Partage via


Restreindre les autorisations d'accès des invités dans Microsoft Entra ID

Microsoft Entra ID, qui fait partie de Microsoft Entra, offre la possibilité de limiter ce que peuvent voir les utilisateurs invités externes au sein de leur organisation dans Microsoft Entra ID. Les utilisateurs invités sont définis par défaut sur un niveau d’autorisation limité dans Microsoft Entra ID, tandis que les utilisateurs membres disposent de l’ensemble complet d’autorisations utilisateur. Il existe un autre niveau d’autorisation des utilisateurs invités dans les paramètres de collaboration externe de l’organisation Microsoft Entra qui offre un accès encore plus restreint. Les niveaux d’accès invité possibles sont les suivants :

Niveau d’autorisation Niveau d’accès Valeur
Identique aux utilisateurs membres Les invités ont le même accès aux ressources Microsoft Entra ID que les utilisateurs membres a0b1b346-4d3e-4e8b-98f8-753987be4970
Accès limité (par défaut) Les invités peuvent voir l’appartenance de tous les groupes non masqués 10dae51f-b6af-4016-8d66-8c2a99b929b3
Accès restreint (nouveau) Les invités ne peuvent voir l’appartenance d’aucun groupe 2af84b1e-32c8-42b7-82bc-daa82404023b

Lorsque l’accès invité est restreint, les invités ne peuvent afficher que leur propre profil utilisateur. L’autorisation de voir d’autres utilisateurs n’est pas accordée, même si l’invité effectue une recherche par nom d’utilisateur principal ou par objectId. L’accès restreint empêche également les utilisateurs invités de consulter l’appartenance des groupes dont ils sont membres. Pour plus d’informations sur les autorisations utilisateur globales par défaut, consultez Quelles sont les autorisations utilisateur par défaut dans Microsoft Entra ID ?.

Mise à jour sur le Portail Azure

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Nous avons apporté des modifications aux contrôles existants du Portail Azure concernant les autorisations des utilisateurs invités.

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur général.

  2. Sélectionnez Identités>External Identities.

  3. Sélectionnez Paramètres de collaboration externe.

  4. Sur la page Paramètres de collaboration externe , sélectionnez l’option L’accès utilisateur invité est limité aux propriétés et appartenances de leurs propres objets annuaire.

    Capture d’écran de la page des paramètres de collaboration externe Microsoft Entra.

  5. Sélectionnez Enregistrer. La prise en compte des modifications pour les utilisateurs invités peut prendre jusqu’à 15 minutes.

Mise à jour avec l’API Microsoft Graph

Nous avons ajouté une nouvelle API Microsoft Graph servant à configurer les autorisations invité dans une organisation Microsoft Entra. Les appels d’API suivants permettent d’assigner n’importe quel niveau d’autorisation. La valeur de guestUserRoleId utilisée ici permet d’illustrer le paramètre d’utilisateur invité le plus restreint. Pour savoir comment définir des autorisations invité avec Microsoft Graph, consultez authorizationPolicyType de ressource.

Configuration initiale

POST https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

La réponse doit être Réussite 204.

Remarque

Les modules Azure AD et MSOnline PowerShell sont dépréciés depuis le 30 mars 2024. Pour en savoir plus, lisez les informations de dépréciation. Passé cette date, la prise en charge de ces modules est limitée à une assistance de migration vers le SDK et les correctifs de sécurité Microsoft Graph PowerShell. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour explorer les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Remarque : Les versions 1.0.x de MSOnline peuvent connaître une interruption après le 30 juin 2024.

Mise à jour de la valeur existante

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

La réponse doit être Réussite 204.

Affichage de la valeur actuelle

GET https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

Exemple de réponse :

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authorizationPolicy/$entity",
    "id": "authorizationPolicy",
    "displayName": "Authorization Policy",
    "description": "Used to manage authorization related settings across the company.",
    "enabledPreviewFeatures": [],
    "guestUserRoleId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "permissionGrantPolicyIdsAssignedToDefaultUserRole": [
        "user-default-legacy"
    ]
}

Mise à jour avec des cmdlets PowerShell

Avec cette fonctionnalité, nous avons ajouté la possibilité de configurer les autorisations restreintes via des cmdlets PowerShell v2. Les cmdlets PowerShell Get et Update ont été publiées dans la version 2.0.2.85.

Commande Get : Get-MgPolicyAuthorizationPolicy

Exemple :

Get-MgPolicyAuthorizationPolicy | Format-List
AllowEmailVerifiedUsersToJoinOrganization : True
AllowInvitesFrom                          : everyone
AllowUserConsentForRiskyApps              :
AllowedToSignUpEmailBasedSubscriptions    : True
AllowedToUseSspr                          : True
BlockMsolPowerShell                       : False
DefaultUserRolePermissions                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphDefaultUserRolePermissions
DeletedDateTime                           :
Description                               : Used to manage authorization related settings across the company.
DisplayName                               : Authorization Policy
GuestUserRoleId                           : 10dae51f-b6af-4016-8d66-8c2a99b929b3
Id                                        : authorizationPolicy
AdditionalProperties                      : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/authorizationPolicy/$entity]}

Commande Update : Update-MgPolicyAuthorizationPolicy

Exemple :

Update-MgPolicyAuthorizationPolicy -GuestUserRoleId '2af84b1e-32c8-42b7-82bc-daa82404023b'

Services Microsoft 365 pris en charge

Services pris en charge

« Pris en charge » signifie que l’expérience est conforme aux attentes ou, plus précisément, identique à l’expérience invité actuelle.

  • Teams
  • Outlook (OWA)
  • SharePoint
  • Planificateur dans Teams
  • Application mobile Planner
  • Application web Planner
  • Project pour le web
  • Project Operations

Services non pris en charge actuellement

Le service non pris en charge actuellement risquent de présenter des problèmes de compatibilité avec le nouveau paramètre de restriction invité.

  • Formulaires
  • Project Online
  • Yammer
  • Planificateur dans SharePoint

Forum Aux Questions (FAQ)

Question Réponse
Où ces autorisations s’appliquent-elles ? Ces autorisations au niveau des répertoires sont appliquées dans les services Microsoft Entra, notamment Microsoft Graph, PowerShell v2, le Portail Azure et le portail Mes applications. Les services Microsoft 365 qui utilisent des groupes Microsoft 365 pour les scénarios de collaboration (en particulier Outlook, Microsoft Teams et SharePoint) sont également affectés.
Comment les autorisations restreintes affectent-elles les groupes que les invités peuvent voir ? Quelles que soient les autorisations d’invité par défaut ou restreintes, les invités ne peuvent pas énumérer la liste des groupes ni des utilisateurs. Les invités peuvent voir les groupes dont ils sont membres dans le portail Azure et le portail Mes applications en fonction des autorisations :
  • Autorisations par défaut : Pour rechercher les groupes dont ils sont membres dans le portail Azure, l’invité doit rechercher son ID d’objet dans la liste Tous les utilisateurs, puis sélectionner Groupes. Ici, ils peuvent voir la liste des groupes dont ils sont membres, y compris tous les détails des groupes, notamment le nom, l’adresse e-mail, etc. Dans le portail Mes applications, ils peuvent voir la liste des groupes dont ils sont propriétaires et la liste des groupes dont ils sont membres.
  • Autorisations d’invité par défaut : Dans le portail Azure, ils peuvent rechercher la liste des groupes dont ils sont membres en recherchant leur ID d’objet dans la liste Tous les utilisateurs, puis en sélectionnant Groupes. Ils peuvent uniquement voir des détails très limités sur le groupe, notamment l’ID d’objet. Par défaut, les colonnes Nom et Adresse e-mail sont vides et le type de groupe n’est pas reconnu. Dans le portail Mes applications, ils ne peuvent pas accéder à la liste des groupes dont ils sont propriétaires ni à la liste des groupes dont ils sont membres.

Pour une comparaison plus détaillée des autorisations de répertoire qui proviennent de l’API Graph, consultez Autorisations utilisateur par défaut.
Quelles sont les parties du portail Mes applications affectées par cette fonctionnalité ? La fonctionnalité de groupes du portail Mes applications tient compte de ces nouvelles autorisations. Cette fonctionnalité inclut tous les chemins pour afficher la liste des groupes et les appartenances aux groupes dans Mes applications. Aucune modification n’a été apportée à la disponibilité des vignettes de groupe. La disponibilité des vignettes de groupe est toujours contrôlée par le paramètre de groupe existant dans le portail Azure.
Ces autorisations remplacent-elles les paramètres invités SharePoint ou Microsoft Teams ? Non. Ces paramètres existants contrôlent toujours l’expérience et l’accès dans ces applications. Si, par exemple, vous constatez des problèmes dans SharePoint, vérifiez vos paramètres de partage externe. Les invités ajoutés par les propriétaires d’équipe au niveau de l’équipe ont accès à la conversation de réunion de canal uniquement pour les canaux standard, à l’exclusion de tous les canaux privés et partagés.
Quels sont les problèmes de compatibilité connus dans Yammer ? Lorsque les autorisations sont définies sur « restreint », les invités connectés à Yammer ne peuvent pas quitter le groupe.
Mes autorisations invité existantes seront-elles modifiées dans mon locataire ? Aucune modification n’a été apportée à vos paramètres actuels. Nous maintenons une compatibilité descendante avec vos paramètres existants. Vous décidez quand vous souhaitez apporter des modifications.
Ces autorisations seront-elles définies par défaut ? Non. Les autorisations par défaut existantes restent inchangées. Vous pouvez si vous le souhaitez les définir de manière plus restrictive.
Cette fonctionnalité est-elle soumise à des conditions de licence ? Non, il n’existe aucune nouvelle exigence de licence associée à cette fonctionnalité.

Étapes suivantes