à voir, créer ou gérer des demandes de service.

Actions Description
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.messageCenter/securityMessages/read Lire les messages de sécurité dans le Centre de messages du Centre d’administration Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Lecteur du Centre de messages

Les utilisateurs titulaires de ce rôle peuvent superviser les notifications et les mises à jour d’avis d’intégrité dans le Centre de messages pour leur organisation sur les services configurés comme Exchange, Intune et Microsoft Teams. Les lecteurs du Centre de messages reçoivent par e-mail des résumés hebdomadaires des publications, des mises à jour, et peuvent partager les messages publiés sur le Centre de messages dans Microsoft 365. Dans Microsoft Entra ID, les utilisateurs affectés à ce rôle n’auront accès en lecture seule qu’aux services Microsoft Entra tels que les utilisateurs et les groupes. Ce rôle n’a pas d'accès pour afficher, créer ou gérer des tickets de support.

Actions Description
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur(-trice) de migration Microsoft 365

Attribuez le rôle Administrateur(-trice) de la migration Microsoft 365 aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Utilisez le gestionnaire de migration dans le Centre d’administration Microsoft 365 pour gérer la migration du contenu vers Microsoft 365, y compris Teams, OneDrive for Business et les sites SharePoint, à partir de Google Drive, Dropbox, Box et Egnyte
  • Sélectionnez des sources de migration, créez des inventaires de migration (tels que des listes d’utilisateurs Google Drive), planifiez et exécutez des migrations, et téléchargez des rapports
  • Créez de nouveaux sites SharePoint si les sites de destination n’existent pas encore, créer des listes SharePoint sous les sites d’administration SharePoint, et créez et mettez à jour des éléments dans les listes SharePoint
  • Gérez les paramètres du projet de migration et le cycle de vie des tâches de migration
  • Gérez les correspondances entre les autorisations de la source et de la destination

Remarque

Ce rôle ne vous permet pas de migrer à partir de sources de partage de fichiers en utilisant le centre d’administration SharePoint. Vous pouvez utiliser le rôle d’administrateur(-trice) SharePoint pour migrer à partir de sources de partage de fichiers.

En savoir plus

Actions Description
microsoft.office365.migrations/allEntities/allProperties/allTasks Gérez tous les aspects de la migration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur local de l’appareil joint à Microsoft Entra

Ce rôle peut uniquement être attribué comme administrateur local supplémentaire dans Paramètres de l’appareil. Les utilisateurs dotés de ce rôle deviennent des administrateurs de l'ordinateur local pour tous les appareils Windows 10 qui sont joints à Microsoft Entra ID. Ils ne peuvent pas gérer des objets appareil dans Microsoft Entra ID.

Actions Description
microsoft.directory/groupSettings/standard/read Lire les propriétés de base sur des paramètres de groupe
microsoft.directory/groupSettingTemplates/standard/read Lire les propriétés de base sur des modèles de paramètres de groupe

Administrateur de la garantie du matériel Microsoft

Attribuez le rôle Administrateur de la garantie du matériel Microsoft aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Créer des revendications de garantie pour le matériel de fabrication Microsoft, comme Surface et HoloLens
  • Rechercher et lire les revendications de garantie ouvertes ou fermées
  • Rechercher et lire les revendications de garantie par numéro de série
  • Créer, lire, mettre à jour et supprimer des adresses d’expédition
  • Lire l’état d’expédition des réclamations de garantie ouvertes
  • Créer et gérer des demandes de service dans le Centre d'administration Microsoft 365
  • Lire les annonces du Centre de messagerie dans le centre d’administration Microsoft 365

Une demande de garantie est une demande de réparation ou de remplacement du matériel conformément aux conditions de la garantie. Pour plus d’informations, consultez Demandes de service et de garantie Surface en libre-service.

Actions Description
microsoft.hardware.support/shippingAddress/allProperties/allTasks Créer, lire, mettre à jour et supprimer des adresses d’expédition pour les demandes de garantie de matériel Microsoft, notamment les adresses d’expédition créées par d’autres personnes
microsoft.hardware.support/shippingStatus/allProperties/read Lire l’état d’expédition pour les demandes de garantie de matériel Microsoft ouvertes
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Créer et gérer tous les aspects des demandes de garantie matérielle Microsoft
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Spécialiste de la garantie du matériel Microsoft

Attribuez le rôle Spécialiste de la garantie du matériel Microsoft aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Créer des revendications de garantie pour le matériel de fabrication Microsoft, comme Surface et HoloLens
  • Lire les revendications de garantie qu’ils ont créées
  • Lire et mettre à jour les adresses d’expédition existantes
  • Lire l’état d’expédition des réclamations de garantie ouvertes qu’ils ont créées
  • Créer et gérer des demandes de service dans le Centre d'administration Microsoft 365

Une demande de garantie est une demande de réparation ou de remplacement du matériel conformément aux conditions de la garantie. Pour plus d’informations, consultez Demandes de service et de garantie Surface en libre-service.

Actions Description
microsoft.hardware.support/shippingAddress/allProperties/read Lire les adresses d’expédition pour les demandes de garantie de matériel Microsoft, notamment les adresses d’expédition existantes créées par d’autres
microsoft.hardware.support/warrantyClaims/createAsOwner Créer des revendications de garantie matérielle Microsoft dont le créateur est le propriétaire
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.hardware.support/shippingStatus/allProperties/read Lire l’état d’expédition pour les demandes de garantie de matériel Microsoft ouvertes
microsoft.hardware.support/warrantyClaims/allProperties/read Lire les demandes de garantie de matériel Microsoft

Administrateur de Commerce moderne

Ne pas utiliser. Ce rôle est attribué automatiquement à partir de Commerce, et n’est ni prévu, ni pris en charge pour toute autre utilisation. Consultez les détails ci-dessous.

Le rôle Administrateur de Commerce moderne donne à certains utilisateurs l’autorisation d’accéder au Centre d’administration Microsoft 365 et de consulter les entrées de navigation de gauche pour Hébergement, Facturation et Support. Le contenu disponible dans ces zones est contrôlé par des rôles spécifiques du commerce attribués aux utilisateurs pour gérer des produits qu’ils ont achetés pour eux-mêmes ou votre organisation. Cela peut inclure des tâches telles que le paiement de factures, ou l’accès à des comptes de facturation et à des profils de facturation.

Les utilisateurs ayant le rôle Administrateur de Commerce moderne disposent généralement d’autorisations d’administration dans d’autres systèmes d’achat Microsoft, mais ne disposent pas des rôles Administrateur général ou Administrateur de facturation utilisés pour accéder au Centre d’administration.

Quand le rôle Administrateur de Commerce moderne est-il attribué ?

  • Achat en libre-service dans le Centre d’administration Microsoft 365 : l’achat en libre-service permet aux utilisateurs de tester de nouveaux produits en les achetant ou en s’y inscrivant eux-mêmes. Ces produits sont gérés dans le Centre d’administration. Les utilisateurs qui effectuent un achat en libre-service se voient attribuer un rôle dans le système Commerce et le rôle Administrateur de Commerce moderne afin de pouvoir gérer leurs achats dans le Centre d’administration. Les administrateurs peuvent bloquer les achats en libre-service (pour Fabric, Power BI, Power Apps, Power automate) au moyen de PowerShell. Pour plus d’informations, consultez FAQ sur l’achat en libre-service.
  • Achats sur la Place de marché commerciale de Microsoft : comme pour l’achat en libre-service, quand un utilisateur achète un produit ou un service sur Microsoft AppSource ou la Place de marché Azure, le rôle Administrateur de Commerce moderne lui est attribué s’il n’a pas le rôle Administrateur général ou Administrateur de facturation. Dans certains cas, il peut arriver que des utilisateurs soient empêchés d’effectuer ces achats. Pour plus d’informations, consultez Place de marché commerciale de Microsoft.
  • Propositions de Microsoft : une proposition est une offre formelle de Microsoft à votre organisation pour l’achat de produits et services Microsoft. Quand la personne qui accepte la proposition n’a pas de rôle Administrateur général ou Administrateur de facturation dans Microsoft Entra ID, elle se voit attribuer un rôle spécifique du commerce pour compléter la proposition et le rôle Administrateur de Commerce moderne pour accéder au centre d’administration. Quand elle accède au Centre d’administration, elle ne peut utiliser que des fonctionnalités autorisées par son rôle spécifique du commerce.
  • Rôles spécifiques du commerce : certains utilisateurs se voient attribuer des rôles spécifiques du commerce. Si un utilisateur n’est pas un Administrateur général ou un Administrateur de facturation, il obtient le rôle Administrateur de Commerce moderne qui lui permet d’accéder au centre d’administration.

En cas de suppression de l’attribution du rôle Administrateur de Commerce moderne à un utilisateur, celui-ci perd son accès au Centre d’administration Microsoft 365. S’il gérait des produits pour lui-même ou pour votre organisation, ils ne peut plus les gérer. Cette gestion peut inclure l’attribution de licences, la modification de modes de paiement, le paiement de factures ou d’autres tâches d’administration des abonnements.

Actions Description
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Gérer tous les aspects du Centre de services de licences en volume
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/basic/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur réseau

Les utilisateurs de ce rôle peuvent passer en revue les recommandations de Microsoft relatives à l’architecture du périmètre réseau basées sur la télémétrie du réseau à partir de leur emplacement utilisateur. Les performances réseau pour Microsoft 365 s’appuient sur une architecture de périmètre de réseau client entreprise soigneuse, qui est généralement propre à la localisation de l’utilisateur. Ce rôle permet de modifier les emplacements utilisateur découverts et la configuration des paramètres réseau pour ces emplacements afin de faciliter les mesures de télémétrie et les suggestions de conception améliorées

Actions Description
microsoft.office365.network/locations/allProperties/allTasks Gérer tous les aspects des emplacements réseau
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur d’applications Office

Les utilisateurs titulaires de ce rôle peuvent gérer les paramètres cloud des applications Microsoft 365. Cela comprend la gestion des stratégies cloud, la gestion du téléchargement en libre-service et la possibilité d’afficher des rapports relatifs aux applications Office. Ce rôle accorde en outre la possibilité de gérer les tickets de support et de surveiller l’intégrité du service au sein du centre d’administration principal. Les utilisateurs affectés à ce rôle peuvent également gérer la communication de nouvelles fonctionnalités dans les applications Office.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.userCommunication/allEntities/allTasks Lire et mettre à jour la visibilité des messages Nouveautés
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de la personnalisation organisationnelle

Attribuez le rôle Administrateur de la personnalisation organisationnelle aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Gérer tous les aspects de la personnalisation organisationnelle dans un tenant
  • Lire, créer, mettre à jour et supprimer des thèmes de personnalisation
  • Gérer le thème de personnalisation par défaut et tous les thèmes de localisation de personnalisation
Actions Description
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Créer et supprimer loginTenantBranding, ainsi que lire et mettre à jour toutes les propriétés

Approbateur de messages organisationnels

Attribuez le rôle Approbateur de messages organisationnels aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Passer en revue, approuver ou rejeter de nouveaux messages organisationnels pour la distribution dans le centre d’administration Microsoft 365 avant qu’ils ne soient envoyés aux utilisateurs à l’aide de la plateforme Messages organisationnels de Microsoft 365
  • Lire tous les aspects des messages organisationnels
  • Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
Actions Description
microsoft.office365.organizationalMessages/allEntities/allProperties/read Lire tous les aspects des messages organisationnels dans Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/update Approuver ou rejeter de nouveaux messages organisationnels pour la distribution dans le centre d’administration Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Enregistreur de messages organisationnels

Attribuez le rôle Enregistreur de messages organisationnels aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Écrire, publier et supprimer des messages organisationnels dans le Centre d’administration Microsoft 365 ou Microsoft Intune
  • Gérer les options de remise de messages organisationnels dans le Centre d’administration Microsoft 365 ou Microsoft Intune
  • Lire les résultats de remise de messages organisationnels dans le Centre d’administration Microsoft 365 ou Microsoft Intune
  • Consulter les rapports d’utilisation et la plupart des paramètres dans le Centre d’administration Microsoft 365, mais sans faire de changements
Actions Description
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Gérer tous les aspects de la création de messages organisationnels dans Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Lire les rapports d’utilisation Office 365 agrégés au niveau locataire
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Prise en charge de niveau 1 de partenaire

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Ne pas utiliser. Ce rôle est déconseillé et sera prochainement supprimé de Microsoft Entra ID. Il s’adresse à un petit nombre de partenaires revendeurs Microsoft et n’est pas destiné à une utilisation générale.

Important

Ce rôle peut réinitialiser les mots de passe et invalider les jetons d’actualisation uniquement pour les non-administrateurs. Ce rôle ne doit pas être utilisé, car il est déprécié.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/applications/appRoles/update Mettre à jour la propriété appRoles sur tous les types d’applications
microsoft.directory/applications/audience/update Mettre à jour la propriété audience pour les applications
microsoft.directory/applications/authentication/update Mettre à jour l’authentification sur tous les types d’applications
microsoft.directory/applications/basic/update Mettre à jour les propriétés de base pour les applications
microsoft.directory/applications/credentials/update Mettre à jour les informations d’identification d’application
Icône d’étiquette de privilège.
microsoft.directory/applications/notes/update Mettre à jour les notes d’applications
microsoft.directory/applications/owners/update Mettre à jour les propriétaires d’applications
microsoft.directory/applications/permissions/update Mettre à jour les autorisations exposées et les autorisations requises sur tous les types d’applications
microsoft.directory/applications/policies/update Mettre à jour les stratégies d’applications
microsoft.directory/applications/tag/update Mettre à jour les balises d’applications
microsoft.directory/contacts/basic/update Mettre à jour les propriétés de base sur les contacts
microsoft.directory/contacts/create Créer des contacts
microsoft.directory/contacts/delete Supprimer des contacts
microsoft.directory/deletedItems.groups/restore Restaurer les groupes supprimés de manière réversible à l’état d’origine
microsoft.directory/deletedItems.users/restore Restaurer les utilisateurs ayant fait l’objet d’une suppression réversible à leur état d’origine
microsoft.directory/groups/create Créer des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/delete Supprimer des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/members/update Actualiser la propriété membres des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/owners/update Actualiser la propriété propriétaires des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/restore Restaurer les groupes à partir d’un conteneur supprimé de manière réversible
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Créer et supprimer des octrois d’autorisations OAuth 2.0, et lire et mettre à jour toutes les propriétés
Icône d’étiquette de privilège.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Mettre à jour les attributions de rôles des principaux de service
microsoft.directory/users/assignLicense Gérer les licences utilisateur
microsoft.directory/users/basic/update Mettre à jour les propriétés de base sur les utilisateurs
microsoft.directory/users/create Ajouter des utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/delete Suppression d’utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/disable Désactiver des utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/enable Activer des utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/invalidateAllRefreshTokens Forcer la déconnexion en invalidant les jetons d’actualisation de l’utilisateur
Icône d’étiquette de privilège.
microsoft.directory/users/manager/update Mettre à jour le gestionnaire pour les utilisateurs
microsoft.directory/users/password/update Réinitialiser les mots de passe de tous les utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/photo/update Actualiser la photo des utilisateurs
microsoft.directory/users/restore Restaurer les utilisateurs supprimés
microsoft.directory/users/userPrincipalName/update Mettre à jour le nom d’utilisateur principal des utilisateurs
Icône d’étiquette de privilège.
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Prise en charge de niveau 2 de partenaire

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Ne pas utiliser. Ce rôle est déconseillé et sera prochainement supprimé de Microsoft Entra ID. Il s’adresse à un petit nombre de partenaires revendeurs Microsoft et n’est pas destiné à une utilisation générale.

Important

Ce rôle peut réinitialiser les mots de passe et invalider les jetons d’actualisation pour l’ensemble des non-administrateurs et des administrateurs (y compris les administrateurs généraux). Ce rôle ne doit pas être utilisé, car il est déprécié.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/applications/appRoles/update Mettre à jour la propriété appRoles sur tous les types d’applications
microsoft.directory/applications/audience/update Mettre à jour la propriété audience pour les applications
microsoft.directory/applications/authentication/update Mettre à jour l’authentification sur tous les types d’applications
microsoft.directory/applications/basic/update Mettre à jour les propriétés de base pour les applications
microsoft.directory/applications/credentials/update Mettre à jour les informations d’identification d’application
Icône d’étiquette de privilège.
microsoft.directory/applications/notes/update Mettre à jour les notes d’applications
microsoft.directory/applications/owners/update Mettre à jour les propriétaires d’applications
microsoft.directory/applications/permissions/update Mettre à jour les autorisations exposées et les autorisations requises sur tous les types d’applications
microsoft.directory/applications/policies/update Mettre à jour les stratégies d’applications
microsoft.directory/applications/tag/update Mettre à jour les balises d’applications
microsoft.directory/contacts/basic/update Mettre à jour les propriétés de base sur les contacts
microsoft.directory/contacts/create Créer des contacts
microsoft.directory/contacts/delete Supprimer des contacts
microsoft.directory/deletedItems.groups/restore Restaurer les groupes supprimés de manière réversible à l’état d’origine
microsoft.directory/deletedItems.users/restore Restaurer les utilisateurs ayant fait l’objet d’une suppression réversible à leur état d’origine
microsoft.directory/domains/allProperties/allTasks Créer et supprimer des domaines, ainsi que lire et mettre à jour toutes les propriétés
Icône d’étiquette de privilège.
microsoft.directory/groups/create Créer des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/delete Supprimer des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/members/update Actualiser la propriété membres des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/owners/update Actualiser la propriété propriétaires des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/restore Restaurer les groupes à partir d’un conteneur supprimé de manière réversible
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Créer et supprimer des octrois d’autorisations OAuth 2.0, et lire et mettre à jour toutes les propriétés
Icône d’étiquette de privilège.
microsoft.directory/organization/basic/update Mettre à jour des propriétés de base sur une organisation
microsoft.directory/roleAssignments/allProperties/allTasks Créer et supprimer des attributions de rôle, et lire et mettre à jour toutes les propriétés des attributions de rôle
microsoft.directory/roleDefinitions/allProperties/allTasks Créer et supprimer des définitions de rôle, et lire et mettre à jour toutes les propriétés
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Créer et supprimer des scopedRoleMemberships, et lire et mettre à jour toutes les propriétés
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Mettre à jour les attributions de rôles des principaux de service
microsoft.directory/subscribedSkus/standard/read Lire les propriétés de base sur les abonnements
microsoft.directory/users/assignLicense Gérer les licences utilisateur
microsoft.directory/users/basic/update Mettre à jour les propriétés de base sur les utilisateurs
microsoft.directory/users/create Ajouter des utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/delete Suppression d’utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/disable Désactiver des utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/enable Activer des utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/invalidateAllRefreshTokens Forcer la déconnexion en invalidant les jetons d’actualisation de l’utilisateur
Icône d’étiquette de privilège.
microsoft.directory/users/manager/update Mettre à jour le gestionnaire pour les utilisateurs
microsoft.directory/users/password/update Réinitialiser les mots de passe de tous les utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/photo/update Actualiser la photo des utilisateurs
microsoft.directory/users/restore Restaurer les utilisateurs supprimés
microsoft.directory/users/userPrincipalName/update Mettre à jour le nom d’utilisateur principal des utilisateurs
Icône d’étiquette de privilège.
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de mots de passe

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Les utilisateurs disposant de ce rôle ont une capacité limitée à gérer les mots de passe. Ce rôle n’accorde pas la possibilité de gérer les demandes de service ou de surveiller l’intégrité du service. Le rôle attribué à un utilisateur détermine si un administrateur de mot de passe peut réinitialiser le mot de passe de l’utilisateur. Pour obtenir la liste des rôles pour lesquels un administrateur de mot de passe peut réinitialiser les mots de passe, consultez Qui peut réinitialiser les mots de passe.

Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :

  • Ne peuvent pas modifier les informations d’identification ou réinitialiser l’authentification multifacteur pour les membres et les propriétaires d’un groupe auquel un rôle est assignable.
Actions Description
microsoft.directory/users/password/update Réinitialiser les mots de passe de tous les utilisateurs
Icône d’étiquette de privilège.
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de gestion des autorisations

Affectez le rôle d’administrateur de gestion des autorisations aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Gérer tous les aspects de la Gestion des autorisations Microsoft Entra, lorsque le service est présent

En savoir plus sur les rôles et stratégies de gestion des autorisations dans Afficher des informations sur les rôles/stratégies.

Actions Description
microsoft.permissionsManagement/allEntities/allProperties/allTasks Gérer tous les aspects de la Gestion des autorisations Microsoft Entra

Administrateur de plateforme Power

Les utilisateurs de ce rôle peuvent créer et gérer tous les aspects des environnements, Power Apps, Flows et les stratégies de protection contre la perte de données. Les utilisateurs avec ce rôle sont aussi en mesure de gérer les tickets de support et de surveiller l’état des services.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.dynamics365/allEntities/allTasks Gérez tous les aspects de Dynamics 365
microsoft.flow/allEntities/allTasks Gérez tous les aspects de Microsoft Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.powerApps/allEntities/allTasks Gérez tous les aspects de Power Apps

Administrateur d’imprimantes

Les utilisateurs ayant ce rôle peuvent inscrire des imprimantes et gérer tous les aspects de toutes les configurations d’imprimante dans la solution d’impression universelle Microsoft, y compris les paramètres du connecteur d’impression universel. Ils peuvent consentir à toutes les demandes d’autorisation d’impression déléguée. Les administrateurs d’imprimantes ont également accès aux rapports d’impression.

Actions Description
microsoft.azure.print/allEntities/allProperties/allTasks Créer et supprimer des imprimantes et des connecteurs, ainsi que lire et mettre à jour toutes les propriétés dans Microsoft Print

Technicien en charge des imprimantes

Les utilisateurs ayant ce rôle peuvent inscrire des imprimantes et gérer leur état dans la solution d’impression universelle Microsoft. Ils peuvent également lire toutes les informations du connecteur. Une tâche clé qu’un technicien en charge des imprimantes ne peut pas accomplir est la définition d’autorisations utilisateur sur des imprimantes et le partage d’imprimantes.

Actions Description
microsoft.azure.print/connectors/allProperties/read Lire toutes les propriétés des connecteurs dans Microsoft Print
microsoft.azure.print/printers/allProperties/read Lire toutes les propriétés des imprimantes dans Microsoft Print
microsoft.azure.print/printers/basic/update Mettre à jour les propriétés de base des imprimantes dans Microsoft Print
microsoft.azure.print/printers/register Inscrire des imprimantes dans Microsoft Print
microsoft.azure.print/printers/unregister Désinscrire des imprimantes dans Microsoft Print

Administrateur d’authentification privilégié

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Affectez le rôle d’administrateur d’authentification privilégiée aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Définir ou réinitialiser toute méthode d’authentification (y compris les mots de passe) pour n’importe quel utilisateur, y compris les administrateurs généraux.
  • Supprimer ou restaurer tous les utilisateurs, y compris les administrateurs généraux. Pour plus d’informations, consultez Qui peut effectuer des actions sensibles.
  • Forcer les utilisateurs à se réinscrire avec des informations d’identification sans mot de passe existantes (par exemple, MFA, FIDO) et à révoquer la mémorisation de l’authentification multifacteur sur l’appareil, ce qui a pour effet de demander une authentification multifacteur lors de la prochaine connexion de tous les utilisateurs.
  • Mettre à jour les propriétés sensibles pour tous les utilisateurs. Pour plus d’informations, consultez Qui peut effectuer des actions sensibles.
  • Créer et gérer des tickets de support dans Azure AD et le Centre d’administration Microsoft 365.

Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :

  • Ne peuvent pas gérer l’authentification multifacteur par utilisateur dans le portail de gestion MFA hérité.

Le tableau suivant compare les fonctionnalités des rôles associés à l’authentification.

Rôle Gérer les méthodes d’authentification de l’utilisateur Gérer l’authentification multifacteur par utilisateur Gérer les paramètres de l’authentification multifacteur Gérer la stratégie de méthode d’authentification Gérer la stratégie de protection par mot de passe Mettre à jour les propriétés sensibles Supprimer et restaurer des utilisateurs
Administrateur d’authentification Oui pour certains utilisateurs Oui pour certains utilisateurs Oui No Non Oui pour certains utilisateurs Oui pour certains utilisateurs
Administrateur d’authentification privilégié Oui pour tous les utilisateurs Oui pour tous les utilisateurs Non Non Non Oui pour tous les utilisateurs Oui pour tous les utilisateurs
Administrateur de la stratégie d’authentification Non Oui Oui Oui Oui No Non
Administrateur d’utilisateurs Non Non Non Non Non Oui pour certains utilisateurs Oui pour certains utilisateurs

Important

Les utilisateurs auxquels ce rôle est assigné peuvent changer les informations d’identification des personnes susceptibles d’avoir accès à des informations sensibles ou privées ou à des configurations critiques à l’intérieur et à l’extérieur de Microsoft Entra ID. Changer les informations d’identification d’un utilisateur peut signifier la capacité d’assumer l’identité et les autorisations de cet utilisateur. Par exemple :

  • Les propriétaires d’inscription d’application et d’application d’entreprise, qui peuvent gérer les informations d’identification des applications qu’ils possèdent. Ces applications peuvent disposer d’autorisations privilégiées dans Microsoft Entra ID et ailleurs qui ne sont pas accordées aux administrateurs d’authentification. Par ce biais, un administrateur d’authentification peut assumer l’identité d’un propriétaire d’application, puis d’assumer l’identité d’une application privilégiée en mettant à jour les identifiants de celle-ci.
  • Propriétaires d’abonnement Azure, qui peuvent avoir accès à des informations confidentielles ou privées ou à une configuration critique dans Azure.
  • Propriétaires de groupe de sécurité et de groupe Microsoft 365, qui peuvent gérer l’appartenance à un groupe. Ces groupes peuvent accorder l’accès à des informations sensibles ou privées ou à une configuration critique dans Microsoft Entra ID et ailleurs.
  • Les administrateurs relevant d’autres services en dehors de Microsoft Entra ID, tels que Exchange Online, le portail Microsoft 365 Defender, le portail de conformité Microsoft Purview et les systèmes de ressources humaines.
  • Les non-administrateurs comme les cadres supérieurs, les conseillers juridiques et les employés des ressources humaines qui peuvent avoir accès à des informations sensibles ou privées.
Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/deletedItems.users/restore Restaurer les utilisateurs ayant fait l’objet d’une suppression réversible à leur état d’origine
microsoft.directory/users/authenticationMethods/basic/update Mettre à jour les propriétés de base des méthodes d’authentification pour les utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/authenticationMethods/create Mettre à jour les méthodes d’authentification pour les utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/authenticationMethods/delete Supprimer les méthodes d’authentification pour les utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/authenticationMethods/standard/read Lire les propriétés standard des méthodes d’authentification pour les utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/authorizationInfo/update Mettre à jour la propriété Identifiants utilisateur du certificat à valeurs multiples des utilisateurs
microsoft.directory/users/basic/update Mettre à jour les propriétés de base sur les utilisateurs
microsoft.directory/users/delete Suppression d’utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/disable Désactiver des utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/enable Activer des utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/invalidateAllRefreshTokens Forcer la déconnexion en invalidant les jetons d’actualisation de l’utilisateur
Icône d’étiquette de privilège.
microsoft.directory/users/manager/update Mettre à jour le gestionnaire pour les utilisateurs
microsoft.directory/users/password/update Réinitialiser les mots de passe de tous les utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/restore Restaurer les utilisateurs supprimés
microsoft.directory/users/userPrincipalName/update Mettre à jour le nom d’utilisateur principal des utilisateurs
Icône d’étiquette de privilège.
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de rôle privilégié

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Les utilisateurs avec ce rôle peuvent gérer les attributions de rôles dans Microsoft Entra ID et Microsoft Entra Privileged Identity Management. Ils peuvent créer et gérer des groupes qui peuvent être affectés à des rôles Microsoft Entra. De plus, ce rôle permet de gérer tous les aspects de Privileged Identity Management et des unités administratives.

Important

Ce rôle donne la possibilité de gérer les attributions de tous les rôles Microsoft Entra, y compris le rôle d’administrateur général. Ce rôle n’inclut pas d’autres capacités privilégiées dans Microsoft Entra ID, comme la création ou la mise à jour des utilisateurs. Toutefois, les utilisateurs affectés à ce rôle peuvent s’accorder ou accorder à d’autres des privilèges supplémentaires en leur attribuant des rôles supplémentaires.

Actions Description
microsoft.directory/accessReviews/definitions.applications/allProperties/read Lire tous les propriétés des révisions d’accès des attributions de rôles d’application dans Microsoft Entra ID
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks Gérer les révisions d’accès pour les attributions de rôles Microsoft Entra
microsoft.directory/accessReviews/definitions.groups/allProperties/read Lisez toutes les propriétés des révisions d’accès pour l’appartenance aux groupes de sécurité et Microsoft 365, y compris les groupes pouvant être attribués à des rôles.
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update Mettre à jour toutes les propriétés des révisions d’accès pour l’appartenance à des groupes qui peuvent être attribués à des rôles Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create Créer des révisions d’accès pour l’appartenance à des groupes qui peuvent être attribués à des rôles Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete Supprimer les révisions d’accès pour l’appartenance à des groupes qui peuvent être attribués à des rôles Microsoft Entra
microsoft.directory/administrativeUnits/allProperties/allTasks Créez et gérez des unités administratives (y compris les membres).
microsoft.directory/authorizationPolicy/allProperties/allTasks Gérer tous les aspects de la stratégie d’autorisation
Icône d’étiquette de privilège.
microsoft.directory/directoryRoles/allProperties/allTasks Créer et supprimer des rôles d’annuaire, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/groupsAssignableToRoles/allProperties/update Mettre à jour des groupes assignables à un rôle
microsoft.directory/groupsAssignableToRoles/assignLicense Attribuer une licence à des groupes assignables à des rôles
microsoft.directory/groupsAssignableToRoles/create Créer des groupes pouvant se voir attribuer des rôles
microsoft.directory/groupsAssignableToRoles/delete Supprimer des groupes assignables à un rôle
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Retraiter les attributions de licences à des groupes assignables à des rôles
microsoft.directory/groupsAssignableToRoles/restore Restaurer des groupes assignables à un rôle
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Créer et supprimer des octrois d’autorisations OAuth 2.0, et lire et mettre à jour toutes les propriétés
Icône d’étiquette de privilège.
microsoft.directory/permissionGrantPolicies/allProperties/read Lire toutes les propriétés des stratégies d’octroi d’autorisations
microsoft.directory/permissionGrantPolicies/allProperties/update Mettre à jour toutes les propriétés des stratégies d’octroi d’autorisations
microsoft.directory/permissionGrantPolicies/create Créer des stratégies d’octroi d’autorisation
microsoft.directory/permissionGrantPolicies/delete Supprimer les stratégies d’octroi d’autorisation
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard dans Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks Créer et supprimer des attributions de rôle, et lire et mettre à jour toutes les propriétés des attributions de rôle
microsoft.directory/roleDefinitions/allProperties/allTasks Créer et supprimer des définitions de rôle, et lire et mettre à jour toutes les propriétés
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Créer et supprimer des scopedRoleMemberships, et lire et mettre à jour toutes les propriétés
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Mettre à jour les attributions de rôles des principaux de service
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Consentir à toute autorisation sur toute application
microsoft.directory/servicePrincipals/permissions/update Mettre à jour les autorisations des principaux de service
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Lecteur de rapports

Les utilisateurs disposant de ce rôle peuvent afficher les données de rapports sur l’utilisation et le tableau de bord des rapports dans le centre d’administration Microsoft 365 et le pack du contexte d’adoption dans Fabric et Power BI. En outre, ce rôle donne accès aux journaux de connexion, journaux d’audit et rapports d’activité dans Microsoft Entra ID, ainsi qu’aux données renvoyées par l’API de création de rapports Microsoft Graph. Un utilisateur disposant du rôle Lecteur de rapports peut uniquement accéder au métriques d’utilisation et d’adoption pertinentes. Il n’a pas les autorisations administrateur permettant de configurer les paramètres ou d’accéder aux centres d’administration propres au produit comme Exchange. Ce rôle n’a pas d'accès pour afficher, créer ou gérer des tickets de support.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés sur les journaux d’audit, à l’exception des journaux d’audit des attributs de sécurité personnalisés
microsoft.directory/provisioningLogs/allProperties/read Lire toutes les propriétés des journaux de provisionnement.
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de recherche

Les utilisateurs dotés de ce rôle disposent d’un accès total à toutes les fonctionnalités de gestion de Recherche Microsoft disponibles dans le centre d’administration Microsoft 365. De plus, ces utilisateurs peuvent voir le Centre de messages, superviser l’intégrité du service et créer des demandes de service.

Actions Description
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.search/content/manage Créer et supprimer du contenu, ainsi que lire et mettre à jour toutes les propriétés dans Recherche Microsoft
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Éditeur de recherche

Les utilisateurs dotés de ce rôle peuvent créer, gérer et supprimer du contenu pour Recherche Microsoft dans le centre d’administration Microsoft 365, notamment des signets, des questions et réponses, ainsi que des emplacements.

Actions Description
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.search/content/manage Créer et supprimer du contenu, ainsi que lire et mettre à jour toutes les propriétés dans Recherche Microsoft
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de sécurité

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Les utilisateurs dotés de ce rôle sont autorisés à gérer les fonctionnalités liées à la sécurité dans le portail Microsoft 365 Defender, Microsoft Entra ID Protection, Microsoft Entra Authentication, Azure Information Protection et le portail de conformité Microsoft Purview. Pour plus d’informations, consultez Rôles et groupes de rôles dans Microsoft Defender pour Office 365 et conformité Microsoft Purview.

Dans Peut
Portail Microsoft 365 Defender Surveiller les stratégies de sécurité au sein des services Microsoft 365
Gérer les menaces et les alertes liées à la sécurité
Afficher les rapports
Microsoft Entra ID Protection Toutes les autorisations du rôle lecteur de sécurité
Effectuer toutes les opérations ID Protection, à l’exception de la réinitialisation des mots de passe
Privileged Identity Management Toutes les autorisations du rôle lecteur de sécurité
Ne peut pas gérer les paramètres ou les attributions de rôle Microsoft Entra
Portail de conformité Microsoft Purview Gérer les stratégies de sécurité
Afficher, examiner et répondre aux menaces de sécurité
Afficher les rapports
Azure Advanced Threat Protection Surveiller et répondre aux activités de sécurité suspectes
Microsoft Defender for Endpoint Attribuer des rôles
Gérer des groupes de machines
Configurer la détection des menaces liées aux points de terminaison et leur correction automatisée
Afficher, examiner et répondre aux alertes
Afficher l’inventaire des machines/appareils
Intune Mappe au rôle Intune Endpoint Security Manager
Microsoft Defender for Cloud Apps Ajouter des administrateurs, des stratégies et des paramètres, charger des journaux d’activité et effectuer des actions de gouvernance
Intégrité des services Microsoft 365 Afficher l’intégrité des services Microsoft 365
Verrouillage intelligent Définissez le seuil et la durée des verrouillages lorsque des événements d’échec de connexion se produisent.
Protection par mot de passe Configurez une liste personnalisée de mots de passe interdits ou une protection par mot de passe locale.
Synchronisation entre clients Configurez les paramètres d’accès interlocataire pour les utilisateurs d’un autre locataire. Les administrateurs de la sécurité ne peuvent pas directement créer et supprimer des utilisateurs, mais ils peuvent indirectement créer et supprimer des utilisateurs synchronisés depuis un autre locataire lorsque les deux locataires sont configurés pour la synchronisation entre clients, ce qui est une autorisation avec privilège.
Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/applications/policies/update Mettre à jour les stratégies d’applications
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés sur les journaux d’audit, à l’exception des journaux d’audit des attributs de sécurité personnalisés
microsoft.directory/authorizationPolicy/standard/read Lire les propriétés standard de la stratégie d’autorisation
microsoft.directory/bitlockerKeys/key/read Lire les métadonnées et la clé BitLocker sur les appareils
Icône d’étiquette de privilège.
microsoft.directory/conditionalAccessPolicies/basic/update Mettre à jour les propriétés de base des stratégies d'accès conditionnel
microsoft.directory/conditionalAccessPolicies/create Créer des stratégies d’accès conditionnel
microsoft.directory/conditionalAccessPolicies/delete Supprimer les stratégies d'accès conditionnel
microsoft.directory/conditionalAccessPolicies/owners/read Lire les propriétaires des politiques d'accès conditionnel
microsoft.directory/conditionalAccessPolicies/owners/update Mettre à jour les propriétaires des stratégies d'accès conditionnel
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Lire la propriété "appliqué à" pour les stratégies d'accès conditionnel
microsoft.directory/conditionalAccessPolicies/standard/read Lire l'accès conditionnel pour les stratégies
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Mettre à jour le locataire par défaut pour les stratégies d'accès conditionnel
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Mettre à jour les points de terminaison cloud autorisés de la stratégie d’accès inter-locataires
microsoft.directory/crossTenantAccessPolicy/basic/update Mettre à jour les paramètres de base de la stratégie d’accès inter-locataires
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Mettre à jour les paramètres de Microsoft Entra B2B Collaboration de la stratégie d’accès inter-tenants par défaut
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Mettre à jour les paramètres de connexion directe Microsoft Entra B2B de la stratégie d’accès inter-tenants par défaut
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Mettre à jour les paramètres de réunion Teams interclouds de la stratégie d’accès inter-locataires par défaut
microsoft.directory/crossTenantAccessPolicy/default/standard/read Lire les propriétés de base de la stratégie d’accès inter-locataires par défaut
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Mettre à jour les restrictions de locataire de la stratégie d’accès inter-locataires par défaut
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Mettre à jour les paramètres de Microsoft Entra B2B Collaboration de la stratégie d’accès inter-tenants pour les partenaires
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Mettre à jour les paramètres de connexion directe Microsoft Entra B2B de la stratégie d’accès inter-tenants pour les partenaires
microsoft.directory/crossTenantAccessPolicy/partners/create Créer une stratégie d’accès inter-locataires pour les partenaires
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Mettre à jour les paramètres de réunion Teams interclouds de la stratégie d’accès inter-locataires pour les partenaires
microsoft.directory/crossTenantAccessPolicy/partners/delete Supprimer une stratégie d’accès inter-locataires pour les partenaires
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Mettre à jour les paramètres de base de la stratégie de synchronisation inter-locataires
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Créer une stratégie de synchronisation interlocataire pour les partenaires
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Lire les propriétés de base de la stratégie de synchronisation inter-locataires
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Lire les propriétés de base de la stratégie d’accès inter-locataires pour les partenaires
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Mettre à jour des modèles de stratégie de synchronisation entre tenants pour une organisation multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings Réinitialiser un modèle de stratégie de synchronisation entre tenants d’une organisation multi-tenant avec les paramètres par défaut
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Lire les propriétés de base des modèles de stratégie de synchronisation entre tenants pour une organisation multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Mettre à jour des modèles de stratégie d’accès entre tenants pour une organisation multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings Réinitialiser un modèle de stratégie d’accès entre tenants d’une organisation multi-tenant avec les paramètres par défaut
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Lire les propriétés de base des modèles de stratégie d’accès entre tenants pour une organisation multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Mettre à jour les restrictions de locataire de la stratégie d’accès inter-locataires pour les partenaires
microsoft.directory/crossTenantAccessPolicy/standard/read Lire les propriétés de base de la stratégie d’accès inter-locataires
microsoft.directory/deviceLocalCredentials/standard/read Lire toutes les propriétés des informations d’identification du compte d’administrateur local sauvegardées pour les appareils joints à Microsoft Entra, excepté le mot de passe
microsoft.directory/domains/federationConfiguration/basic/update Mettre à jour la configuration de fédération de base pour les domaines
microsoft.directory/domains/federationConfiguration/create Créer une configuration de fédération pour les domaines
microsoft.directory/domains/federationConfiguration/delete Supprimer une configuration de fédération pour les domaines
microsoft.directory/domains/federationConfiguration/standard/read Lire les propriétés standard de la configuration de fédération pour les domaines
microsoft.directory/domains/federation/update Mettre à jour la propriété de fédération des domaines
Icône d’étiquette de privilège.
microsoft.directory/entitlementManagement/allProperties/read Lire toutes les propriétés dans la gestion des droits d’utilisation de Microsoft Entra
microsoft.directory/identityProtection/allProperties/read Lire toutes les ressources dans Microsoft Entra ID Protection
microsoft.directory/identityProtection/allProperties/update Mettre à jour toutes les ressources dans Microsoft Entra ID Protection
Icône d’étiquette de privilège.
microsoft.directory/multiTenantOrganization/basic/update Mettre à jour les propriétés de base d’une organisation multi-tenant
microsoft.directory/multiTenantOrganization/create Créer une organisation multi-tenant
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Rejoindre une organisation multilocataire
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Lire les propriétés d’une demande de jointure à une organisation multi-tenant
microsoft.directory/multiTenantOrganization/standard/read Lire les propriétés de base d’une organisation multi-tenant
microsoft.directory/multiTenantOrganization/tenants/create Créer un tenant dans une organisation multi-tenant
microsoft.directory/multiTenantOrganization/tenants/delete Supprimer un tenant participant à une organisation multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Lire les détails organisationnel d’un tenant participant à une organisation multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Mettre à jour les propriétés de base d’un tenant participant à une organisation multi-tenant
microsoft.directory/multiTenantOrganization/tenants/standard/read Lire les propriétés de base d’un tenant participant à une organisation multi-tenant
microsoft.directory/namedLocations/basic/update Mettre à jour des propriétés de base de règles personnalisées qui définissent des emplacements réseau
microsoft.directory/namedLocations/create Créer des règles personnalisées qui définissent des emplacements réseau
microsoft.directory/namedLocations/delete Supprimer des règles personnalisées qui définissent des emplacements réseau
microsoft.directory/namedLocations/standard/read Lire des propriétés de base de règles personnalisées qui définissent des emplacements réseau
microsoft.directory/policies/basic/update Mettre à jour les propriétés de base sur les stratégies
Icône d’étiquette de privilège.
microsoft.directory/policies/create Créer des stratégies dans Microsoft Entra ID
microsoft.directory/policies/delete Supprimez des stratégies dans Microsoft Entra ID
microsoft.directory/policies/owners/update Mettre à jour les propriétaires de stratégies
microsoft.directory/policies/tenantDefault/update Mettre à jour les stratégies d’organisation par défaut
microsoft.directory/privilegedIdentityManagement/allProperties/read Lire toutes les ressources dans Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lire toutes les propriétés des journaux de provisionnement.
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Mettre à jour le contexte d’authentification par accès conditionnel des actions de ressources de contrôle d’accès basé sur les rôles (RBAC) de Microsoft 365
Icône d’étiquette de privilège.
microsoft.directory/servicePrincipals/policies/update Mettre à jour les stratégies des principaux de service
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.networkAccess/allEntities/allProperties/allTasks Gérer tous les aspects de l’accès réseau Microsoft Entra
microsoft.office365.protectionCenter/allEntities/basic/update Mettre à jour les propriétés de base de toutes les ressources dans les centres de sécurité et de conformité
microsoft.office365.protectionCenter/allEntities/standard/read Lire les propriétés standard de toutes les ressources dans les centres de sécurité et de conformité
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Créer et gérer des charges utiles d’attaque dans le Simulateur d’attaques
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Lire les rapports de simulation d’attaque, les réponses et la formation associée
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Créer et gérer des modèles de simulation d’attaque dans le Simulateur d’attaques
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Opérateur de sécurité

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Les utilisateurs disposant de ce rôle peuvent gérer les alertes et disposent d’un accès global en lecture seule aux fonctionnalités liées à la sécurité, notamment à toutes les informations disponibles dans le portail Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management et le portail de conformité Microsoft Purview. Pour plus d’informations, consultez Rôles et groupes de rôles dans Microsoft Defender pour Office 365 et conformité Microsoft Purview.

Dans Peut
Portail Microsoft 365 Defender Toutes les autorisations du rôle lecteur de sécurité
Voir, examiner et répondre aux alertes sur les menaces de sécurité
Gérer les paramètres de sécurité dans le portail Microsoft 365 Defender
Microsoft Entra ID Protection Toutes les autorisations du rôle lecteur de sécurité
Effectuer toutes les opérations ID Protection, à l’exception de la configuration ou de la modification des stratégies basées sur le risque, de la réinitialisation des mots de passe et de la configuration des e-mails d’alerte.
Privileged Identity Management Toutes les autorisations du rôle lecteur de sécurité
Portail de conformité Microsoft Purview Toutes les autorisations du rôle lecteur de sécurité
Voir, examiner et répondre aux alertes de sécurité
Microsoft Defender for Endpoint Toutes les autorisations du rôle lecteur de sécurité
Voir, examiner et répondre aux alertes de sécurité
Quand vous activez le contrôle d’accès en fonction du rôle dans Microsoft Defender for Endpoint, les utilisateurs avec des autorisations de lecture seule, comme le rôle Lecteur de sécurité, perdent l’accès jusqu’à ce qu’ils reçoivent un rôle Microsoft Defender for Endpoint.
Intune Toutes les autorisations du rôle lecteur de sécurité
Microsoft Defender for Cloud Apps Toutes les autorisations du rôle lecteur de sécurité
Voir, examiner et répondre aux alertes de sécurité
Intégrité des services Microsoft 365 Afficher l’intégrité des services Microsoft 365
Actions Description
microsoft.azure.advancedThreatProtection/allEntities/allTasks Gérer tous les aspects d’Azure Advanced Threat Protection
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés sur les journaux d’audit, à l’exception des journaux d’audit des attributs de sécurité personnalisés
microsoft.directory/authorizationPolicy/standard/read Lire les propriétés standard de la stratégie d’autorisation
microsoft.directory/cloudAppSecurity/allProperties/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard dans Microsoft Defender for Cloud Apps
microsoft.directory/identityProtection/allProperties/allTasks Créer et supprimer toutes les ressources, et lire et mettre à jour des propriétés standard dans Microsoft Entra ID Protection
Icône d’étiquette de privilège.
microsoft.directory/privilegedIdentityManagement/allProperties/read Lire toutes les ressources dans Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lire toutes les propriétés des journaux de provisionnement.
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.intune/allEntities/read Lire toutes les ressources dans Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard dans le Centre de sécurité et conformité Office 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Gérer tous les aspects de Microsoft Defender pour point de terminaison

Lecteur Sécurité

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Les utilisateurs dotés de ce rôle ont un accès en lecture seule au niveau global à la fonctionnalité liée à la sécurité, notamment à toutes les informations dans le portail Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management. Ils peuvent aussi lire les rapports sur les connexions Microsoft Entra et les journaux d’audit, ainsi que dans le portail de conformité Microsoft Purview. Pour plus d’informations, consultez Rôles et groupes de rôles dans Microsoft Defender pour Office 365 et conformité Microsoft Purview.

Dans Peut
Portail Microsoft 365 Defender Afficher les stratégies de sécurité au sein des services Microsoft 365
Afficher les menaces et les alertes liées à la sécurité
Afficher les rapports
Microsoft Entra ID Protection Afficher tous les rapports ID Protection et Vue d’ensemble
Privileged Identity Management A un accès en lecture seule à toutes les informations disponibles dans Microsoft Entra Privileged Identity Management : stratégies et rapports pour les attributions de rôles Microsoft Entra et révisions de sécurité.
Ne peut pas s’inscrire auprès de Microsoft Entra Privileged Identity Management ni y apporter des modifications. Dans le portail Privileged Identity Management ou via PowerShell, une personne de ce rôle peut activer des rôles supplémentaires (par exemple, Administrateur de rôles privilégiés), si l’utilisateur est éligible pour lui.
Portail de conformité Microsoft Purview Afficher les stratégies de sécurité
Afficher et examiner les menaces de sécurité
Afficher les rapports
Microsoft Defender for Endpoint Afficher et examiner les alertes
Quand vous activez le contrôle d’accès en fonction du rôle dans Microsoft Defender for Endpoint, les utilisateurs avec des autorisations de lecture seule, comme le rôle Lecteur de sécurité, perdent l’accès jusqu’à ce qu’ils reçoivent un rôle Microsoft Defender for Endpoint.
Intune Affiche des informations relatives à l'utilisateur, l'appareil, l'inscription, la configuration et l'application. Ne peut pas apporter de modifications à Intune.
Microsoft Defender for Cloud Apps A des autorisations de lecture.
Intégrité des services Microsoft 365 Afficher l’intégrité des services Microsoft 365
Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.directory/accessReviews/definitions/allProperties/read Lire toutes les propriétés des révisions d’accès de toutes les ressources pouvant être examinées dans Microsoft Entra ID
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés sur les journaux d’audit, à l’exception des journaux d’audit des attributs de sécurité personnalisés
microsoft.directory/authorizationPolicy/standard/read Lire les propriétés standard de la stratégie d’autorisation
microsoft.directory/bitlockerKeys/key/read Lire les métadonnées et la clé BitLocker sur les appareils
Icône d’étiquette de privilège.
microsoft.directory/conditionalAccessPolicies/owners/read Lire les propriétaires des politiques d'accès conditionnel
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Lire la propriété "appliqué à" pour les stratégies d'accès conditionnel
microsoft.directory/conditionalAccessPolicies/standard/read Lire l'accès conditionnel pour les stratégies
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Lire les propriétés de base des modèles de stratégie de synchronisation entre tenants pour une organisation multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Lire les propriétés de base des modèles de stratégie d’accès entre tenants pour une organisation multi-tenant
microsoft.directory/deviceLocalCredentials/standard/read Lire toutes les propriétés des informations d’identification du compte d’administrateur local sauvegardées pour les appareils joints à Microsoft Entra, excepté le mot de passe
microsoft.directory/domains/federationConfiguration/standard/read Lire les propriétés standard de la configuration de fédération pour les domaines
microsoft.directory/entitlementManagement/allProperties/read Lire toutes les propriétés dans la gestion des droits d’utilisation de Microsoft Entra
microsoft.directory/identityProtection/allProperties/read Lire toutes les ressources dans Microsoft Entra ID Protection
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Lire les propriétés d’une demande de jointure à une organisation multi-tenant
microsoft.directory/multiTenantOrganization/standard/read Lire les propriétés de base d’une organisation multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Lire les détails organisationnel d’un tenant participant à une organisation multi-tenant
microsoft.directory/multiTenantOrganization/tenants/standard/read Lire les propriétés de base d’un tenant participant à une organisation multi-tenant
microsoft.directory/namedLocations/standard/read Lire des propriétés de base de règles personnalisées qui définissent des emplacements réseau
microsoft.directory/policies/owners/read Lire les propriétaires de stratégies
microsoft.directory/policies/policyAppliedTo/read Lire la propriété policies.policyAppliedTo
microsoft.directory/policies/standard/read Lire les propriétés de base sur les stratégies
microsoft.directory/privilegedIdentityManagement/allProperties/read Lire toutes les ressources dans Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lire toutes les propriétés des journaux de provisionnement.
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.networkAccess/allEntities/allProperties/read Lire tous les aspects de l’accès réseau Microsoft Entra
microsoft.office365.protectionCenter/allEntities/standard/read Lire les propriétés standard de toutes les ressources dans les centres de sécurité et de conformité
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Lire toutes les propriétés des charges utiles d’attaque dans le Simulateur d’attaques
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Lire les rapports de simulation d’attaque, les réponses et la formation associée
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Lire toutes les propriétés des modèles de simulation d’attaque dans le Simulateur d’attaques
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de support de service

Les utilisateurs avec ce rôle peuvent créer et gérer des demandes de support auprès de Microsoft pour les services Azure et Microsoft 365, ainsi que voir le tableau de bord des services et le Centre de messages dans le portail Azure et le centre d’administration Microsoft 365. Pour plus d’informations, consultez À propos des rôles d’administrateur dans le Centre d’administration Microsoft 365.

Notes

Ce rôle était précédemment nommé Administrateur de services dans les Portail Azure et Centre d'administration Microsoft 365. Il a été renommé administrateur du support de service pour s’aligner sur le nom existant dans l’API Microsoft Graph et Microsoft Graph PowerShell.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur SharePoint

Les utilisateurs avec ce rôle ont des autorisations générales dans Microsoft SharePoint Online, quand le service est présent. Ils peuvent également créer et gérer tous les groupes Microsoft 365, gérer les tickets de support et superviser l’intégrité des services. Pour plus d’informations, consultez À propos des rôles d’administrateur dans le Centre d’administration Microsoft 365.

Remarque

Dans l’API Microsoft Graph et Microsoft Graph PowerShell, ce rôle est nommé Administrateur de service SharePoint. Dans le Portail Azure, il est nommé Administrateur SharePoint.

Notes

Ce rôle accorde également des autorisations délimitées à l’API Microsoft Graph pour Microsoft Intune, d’où la possibilité de gérer et de configurer des stratégies liées aux ressources SharePoint et Onedrive.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks Créer et gérer une stratégie de protection OneDrive dans La sauvegarde Microsoft 365
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks Lire et configurer la session de restauration pour OneDrive dans la sauvegarde Microsoft 365
microsoft.backup/restorePoints/sites/allProperties/allTasks Gérer tous les points de restauration associés aux sites SharePoint sélectionnés dans la sauvegarde M365
microsoft.backup/restorePoints/userDrives/allProperties/allTasks Gérer tous les points de restauration associés à des comptes OneDrive sélectionnés dans la sauvegarde M365
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks Créer et gérer une stratégie de protection SharePoint dans La sauvegarde Microsoft 365
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks Lire et configurer la session de restauration pour SharePoint dans La sauvegarde Microsoft 365
microsoft.backup/siteProtectionUnits/allProperties/allTasks Gérer les sites ajoutés à la stratégie de protection SharePoint dans La sauvegarde Microsoft 365
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks Gérer les sites ajoutés pour restaurer une session pour SharePoint dans La sauvegarde Microsoft 365
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks Gérer les comptes ajoutés à la stratégie de protection OneDrive dans La sauvegarde Microsoft 365
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks Gérer les comptes ajoutés pour restaurer une session pour OneDrive dans La sauvegarde Microsoft 365
microsoft.directory/groups/hiddenMembers/read Lire la propriété membres masqués des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle
microsoft.directory/groups.unified/basic/update Actualiser les propriétés de base sur les groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/create Créer des groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/delete Supprimer des groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/members/update Actualiser les membres de groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/owners/update Actualiser les propriétaires de groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/restore Restaurer les groupes Microsoft 365 à partir d’un conteneur supprimé de manière réversible, à l’exception des groupes pouvant être affectés par des rôles
microsoft.office365.migrations/allEntities/allProperties/allTasks Gérez tous les aspects de la migration Microsoft 365
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur SharePoint Embedded

Attribuez le rôle Administrateur SharePoint Embedded aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Effectuer toutes les tâches à l’aide de PowerShell, de l’API Microsoft Graph ou du centre d’administration SharePoint
  • Gérer, configurer et maintenir des conteneurs SharePoint Embedded
  • Énumérer et gérer des conteneurs SharePoint Embedded
  • Énumérer et gérer les autorisations pour les conteneurs SharePoint Embedded
  • Gérer le stockage des conteneurs SharePoint Embedded dans un locataire
  • Attribuer des stratégies de sécurité et de conformité sur des conteneurs SharePoint Embedded
  • Appliquer des stratégies de sécurité et de conformité sur des conteneurs SharePoint Embedded dans un locataire

En savoir plus

Actions Description
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks Gérer tous les aspects des conteneurs SharePoint Embedded
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur Skype Entreprise

Les utilisateurs avec ce rôle ont des autorisations générales dans Microsoft Skype Entreprise, quand le service est présent. Ils peuvent également gérer les attributs utilisateur propres à Skype dans Microsoft Entra ID. En outre, ce rôle permet de gérer les tickets de support et de surveiller l’intégrité des services, ainsi que d’accéder au Centre d’administration Teams et Skype Entreprise. Le compte doit également disposer d’une licence Teams ; dans le cas contraire, il ne pourra pas exécuter les applets de commande PowerShell Teams. Pour plus d’informations, consultez Skype Entreprise Administration en ligne et les informations sur les licences Teams sur Skype Entreprise licences de module complémentaire.

Remarque

Dans l’API Microsoft Graph et Microsoft Graph PowerShell, ce rôle est nommé Administrateur de service Lync. Dans le Portail Azure, il est nommé administrateur Skype Entreprise.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gérez tous les aspects de Skype Entreprise Online
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur Teams

Les utilisateurs dans ce rôle peuvent gérer tous les aspects de la charge de travail Microsoft Teams via le centre d’administration Microsoft Teams et Skype Entreprise et les modules PowerShell respectifs. Cela inclut notamment tous les outils de gestion liés à la téléphonie, à la messagerie, aux réunions et aux équipes proprement dites. En outre, ce rôle permet de créer et de gérer tous les groupes Microsoft 365, de gérer les tickets de support et de surveiller l’état d’intégrité des services.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/authorizationPolicy/standard/read Lire les propriétés standard de la stratégie d’autorisation
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Mettre à jour les points de terminaison cloud autorisés de la stratégie d’accès inter-locataires
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Mettre à jour les paramètres de réunion Teams interclouds de la stratégie d’accès inter-locataires par défaut
microsoft.directory/crossTenantAccessPolicy/default/standard/read Lire les propriétés de base de la stratégie d’accès inter-locataires par défaut
microsoft.directory/crossTenantAccessPolicy/partners/create Créer une stratégie d’accès inter-locataires pour les partenaires
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Mettre à jour les paramètres de réunion Teams interclouds de la stratégie d’accès inter-locataires pour les partenaires
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Lire les propriétés de base de la stratégie d’accès inter-locataires pour les partenaires
microsoft.directory/crossTenantAccessPolicy/standard/read Lire les propriétés de base de la stratégie d’accès inter-locataires
microsoft.directory/externalUserProfiles/basic/update Mettre à jour les propriétés de base des profils utilisateur externes dans le répertoire étendu pour Teams
microsoft.directory/externalUserProfiles/delete Supprimer des profils utilisateur externes dans le répertoire étendu pour Teams
microsoft.directory/externalUserProfiles/standard/read Lire les propriétés standard des profils utilisateur externes dans le répertoire étendu pour Teams
microsoft.directory/groups/hiddenMembers/read Lire la propriété membres masqués des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle
microsoft.directory/groups.unified/basic/update Actualiser les propriétés de base sur les groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/create Créer des groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/delete Supprimer des groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/members/update Actualiser les membres de groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/owners/update Actualiser les propriétaires de groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/restore Restaurer les groupes Microsoft 365 à partir d’un conteneur supprimé de manière réversible, à l’exception des groupes pouvant être affectés par des rôles
microsoft.directory/pendingExternalUserProfiles/basic/update Mettre à jour les propriétés de base des profils utilisateur externes dans le répertoire étendu pour Teams
microsoft.directory/pendingExternalUserProfiles/create Créer des profils utilisateur externes dans le répertoire étendu pour Teams
microsoft.directory/pendingExternalUserProfiles/delete Supprimer des profils utilisateur externes dans le répertoire étendu pour Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Lire les propriétés standard des profils utilisateur externes dans le répertoire étendu pour Teams
microsoft.directory/permissionGrantPolicies/standard/read Lire les propriétés standard des stratégies d’octroi d’autorisation
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gérez tous les aspects de Skype Entreprise Online
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.teams/allEntities/allProperties/allTasks Gérez toutes les ressources dans Teams

Administrateur des communications Teams

Les utilisateurs dans ce rôle peuvent gérer les aspects de la charge de travail Microsoft Teams liés à la voix et à la téléphonie. Cela comprend les outils de gestion pour l’attribution des numéros de téléphone, les stratégies de voix et de réunion, ainsi que l’accès total à un ensemble d’outils d’analyse des appels.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/authorizationPolicy/standard/read Lire les propriétés standard de la stratégie d’autorisation
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gérez tous les aspects de Skype Entreprise Online
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.teams/callQuality/allProperties/read Lire toutes les données du Tableau de bord de qualité des appels
microsoft.teams/meetings/allProperties/allTasks Gérer les réunions, notamment les stratégies de réunion, les configurations et les ponts de conférence
microsoft.teams/voice/allProperties/allTasks Gérer la voix, notamment les stratégies d’appel, ainsi que l’inventaire et l’attribution des numéros de téléphone

Ingénieur de support des communications Teams

Les utilisateurs dans ce rôle peuvent résoudre les problèmes de communication dans Microsoft Teams et Skype Entreprise à l’aide des outils de résolution de problèmes des appels utilisateur dans le centre d’administration Microsoft Teams et Skype Entreprise. Les utilisateurs disposant de ce rôle peuvent visualiser l’intégralité des informations d’enregistrement des appels pour l’ensemble des participants impliqués. Ce rôle n’a pas d'accès pour afficher, créer ou gérer des tickets de support.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.directory/authorizationPolicy/standard/read Lire les propriétés standard de la stratégie d’autorisation
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gérez tous les aspects de Skype Entreprise Online
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.teams/callQuality/allProperties/read Lire toutes les données du Tableau de bord de qualité des appels

Spécialiste du support des communications Teams

Les utilisateurs dans ce rôle peuvent résoudre les problèmes de communication dans Microsoft Teams et Skype Entreprise à l’aide des outils de résolution de problèmes des appels utilisateur dans le centre d’administration Microsoft Teams et Skype Entreprise. Les utilisateurs disposant de ce rôle ne peuvent visualiser les détails utilisateur d’un appel que pour l’utilisateur qu’ils ont spécifiquement recherché. Ce rôle n’a pas d'accès pour afficher, créer ou gérer des tickets de support.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.directory/authorizationPolicy/standard/read Lire les propriétés standard de la stratégie d’autorisation
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gérez tous les aspects de Skype Entreprise Online
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.teams/callQuality/standard/read Lire les données de base du Tableau de bord de qualité des appels

Administrateur d’appareils Teams

Les utilisateurs disposant de ce rôle peuvent gérer des appareils certifiés par Teams à partir du centre d’administration Teams. Ce rôle permet d’afficher tous les appareils en un seul coup d’œil, avec la possibilité de rechercher et de filtrer les appareils. L’utilisateur peut vérifier les détails de chaque appareil, notamment le compte de connexion, la marque et le modèle de l’appareil. L’utilisateur peut modifier les paramètres sur l’appareil et mettre à jour les versions des logiciels. Ce rôle n’accorde pas d’autorisations pour vérifier l’activité Teams et la qualité d’appel de l’appareil.

Actions Description
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.teams/devices/standard/read Gérer tous les aspects des appareils certifiés Teams, notamment les stratégies de configuration

Administrateur de téléphonie Teams

Attribuez le rôle Administrateur de téléphonie Teams aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Gérer la voix et la téléphonie, notamment les stratégies d’appel, la gestion des numéros de téléphone et l’affectation, et les applications vocales
  • Accès aux rapports d’utilisation RTC (Réseau téléphonique commuté) uniquement à partir du Centre d’administration Teams
  • Afficher la page profil utilisateur
  • Créer et gérer des tickets de support dans Azure AD et le Centre d’administration Microsoft 365

En savoir plus

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/authorizationPolicy/standard/read Lire les propriétés standard de la stratégie d’autorisation
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gérez tous les aspects de Skype Entreprise Online
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.teams/callQuality/allProperties/read Lire toutes les données du Tableau de bord de qualité des appels (TBQA)
microsoft.teams/voice/allProperties/allTasks Gérer la voix, notamment les stratégies d’appel, ainsi que l’inventaire et l’attribution des numéros de téléphone

Créateur du locataire

Affectez le rôle de Créateur de locataire aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Créer des locataires Microsoft Entra et Azure Active Directory B2C même si le bouton bascule de création de locataire est désactivé dans les paramètres utilisateur

Remarque

Les créateurs de locataires se voient attribuer le rôle Administrateur général sur les nouveaux locataires qu’ils créent.

Actions Description
microsoft.directory/tenantManagement/tenants/create Créer des nouveaux locataires dans Microsoft Entra ID

Lecteur Rapports de synthèse de l’utilisation

Attribuez le rôle Lecteur des rapports récapitulatifs d’utilisation aux utilisateurs qui doivent effectuer les tâches suivantes dans le centre d’administration Microsoft 365 :

  • Voir les rapports d’utilisation et le score d’adoption
  • Lire les insights de l’organisation, mais pas les informations d’identification personnelle des utilisateurs

Ce rôle permet uniquement aux utilisateurs de voir les données au niveau de l’organisation, avec les exceptions suivantes :

  • Les utilisateurs membres peuvent voir les données et les paramètres de gestion des utilisateurs.
  • Les utilisateurs invités qui ont ce rôle ne peuvent pas voir les données et les paramètres de gestion des utilisateurs.
Actions Description
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Lire les rapports d’utilisation Office 365 agrégés au niveau locataire
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur d'utilisateurs

Icône d’étiquette de privilège.

Il s’agit d’un rôle privilégié. Affectez le rôle d’administrateur des utilisateurs aux utilisateurs qui doivent effectuer les tâches suivantes :

Autorisation Plus d’informations
Créer des utilisateurs
Mettre à jour la plupart des propriétés utilisateur pour tous les utilisateurs, y compris tous les administrateurs Qui peut effectuer des actions sensibles
Mettre à jour les propriétés sensibles (y compris le nom d’utilisateur principal) pour certains utilisateurs Qui peut effectuer des actions sensibles
Désactiver ou activer certains utilisateurs Qui peut effectuer des actions sensibles
Supprimer ou restaurer certains utilisateurs Qui peut effectuer des actions sensibles
Créer et gérer des vues utilisateur
Créer et gérer des groupes
Attribuer et lire des licences pour tous les utilisateurs, y compris les administrateurs
Réinitialiser les mots de passe Qui peut réinitialiser les mots de passe
Invalidez les jetons d'actualisation. Qui peut réinitialiser les mots de passe
Mettre à jour les clés d’appareil (FIDO)
Mettre à jour les stratégies d’expiration de mot de passe
Créer et gérer des tickets de support dans Azure AD et le Centre d’administration Microsoft 365
Suivi de l’intégrité des services

Les utilisateurs ayant ce rôle ne peuvent pas effectuer les tâches suivantes :

  • Ne peuvent pas gérer l’authentification multifacteur.
  • Ne peuvent pas modifier les informations d’identification ou réinitialiser l’authentification multifacteur pour les membres et les propriétaires d’un groupe auquel un rôle est assignable.
  • Ne peuvent pas gérer les boîtes aux lettres partagées.
  • Impossible de modifier des questions de sécurité pour une opération de réinitialisation de mot de passe.

Important

Les utilisateurs auxquels ce rôle est assigné peuvent changer les mots de passe des personnes susceptibles d’avoir accès à des informations sensibles ou privées ou à des configurations critiques à l’intérieur et à l’extérieur de Microsoft Entra ID. Changer le mot de passe d’un utilisateur peut signifier la capacité d’assumer l’identité et les autorisations de cet utilisateur. Par exemple :

  • Les propriétaires d’inscription d’application et d’application d’entreprise, qui peuvent gérer les informations d’identification des applications qu’ils possèdent. Ces applications peuvent disposer d’autorisations privilégiées dans Microsoft Entra ID et ailleurs qui ne sont pas accordées aux administrateurs utilisateurs. Grâce à ce chemin d’accès, un administrateur utilisateur peut être en mesure d’assumer l’identité d’un propriétaire d’application, puis d’assumer l’identité d’une application privilégiée en mettant à jour les identifiants de celle-ci.
  • Propriétaires d’abonnement Azure, qui peuvent avoir accès à des informations confidentielles ou privées ou à une configuration critique dans Azure.
  • Propriétaires de groupe de sécurité et de groupe Microsoft 365, qui peuvent gérer l’appartenance à un groupe. Ces groupes peuvent accorder l’accès à des informations sensibles ou privées ou à une configuration critique dans Microsoft Entra ID et ailleurs.
  • Les administrateurs relevant d’autres services en dehors de Microsoft Entra ID, tels que Exchange Online, le portail Microsoft 365 Defender, le portail de conformité Microsoft Purview et les systèmes de ressources humaines.
  • Les non-administrateurs comme les cadres supérieurs, les conseillers juridiques et les employés des ressources humaines qui peuvent avoir accès à des informations sensibles ou privées.
Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Gérer les révisions d’accès des attributions de rôles d’application dans Microsoft Entra ID
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read Lire toutes les propriétés des révisions d’accès pour les attributions de rôles Microsoft Entra
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Gérer les révisions d’accès pour les attributions de packages d’accès dans la gestion des droits d’utilisation
microsoft.directory/accessReviews/definitions.groups/allProperties/read Lisez toutes les propriétés des révisions d’accès pour l’appartenance aux groupes de sécurité et Microsoft 365, y compris les groupes pouvant être attribués à des rôles.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Mettez à jour toutes les propriétés des révisions d’accès pour l’appartenance aux groupes de sécurité et Microsoft 365, à l’exception des groupes pouvant être attribués à des rôles.
microsoft.directory/accessReviews/definitions.groups/create Créez des révisions d’accès pour l’appartenance aux groupes de sécurité et Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Supprimez les révisions d’accès pour l’appartenance aux groupes de sécurité et Microsoft 365.
microsoft.directory/contacts/basic/update Mettre à jour les propriétés de base sur les contacts
microsoft.directory/contacts/create Créer des contacts
microsoft.directory/contacts/delete Supprimer des contacts
microsoft.directory/deletedItems.groups/restore Restaurer les groupes supprimés de manière réversible à l’état d’origine
microsoft.directory/deletedItems.users/restore Restaurer les utilisateurs ayant fait l’objet d’une suppression réversible à leur état d’origine
microsoft.directory/entitlementManagement/allProperties/allTasks Créer et supprimer des ressources, ainsi que lire et mettre à jour toutes les propriétés dans la gestion des droits d’utilisation Microsoft Entra
microsoft.directory/groups/assignLicense Attribuer des licences de produits à des groupes pour la gestion des licences basée sur un groupe
microsoft.directory/groups/basic/update Actualiser les propriétés de base des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/classification/update Actualiser les propriétés de classification des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/create Créer des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/delete Supprimer des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/dynamicMembershipRule/update Actualiser la règle d’adhésion dynamique des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/groupType/update Actualiser les propriétés qui affectent le type de groupe des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/hiddenMembers/read Lire la propriété membres masqués des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle
microsoft.directory/groups/members/update Actualiser la propriété membres des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/onPremWriteBack/update Mettre à jour les groupes Microsoft Entra pour qu’ils soient réécrits localement avec Microsoft Entra Connect
microsoft.directory/groups/owners/update Actualiser la propriété propriétaires des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/reprocessLicenseAssignment Retraiter les attributions de licence pour la gestion des licences basée sur un groupe
microsoft.directory/groups/restore Restaurer les groupes à partir d’un conteneur supprimé de manière réversible
microsoft.directory/groups/settings/update Mettre à jour les paramètres des groupes
microsoft.directory/groups/visibility/update Actualiser la propriété de visibilité des groupes de Sécurité et des groupes Microsoft 365, à l’exception des groupes à attribution de rôle
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Créer et supprimer des octrois d’autorisations OAuth 2.0, et lire et mettre à jour toutes les propriétés
Icône d’étiquette de privilège.
microsoft.directory/policies/standard/read Lire les propriétés de base sur les stratégies
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Mettre à jour les attributions de rôles des principaux de service
microsoft.directory/users/assignLicense Gérer les licences utilisateur
microsoft.directory/users/basic/update Mettre à jour les propriétés de base sur les utilisateurs
microsoft.directory/users/convertExternalToInternalMemberUser Convertir un utilisateur externe en utilisateur interne
microsoft.directory/users/create Ajouter des utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/delete Suppression d’utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/disable Désactiver des utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/enable Activer des utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/invalidateAllRefreshTokens Forcer la déconnexion en invalidant les jetons d’actualisation de l’utilisateur
Icône d’étiquette de privilège.
microsoft.directory/users/inviteGuest Inviter des utilisateurs
microsoft.directory/users/manager/update Mettre à jour le gestionnaire pour les utilisateurs
microsoft.directory/users/password/update Réinitialiser les mots de passe de tous les utilisateurs
Icône d’étiquette de privilège.
microsoft.directory/users/photo/update Actualiser la photo des utilisateurs
microsoft.directory/users/reprocessLicenseAssignment Retraiter les attributions de licence pour les utilisateurs
microsoft.directory/users/restore Restaurer les utilisateurs supprimés
microsoft.directory/users/sponsors/update Mettre à jour les sponsors des utilisateurs
microsoft.directory/users/usageLocation/update Mettre à jour l’emplacement d’utilisation des utilisateurs
microsoft.directory/users/userPrincipalName/update Mettre à jour le nom d’utilisateur principal des utilisateurs
Icône d’étiquette de privilège.
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Gestionnaire de réussite de l'expérience utilisateur

Attribuez le rôle de Responsable de l’expérience utilisateur (User Experience Success Manager) aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Lisez les rapports d’utilisation au niveau de l’organisation pour les applications et services Microsoft 365, mais pas les détails de l’utilisateur
  • Consultez les commentaires sur les produits de votre organisation, les résultats de l’enquête NPS (Net Promoter Score) et les articles d’aide afin d’identifier les opportunités de communication et de formation
  • Lisez les messages du centre de messagerie et les données relatives à l’intégrité des services

En savoir plus

Actions Description
microsoft.commerce.billing/purchases/standard/read Lire les services d’achat dans le Centre d’administration M365.
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read Lire tous les aspects des messages organisationnels dans Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Lire les rapports d’utilisation Office 365 agrégés au niveau locataire
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de visites virtuelles

Les utilisateurs ayant ce rôle peuvent effectuer les tâches suivantes :

  • Gérer et configurer tous les aspects des visites virtuelles dans Bookings dans le Centre d’administration Microsoft 365 et dans le connecteur EHR Teams
  • Afficher les rapports d’utilisation pour les Visites virtuelles dans le Centre d’administration Teams, le Centre d’administration Microsoft 365, Fabric et Power BI
  • Afficher les fonctionnalités et les paramètres dans le Centre d’administration Microsoft 365, mais pas modifier les paramètres

Les visites virtuelles sont un moyen simple de planifier et de gérer des rendez-vous en ligne et vidéo pour le personnel et les participants. Par exemple, les rapports d’utilisation peuvent montrer en quoi le fait d’envoyer des SMS avant les rendez-vous peut réduire le nombre de personnes qui ne se présentent pas aux rendez-vous.

Actions Description
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.virtualVisits/allEntities/allProperties/allTasks Gérer et partager les informations et les métriques de Virtual Visits à partir des centres d’administration ou de l’application Virtual Visits

Administrateur Viva Goals

Attribuez le rôle Administrateur Viva Goals aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Gérer et configurer tous les aspects de l’application Microsoft Viva Goals
  • Configurer les paramètres d’administration Microsoft Viva Goals
  • Lire les informations sur les locataires Microsoft Entra
  • Surveiller l’intégrité des services Microsoft 365
  • Créer et gérer des demandes de service Microsoft 365

Pour plus d’informations, consultez Rôles et autorisations dans Viva Goals et Présentation de Microsoft Viva Goals.

Actions Description
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.viva.goals/allEntities/allProperties/allTasks Gérer tous les aspects de Microsoft Viva Goals

Administrateur Viva Pulse

Attribuez le rôle Administrateur Viva Pulse aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Lisez et configurez tous les paramètres de Viva Pulse
  • Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
  • Lire et configurer Azure Service Health
  • Créer et gérer les tickets de support Azure
  • Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
  • Lire les rapports d’utilisation dans le Centre d’administration Microsoft 365

Pour plus d’informations, consultez Affecter un administrateur Viva Pulse au Centre d’administration Microsoft 365.

Actions Description
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.viva.pulse/allEntities/allProperties/allTasks Gérez tous les aspects de Microsoft Viva Pulse

Administrateur Windows 365

Les utilisateurs avec ce rôle ont des autorisations générales sur les ressources Windows 365, lorsque le service est présent. Ce rôle donne aussi la possibilité de gérer les utilisateurs et les appareils afin d’associer la stratégie, ainsi que de créer et de gérer des groupes.

Ce rôle peut créer et gérer des groupes de sécurité, mais il ne dispose pas de droits d’administrateur sur les groupes Microsoft 365. Cela signifie que les administrateurs ne peuvent pas mettre à jour les propriétaires ou les appartenances des groupes Microsoft 365 dans l’organisation. Ils peuvent toutefois gérer le groupe Microsoft 365 qu’ils créent, ce qui fait partie de leurs privilèges d’utilisateur final. Ainsi, tout groupe Microsoft 365 (hormis les groupes de sécurité) qu’ils créent est compté dans leur quota de 250.

Affectez le rôle d’administrateur Windows 365 aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Gérer les PC cloud Windows 365 dans Microsoft Intune
  • Inscrire et gérer les appareils dans Microsoft Entra ID, notamment l’attribution d’utilisateurs et de stratégies
  • Créer et gérer des groupes de sécurité, mais pas des groupes où des rôles peuvent être attribués
  • Afficher les propriétés de base dans le Centre d’administration Microsoft 365
  • Lire les rapports d’utilisation dans le Centre d’administration Microsoft 365
  • Créer et gérer des tickets de support dans Azure AD et le Centre d’administration Microsoft 365
Actions Description
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Gérer tous les aspects de Windows 365
microsoft.directory/deletedItems.devices/delete Supprimer définitivement les appareils qui ne peuvent plus être restaurés
microsoft.directory/deletedItems.devices/restore Restaurer les appareils supprimés de manière réversible à l’état d’origine
microsoft.directory/deviceManagementPolicies/standard/read Lire les propriétés standard de la gestion des appareils mobiles et les stratégies de gestion des applications mobiles
microsoft.directory/deviceRegistrationPolicy/standard/read Lire les propriétés standard sur les stratégies d’inscription des appareils
microsoft.directory/devices/basic/update Mettre à jour les propriétés de base sur les appareils
microsoft.directory/devices/create Créer des appareils (s’inscrire à Microsoft Entra ID)
microsoft.directory/devices/delete Supprimer des périphériques de Microsoft Entra ID
microsoft.directory/devices/disable Désactiver des appareils dans Microsoft Entra ID
microsoft.directory/devices/enable Activer des appareils dans Microsoft Entra ID
microsoft.directory/devices/extensionAttributeSet1/update Actualiser les propriétés extensionAttribute1 en extensionAttribute5 sur les appareils
microsoft.directory/devices/extensionAttributeSet2/update Actualiser les propriétés extensionAttribute6 en extensionAttribute10 sur les appareils
microsoft.directory/devices/extensionAttributeSet3/update Actualiser les propriétés extensionAttribute11 en extensionAttribute15 sur les appareils
microsoft.directory/devices/registeredOwners/update Mettre à jour les propriétaires inscrits d’appareils
microsoft.directory/devices/registeredUsers/update Mettre à jour les utilisateurs inscrits d’appareils
microsoft.directory/groups.security/basic/update Actualiser les propriétés de base de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/classification/update Actualiser la propriété de classification de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/create Créer des groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/delete Supprimer des groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/dynamicMembershipRule/update Actualiser la règle d’adhésion dynamique des groupes de sécurité, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.security/members/update Actualiser les membres de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/owners/update Actualiser les propriétaires de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/visibility/update Actualiser la propriété de visibilité de groupes de Sécurité, à l’exclusion des groupes à attribution de rôle
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur des déploiements de mise à jour Windows

Les utilisateurs disposant de ce rôle peuvent créer et gérer tous les aspects des déploiements de mise à jour Windows par le biais du service des déploiements de mise à jour Windows pour entreprises. Le service de déploiement permet aux utilisateurs de définir des paramètres pour déterminer quand et comment les mises à jour sont déployées et de spécifier les mises à jour qui sont proposées aux groupes d’appareils de leur locataire. Il permet également aux utilisateurs de surveiller la progression des mises à jour.

Actions Description
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Lire et configurer tous les aspects du Service Windows Update

Administrateur Yammer

Affectez le rôle d’administrateur Yammer aux utilisateurs qui doivent effectuer les tâches suivantes :

  • Gérez tous les aspects de Yammer
  • Créer, gérer et restaurer des groupes Microsoft 365, mais pas des groupes attribuables aux rôles
  • Voir la propriété membres masqués des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle
  • Lire les rapports d’utilisation dans le Centre d’administration Microsoft 365
  • Créer et gérer des demandes de service dans le Centre d'administration Microsoft 365
  • Afficher les annonces dans le Centre de messages, mais pas les annonces de sécurité
  • Afficher l’intégrité du service

En savoir plus

Actions Description
microsoft.directory/groups/hiddenMembers/read Lire la propriété membres masqués des groupes de Sécurité et des groupes Microsoft 365, notamment les groupes à attribution de rôle
microsoft.directory/groups.unified/basic/update Actualiser les propriétés de base sur les groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/create Créer des groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/delete Supprimer des groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/members/update Actualiser les membres de groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/owners/update Actualiser les propriétaires de groupes Microsoft 365, à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.unified/restore Restaurer les groupes Microsoft 365 à partir d’un conteneur supprimé de manière réversible, à l’exception des groupes pouvant être affectés par des rôles
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Gérez tous les aspects de Yammer

Rôles déconseillés

Les rôles suivants ne doivent pas être utilisés. Ce rôle est déconseillé et sera prochainement supprimé de Microsoft Entra ID.

  • Administrateur de licences ad hoc
  • Jonction d’appareils
  • Gestionnaires d’appareils
  • Utilisateurs d’appareils
  • Créateur d’utilisateur vérifié par e-mail
  • Administrateur de boîte aux lettres
  • Jonction d’appareils d’espace de travail

Rôles non affichés dans le portail

Les rôles retournés par PowerShell ou l’API MS Graph ne sont pas tous visibles dans le portail Azure. Le tableau suivant organise ces différences.

Nom de l’API Nom du portail Azure Notes
Jonction d’appareils Déprécié Documentation sur les rôles déconseillés
Gestionnaires d’appareils Déprécié Documentation sur les rôles déconseillés
Utilisateurs d’appareils Déprécié Documentation sur les rôles déconseillés
Comptes de synchronisation d’annuaires Non affiché, car il ne doit pas être utilisé Documentation sur les comptes de synchronisation d’annuaires
Utilisateur invité Non affiché, car il ne peut pas être utilisé N/D
Support de niveau 1 partenaire Non affiché, car il ne doit pas être utilisé Documentation sur la prise en charge du niveau 1 de partenaire
Support de niveau 2 partenaire Non affiché, car il ne doit pas être utilisé Documentation sur la prise en charge du niveau 2 de partenaire
Utilisateur invité restreint Non affiché, car il ne peut pas être utilisé N/D
Utilisateur Non affiché, car il ne peut pas être utilisé N/D
Jonction d’appareils d’espace de travail Déprécié Documentation sur les rôles déconseillés

Étapes suivantes