Gérer des comptes d’administrateur dans Azure Active Directory B2C

Dans Azure Active Directory B2C (Azure AD B2C), un locataire représente votre annuaire de consommateurs, de travail et de comptes invité. Avec un rôle d’administrateur, les comptes professionnels et invités peuvent gérer le locataire.

Dans cet article, vous apprendrez comment :

• Ajouter un administrateur (compte professionnel)
• Inviter un administrateur (compte invité)
• Ajouter une attribution de rôle à un compte d’utilisateur
• Supprimer une attribution de rôle d’un compte d’utilisateur
• Supprimer un compte administrateur
• Protéger des comptes d’administration

Prérequis

• Si vous n’avez pas encore créé votre propre locataire Azure AD B2C, créez-en un maintenant. Vous pouvez utiliser un locataire Azure AD B2C existant.
• Comprendre les comptes d’utilisateur dans Azure AD B2C.
• Comprendre les rôles utilisateur pour contrôler l’accès aux ressources.

Ajouter un administrateur (compte professionnel)

Pour créer un compte d’administration, procédez comme suit :

1. Connectez-vous au portail Azure avec des autorisations d’administrateur général ou d’administrateur de rôle privilégié.

2. Si vous avez accès à plusieurs locataires, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire Azure AD B2C à partir du menu Répertoires + abonnements.

3. Sous Services Azure, sélectionnez Azure AD B2C. Vous pouvez également utiliser la zone de recherche pour rechercher et sélectionner Azure AD B2C.

4. Sous Gérer, sélectionnez Utilisateurs.

5. Sélectionnez Nouvel utilisateur.

6. Sélectionnez Créer un utilisateur (vous pouvez en créer plusieurs à la fois en sélectionnant Je souhaite créer des utilisateurs en bloc).

7. Sur la page Utilisateur, entrez les informations pour cet utilisateur :

   • Nom d’utilisateur. Requis. Nom d’utilisateur du nouvel utilisateur. Par exemple : mary@contoso.com. La partie domaine du nom d’utilisateur doit utiliser soit le nom de domaine initial par défaut, <nom de locataire>.onmicrosoft.com, soit votre domaine personnalisé, par exemple contoso.com.
   • Nom. Requis. Prénom et nom du nouvel utilisateur. Par exemple, Mary Parker.
   • Groupes. Facultatif. Vous pouvez ajouter l’utilisateur à un ou plusieurs groupes existants. Vous pouvez également ajouter l’utilisateur à des groupes ultérieurement.
   • Rôle d’annuaire : si vous avez besoin d’autorisations d’administration Microsoft Entra pour l’utilisateur, vous pouvez les ajouter à un rôle Microsoft Entra. Vous pouvez attribuer à l'utilisateur le rôle d'Administrateur général, ou lui confier un ou plusieurs des rôles d'administrateur limités dans Microsoft Entra ID. Pour plus d’informations sur l’attribution de rôles, consultez Utiliser des rôles pour contrôler l’accès aux ressources.
   • Informations sur l’emploi : Vous pouvez ajouter ici des informations supplémentaires sur l’utilisateur, ou le faire ultérieurement.

8. Copiez le mot de passe généré automatiquement fourni dans le champ Mot de passe. Vous devrez fournir ce mot de passe à l’utilisateur pour qu’il se connecte la première fois.

9. Sélectionnez Create (Créer).

L’utilisateur est créé et ajouté à votre locataire Azure AD B2C. Il est préférable d’avoir au moins un compte professionnel natif pour votre locataire Azure AD B2C affecté au rôle d’administrateur général. Ce compte peut être considéré comme un compte de secours ou un compte d’accès d’urgence.

Inviter un administrateur (compte invité)

Vous pouvez également inviter un nouvel utilisateur invité à gérer votre locataire. Le compte invité est l’option privilégiée lorsque votre organisation possède également Microsoft Entra ID, car le cycle de vie de cette identité peut être géré en externe.

Pour inviter un utilisateur, procédez comme suit :

1. Connectez-vous au portail Azure avec des autorisations d’administrateur général ou d’administrateur de rôle privilégié.

2. Si vous avez accès à plusieurs locataires, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire Azure AD B2C à partir du menu Répertoires + abonnements.

3. Sous Services Azure, sélectionnez Azure AD B2C. Vous pouvez également utiliser la zone de recherche pour rechercher et sélectionner Azure AD B2C.

4. Sous Gérer, sélectionnez Utilisateurs.

5. Sélectionnez Nouveau compte Invité.

6. Sur la page Utilisateur, entrez les informations pour cet utilisateur :

   • Nom. Requis. Prénom et nom du nouvel utilisateur. Par exemple, Mary Parker.
   • Adresse e-mail. Requis. Adresse e-mail de l’utilisateur que vous souhaitez inviter, qui doit correspondre à un compte Microsoft. Par exemple : mary@contoso.com.
   • Message personnel : vous ajoutez un message personnel qui sera inclus dans l’e-mail d’invitation.
   • Groupes. Facultatif. Vous pouvez ajouter l’utilisateur à un ou plusieurs groupes existants. Vous pouvez également ajouter l’utilisateur à des groupes ultérieurement.
   • Rôle d’annuaire : si vous avez besoin d’autorisations d’administration Microsoft Entra pour l’utilisateur, vous pouvez les ajouter à un rôle Microsoft Entra. Vous pouvez attribuer à l'utilisateur le rôle d'Administrateur général, ou lui confier un ou plusieurs des rôles d'administrateur limités dans Microsoft Entra ID. Pour plus d’informations sur l’attribution de rôles, consultez Utiliser des rôles pour contrôler l’accès aux ressources.
   • Informations sur l’emploi : Vous pouvez ajouter ici des informations supplémentaires sur l’utilisateur, ou le faire ultérieurement.

7. Sélectionnez Créer.

Un e-mail d’invitation est envoyé à l’utilisateur. L’utilisateur doit accepter l’invitation pour pouvoir se connecter.

Renvoyer l’e-mail d’invitation

Si l’invité n’a pas reçu l’e-mail d’invitation ou si l’invitation a expiré, vous pouvez renvoyer l’invitation. Comme alternative à l’e-mail d’invitation, vous pouvez donner un lien direct à un invité pour qu’il accepte l’invitation. Pour renvoyer l’invitation et recevoir le lien direct :

1. Connectez-vous au portail Azure.

2. Si vous avez accès à plusieurs locataires, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire Azure AD B2C à partir du menu Répertoires + abonnements.

3. Sous Services Azure, sélectionnez Azure AD B2C. Vous pouvez également utiliser la zone de recherche pour rechercher et sélectionner Azure AD B2C.

4. Sous Gérer, sélectionnez Utilisateurs.

5. Recherchez et sélectionnez l’utilisateur auquel vous souhaitez renvoyer l’invitation.

6. Sur la page Utilisateur | Profil, sous Identité, sélectionnez (Gérer) .

7. Pour Renvoyer une invitation ? , sélectionnez Oui. Lorsque Voulez-vous vraiment renvoyer une invitation ? s’affiche, sélectionnez Oui.

8. Azure AD B2C envoie l’invitation. Vous pouvez également copier l’URL de l’invitation et la fournir directement à l’invité.

   

Ajouter une attribution de rôle

Vous pouvez attribuer un rôle lorsque vous créez un utilisateur ou que vous invitez un utilisateur invité. Vous pouvez ajouter, modifier ou supprimer un rôle pour un utilisateur :

1. Connectez-vous au portail Azure avec des autorisations d’administrateur général ou d’administrateur de rôle privilégié.
2. Si vous avez accès à plusieurs locataires, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire Azure AD B2C à partir du menu Répertoires + abonnements.
3. Sous Services Azure, sélectionnez Azure AD B2C. Vous pouvez également utiliser la zone de recherche pour rechercher et sélectionner Azure AD B2C.
4. Sous Gérer, sélectionnez Utilisateurs.
5. Sélectionnez l’utilisateur dont vous souhaitez modifier les rôles. Ensuite, sélectionnez Rôles affectés.
6. Sélectionnez Ajouter des affectations, le rôle à attribuer (par exemple, Administrateur d’application), puis choisissez Ajouter.

Supprimer une attribution de rôle

Si vous devez supprimer une attribution de rôle d’un utilisateur, procédez comme suit :

1. Sélectionnez Azure AD B2C, sélectionnez Utilisateurs, puis recherchez et sélectionnez l’utilisateur.
2. Sélectionnez Rôles attribués. Sélectionnez le rôle que vous souhaitez supprimer, tel qu’Administrateur d’application, puis sélectionnez Supprimer l’attribution.

Vérifier les attributions de rôle de compte administrateur

Dans le cadre d’un processus d’audit, vous examinez généralement les utilisateurs qui sont attribués à des rôles spécifiques dans le répertoire Azure AD B2C. Procédez comme suit pour vérifier quels utilisateurs sont actuellement affectés à des rôles privilégiés.

1. Connectez-vous au portail Azure avec des autorisations d’administrateur général ou d’administrateur de rôle privilégié.
2. Si vous avez accès à plusieurs locataires, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire Azure AD B2C à partir du menu Répertoires + abonnements.
3. Sous Services Azure, sélectionnez Azure AD B2C. Vous pouvez également utiliser la zone de recherche pour rechercher et sélectionner Azure AD B2C.
4. Sous Gérer, sélectionnez Rôles et administrateurs.
5. Sélectionnez un rôle, comme Administrateur général. La page de Rôle | Affectations répertorie les utilisateurs disposant de ce rôle.

Supprimer un compte administrateur

Pour supprimer un utilisateur existant, vous devez disposer d’une attribution de rôle Administrateur général. Les administrateurs généraux peuvent supprimer n’importe quel utilisateur, notamment les autres administrateurs. Les administrateurs d’utilisateurs peuvent supprimer n’importe quel utilisateur non-administrateur.

1. Dans votre répertoire Azure AD B2C, sélectionnez Utilisateurs, puis sélectionnez l'utilisateur que vous souhaitez supprimer.
2. Sélectionnez Supprimer, puis Oui pour confirmer la suppression.

L’utilisateur est supprimé et n’apparaît plus sur la page Utilisateurs : Tous les utilisateurs. L’utilisateur est affiché sur la page Utilisateurs supprimés pendant 30 jours et peut être restauré durant cette période. Si vous souhaitez en savoir davantage concernant la restauration d’un utilisateur, consultez Restaurer ou retirer un utilisateur supprimé récemment à l’aide de Microsoft Entra ID.

Protéger des comptes d’administration

Il est recommandé de protéger tous les comptes Administrateur avec l’authentification multifacteur (MFA, Multifactor Authentication) pour plus de sécurité. MFA est un processus de vérification d’identité lors de la connexion qui invite l’utilisateur à fournir une plus grande forme d’identification, telle qu’un code de vérification sur son appareil mobile ou une requête dans son application Microsoft Authenticator.

Si vous n’utilisez pas l’accès conditionnel, vous pouvez activer les paramètres de sécurité par défaut Microsoft Entra ID pour forcer tous les comptes d’administration à utiliser MFA.

Étapes suivantes

• Gérer les comptes d’accès d’urgence dans Azure Active Directory B2C