Quelles sont les autorisations d’utilisateur par défaut dans Azure Active Directory ?

Dans Azure Active Directory (Azure AD), tous les utilisateurs bénéficient d’un jeu d’autorisations par défaut. L’accès d’un utilisateur se compose du type d’utilisateur, de ses attributions de rôles et de sa possession d’objets individuels.

Cet article décrit ces autorisations par défaut et compare les valeurs par défaut des utilisateurs membres et invités. Les autorisations d’utilisateur par défaut ne peuvent être modifiées que dans les paramètres utilisateur dans Azure AD.

Utilisateurs membres et utilisateurs invités

Le jeu d’autorisations par défaut varie selon que l’utilisateur est un membre natif du locataire ou de l’utilisateur à partir d’un autre annuaire en tant qu’invité de collaboration B2B (Business-to-Business) (utilisateur invité). Pour plus d’informations sur l’ajout d’utilisateurs invités, consultez Qu’est-ce que la collaboration B2B d’Azure AD. Voici les fonctionnalités des autorisations par défaut :

  • Les utilisateurs membres peuvent inscrire des applications, gérer leurs numéro de téléphone mobile et photo de profil, changer leur mot de passe et inviter des invités B2B. Ces utilisateurs peuvent également lire toutes les informations d’annuaire (à quelques exceptions près).

  • Les utilisateurs invités disposent d’autorisations d’annuaire limitées. Ils peuvent gérer leur propre profil, modifier leur propre mot de passe et récupérer des informations sur d’autres utilisateurs, groupes et applications. Toutefois, ils ne peuvent pas lire toutes les informations d’annuaire.

    Par exemple, les utilisateurs invités ne peuvent pas énumérer la liste de tous les utilisateurs, groupes et autres objets d’annuaire. Les invités peuvent être ajoutés aux rôles d’administrateur, qui leur accordent des autorisations de lecture et d’écriture complètes. Les invités peuvent également inviter d’autres invités.

Comparer les autorisations par défaut des invités et des membres

Zone Autorisations d’un utilisateur membre Autorisations d’utilisateur invité par défaut Autorisations d’utilisateur invité restreintes
Utilisateurs et contacts
  • Énumérer la liste de tous les utilisateurs et contacts
  • Lire toutes les propriétés publiques des utilisateurs et des contacts
  • Inviter des invités
  • Modifier leur propre mot de passe
  • Gérer son propre numéro de téléphone mobile
  • Gérer leur propre photo
  • Invalider leurs propres jetons d’actualisation
  • Lire leurs propres propriétés
  • Lire le nom d’affichage, l’e-mail, le nom de connexion, la photo, le nom d’utilisateur principal et les propriétés de type d’utilisateur des autres utilisateurs et contacts
  • Modifier leur propre mot de passe
  • Rechercher un autre utilisateur par ID d’objet (si autorisé)
  • Lire les informations sur le gestionnaire et le rapport direct d’autres utilisateurs
  • Lire leurs propres propriétés
  • Modifier leur propre mot de passe
  • Gérer son propre numéro de téléphone mobile
Groupes
  • Créer des groupes de sécurité
  • Créer des groupes Microsoft 365
  • Énumérer la liste de tous les groupes
  • Lire toutes les propriétés des groupes
  • Lire les appartenances aux groupes non masquées
  • Lire les appartenances aux groupes Microsoft 365 masquées pour les groupes rejoints
  • Gérer les propriétés, la propriété et l’appartenance des groupes détenus par l’utilisateur
  • Ajouter des invités aux groupes acquis
  • Gérer les paramètres d’appartenance dynamique
  • Supprimer des groupes acquis
  • Restaurer les groupes Microsoft 365 détenus
  • Lire les propriétés des groupes non masqués, y compris l’appartenance et la propriété (même de groupes non joints)
  • Lire les appartenances aux groupes Microsoft 365 masquées pour les groupes rejoints
  • Rechercher des groupes par nom d’affichage ou ID d’objet (si autorisé)
  • Lire des ID d’objet pour des groupes joints
  • Lire l’appartenance et la propriété des groupes joints dans certaines applications Microsoft 365 (si autorisé)
Applications
  • Inscrire (créer) de nouvelles applications
  • Énumérer la liste de toutes les applications
  • Lire les propriétés des applications inscrites et d’entreprise
  • Répertorier les autorisations accordées aux applications
  • Gérer les propriétés d’application, les affectations et les informations d’identification des applications acquises
  • Créer ou supprimer des mots de passe d’application pour les utilisateurs
  • Supprimer des applications acquises
  • Restaurer des applications acquises
  • Répertorier les autorisations accordées aux applications
  • Lire les propriétés des applications inscrites et d’entreprise
  • Répertorier les autorisations accordées aux applications
  • Lire les propriétés des applications inscrites et d’entreprise
  • Répertorier les autorisations accordées aux applications
Périphériques
  • Énumérer la liste de tous les appareils
  • Lire toutes les propriétés des appareils
  • Gérer toutes les propriétés des appareils acquis
Aucune autorisation Aucune autorisation
Organisation
  • Lire toutes les informations de l’entreprise
  • Lire tous les domaines
  • Lire la configuration de l’authentification basée sur un certificat
  • Lire tous les contrats de partenaire
  • Lire le nom complet de l’entreprise
  • Lire tous les domaines
  • Lire la configuration de l’authentification basée sur un certificat
  • Lire le nom complet de l’entreprise
  • Lire tous les domaines
Rôles et étendues
  • Lire tous les rôles d’administrateur et toutes les appartenances
  • Lire toutes les propriétés et l’appartenance des unités administratives
Aucune autorisation Aucune autorisation
Abonnements
  • Lire tous les abonnements
  • Activer l’appartenance à un plan de service
Aucune autorisation Aucune autorisation
Stratégies
  • Lire toutes les propriétés des stratégies
  • Gérer toutes les propriétés des stratégies détenues
Aucune autorisation Aucune autorisation

Restreindre les autorisations par défaut des utilisateurs membres

Il est possible d’ajouter des restrictions aux autorisations par défaut des utilisateurs.

Vous pouvez restreindre les autorisations par défaut pour les utilisateurs membres des manières suivantes :

Attention

L’utilisation du commutateur Limiter l’accès au portail d’administration Azure ADn’est PAS une mesure de sécurité. Pour plus d’informations sur cette fonctionnalité, consultez le tableau ci-dessous.

Autorisation Explication du paramètre
Inscrire des applications Définir cette option sur Non empêche les utilisateurs de créer des inscriptions d’applications. Vous pouvez alors redonner la capacité à des personnes spécifiques en les ajoutant au rôle développeur d’applications.
Créer des locataires Par défaut, tous vos utilisateurs peuvent créer des locataires. Si vous définissez cette option sur Non, vous empêchez les utilisateurs de créer des locataires Azure AD ou Azure AD B2C. Vous pouvez redonner cette capacité à des personnes spécifiques en les ajoutant au rôle de créateur de locataires.
Autoriser les utilisateurs à connecter un compte professionnel ou scolaire avec LinkedIn Définir cette option sur Non empêche les utilisateurs de connecter leur compte professionnel ou scolaire avec leur compte LinkedIn. Pour plus d’informations, voir Consentement et partage de données connexions de compte LinkedIn.
Créer des groupes de sécurité Définir cette option sur Non empêche les utilisateurs de créer des groupes de sécurité. Les administrateurs généraux et les administrateurs d’utilisateurs peuvent toujours créer des groupes de sécurité. Pour connaître la marche à suivre, consultez Configuration des paramètres de groupe avec les applets de commande Azure Active Directory.
Créer des groupes Microsoft 365 Définir cette option sur Non empêche les utilisateurs de créer des groupes Microsoft 365. Définir cette option sur Certain(e)s permet à un ensemble d’utilisateurs spécifique de créer des groupes Microsoft 365. Les administrateurs généraux et les administrateurs d’utilisateurs peuvent toujours créer des groupes de Microsoft 365. Pour connaître la marche à suivre, consultez Configuration des paramètres de groupe avec les applets de commande Azure Active Directory.
Limiter l’accès au portail d’administration Azure AD Que fait ce commutateur ?
Non : Les non-administrateurs peuvent naviguer dans le portail d’administration Azure AD.
Oui : Les non-administrateurs ne peuvent pas naviguer dans le portail d’administration Azure AD. Les non-administrateurs propriétaires de groupes ou d’applications ne peuvent pas utiliser le portail Azure pour gérer les ressources qui leur appartiennent.

Que ne fait-il pas ?
Il ne limite pas l’accès aux données Azure AD avec PowerShell, l’API Microsoft Graph ou d’autres clients tels que Visual Studio.
Il ne limite pas l’accès tant qu’un utilisateur se voit attribuer un rôle personnalisé (ou n’importe quel rôle).

Dans quelle situation dois-je utiliser ce commutateur ?
Utilisez cette option pour empêcher les utilisateurs de configurer incorrectement les ressources qu’ils possèdent.

Dans quelle situation ne dois-je pas utiliser ce commutateur ?
N’utilisez pas ce commutateur comme mesure de sécurité. Créez plutôt une stratégie d’accès conditionnel qui cible la gestion Microsoft Azure et empêche les non-administrateurs d’y accéder.

Comment accorder uniquement à des utilisateurs non-administrateurs spécifiques la possibilité d’utiliser le portail d’administration Azure AD ?
Définissez cette option sur Oui, puis attribuez-leur un rôle tel que lecteur général.

Limiter l’accès au portail d’administration Entra
Une stratégie d’accès conditionnel qui cible la gestion Microsoft Azure cible l’accès à l’ensemble de la gestion Azure.

Lire d’autres utilisateurs Ce paramètre est disponible uniquement dans Microsoft Graph et PowerShell. Définir cet indicateur sur $false empêche tous les utilisateurs non administrateurs de lire les informations utilisateur dans le répertoire. Cet indicateur n’empêche pas de lire les informations utilisateur dans d’autres services Microsoft comme Exchange Online.

Ce paramètre est destiné à des circonstances particulières, donc nous vous déconseillons de définir l’indicateur sur $false.

Restreindre les autorisations par défaut des utilisateurs invités

Vous pouvez restreindre les autorisations par défaut pour les utilisateurs invités de l’une des manières suivantes.

Notes

Le paramètre de restrictions d’accès d’utilisateur invités a remplacé le paramètre Les autorisations d’utilisateurs invités sont limitées. Pour obtenir des conseils sur l’utilisation de cette fonctionnalité, consultez Restriction des autorisations d’accès invité dans Azure Active Directory.

Autorisation Explication du paramètre
Restrictions d’accès des utilisateurs invités La définition de cette option de façon à attribuer aux utilisateurs invités le même accès que celui des membres a pour effet d’accorder par défaut toutes les autorisations des utilisateurs membres aux utilisateurs invités.

La définition de cette option de façon à ce que l’accès des utilisateurs invités soit limité aux propriétés et aux appartenances de leurs propres objets d’annuaire a pour effet de limiter par défaut l’accès des invités à leur seul propre profil utilisateur. L’accès à d’autres utilisateurs n’est plus autorisé, même lorsqu’ils recherchent par nom d’utilisateur principal, ID d’objet ou nom d’affichage. L’accès aux informations de groupe, y compris les appartenances aux groupes, n’est plus autorisé.

Ce paramètre n’empêche pas l’accès aux groupes joints dans certains services Microsoft 365 tels que Microsoft Teams. Pour en savoir plus, consultez Accès invité à Microsoft Teams.

Les utilisateurs invités peuvent toujours être ajoutés aux rôles d’administrateur, indépendamment de ce paramètre d’autorisation.

Les invités peuvent inviter Si cette option est définie sur Oui, les invités sont autorisés à inviter d’autres invités. Pour plus d’informations, consultez Configurer les paramètres de collaboration externe.
Les membres peuvent inviter Définir cette option sur Oui permet aux membres non-administrateurs de votre annuaire de convier des invités. Pour plus d’informations, consultez Configurer les paramètres de collaboration externe.
Les administrateurs et utilisateurs ayant le rôle d’inviteur invité peuvent inviter La définition de cette option sur Oui permet aux administrateurs et aux utilisateurs dont le rôle est « Inviteur d’invités » de convier des invités. Lorsque vous affectez la valeur Oui à cette option, les utilisateurs du rôle inviteur d’invité pourront toujours inviter des invités, quel que soit le paramètre Membres pouvant inviter. Pour plus d’informations, consultez Configurer les paramètres de collaboration externe.

Propriété des objets

Autorisations des propriétaires liées à l’inscription d’une application

Lorsqu’un utilisateur inscrit une application, il est automatiquement ajouté en tant que propriétaire de l’application. En tant que propriétaire, il peut gérer les métadonnées de l’application, telles que le nom et les autorisations demandées par l’application. Il peut également gérer la configuration spécifique du locataire de l’application, telle que la configuration de l’authentification unique (SSO) et les attributions d’utilisateurs.

Un propriétaire peut également ajouter ou supprimer des propriétaires. Contrairement aux administrateurs généraux, les propriétaires ne peuvent gérer que les applications qu’ils possèdent.

Autorisations de propriétaire d’applications d’entreprise

Lorsqu’un utilisateur ajoute une nouvelle application d’entreprise, il est automatiquement ajouté en tant que propriétaire. En cette qualité, il peut gérer la configuration spécifique du locataire de l’application, telle que la configuration de l’authentification unique, l’approvisionnement et les affectations d’utilisateurs.

Un propriétaire peut également ajouter ou supprimer des propriétaires. Contrairement aux administrateurs généraux, les propriétaires ne peuvent gérer que les applications qu’ils possèdent.

Autorisations de propriétaire de groupe

Lorsqu’un utilisateur crée un groupe, il est automatiquement ajouté en tant que propriétaire de ce groupe. En tant que propriétaire, il peut gérer les propriétés du groupe (par exemple, le nom) et gérer l’appartenance au groupe.

Un propriétaire peut également ajouter ou supprimer des propriétaires. Contrairement aux administrateurs généraux et aux administrateurs d’utilisateurs, les propriétaires ne peuvent gérer que les groupes dont ils sont propriétaires.

Pour assigner un propriétaire de groupe, consultez Gestion des propriétaires d’un groupe.

Autorisations de propriété

Les tableaux suivants décrivent les autorisations spécifiques dans Azure AD que les utilisateurs membres possèdent sur des objets détenus. Les utilisateurs disposent de ces autorisations uniquement sur les objets qu’ils possèdent.

Inscriptions d’application possédées

Les utilisateurs peuvent effectuer les actions suivantes sur des inscriptions d’application possédées :

Action Description
microsoft.directory/applications/audience/update Mettez à jour la propriété applications.audience dans Azure AD.
microsoft.directory/applications/authentication/update Mettez à jour la propriété applications.authentication dans Azure AD.
microsoft.directory/applications/basic/update Mettez à jour les propriétés de base sur les applications dans Azure AD.
microsoft.directory/applications/credentials/update Mettez à jour la propriété applications.credentials dans Azure AD.
microsoft.directory/applications/delete Supprimez des applications dans Azure AD.
microsoft.directory/applications/owners/update Mettez à jour la propriété applications.owners dans Azure AD.
microsoft.directory/applications/permissions/update Mettez à jour la propriété applications.permissions dans Azure AD.
microsoft.directory/applications/policies/update Mettez à jour la propriété applications.policies dans Azure AD.
microsoft.directory/applications/restore Restaurez les applications dans Azure AD.

Applications d’entreprise possédées

Les utilisateurs peuvent effectuer les actions suivantes sur les applications d’entreprise qu’ils possèdent. Une application d’entreprise se compose d’un principal de service, d’une ou plusieurs stratégies d’application et parfois d’un objet d’application dans le même locataire que le principal de service.

Action Description
microsoft.directory/auditLogs/allProperties/read Lisez toutes les propriétés (y compris les propriétés privilégiées) sur les journaux d’audit dans Azure AD.
microsoft.directory/policies/basic/update Mettez à jour les propriétés de base sur les stratégies dans Azure AD.
microsoft.directory/policies/delete Supprimez des stratégies Azure AD.
microsoft.directory/policies/owners/update Mettez à jour la propriété policies.owners dans Azure AD.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Mettez à jour la propriété servicePrincipals.appRoleAssignedTo dans Azure AD.
microsoft.directory/servicePrincipals/appRoleAssignments/update Mettez à jour la propriété users.appRoleAssignments dans Azure AD.
microsoft.directory/servicePrincipals/audience/update Mettez à jour la propriété servicePrincipals.audience dans Azure AD.
microsoft.directory/servicePrincipals/authentication/update Mettez à jour la propriété servicePrincipals.authentication dans Azure AD.
microsoft.directory/servicePrincipals/basic/update Mettez à jour les propriétés de base sur les principaux de service dans Azure AD.
microsoft.directory/servicePrincipals/credentials/update Mettez à jour la propriété servicePrincipals.credentials dans Azure AD.
microsoft.directory/servicePrincipals/delete Supprimez les principaux de service dans Azure AD.
microsoft.directory/servicePrincipals/owners/update Mettez à jour la propriété servicePrincipals.owners dans Azure AD.
microsoft.directory/servicePrincipals/permissions/update Mettez à jour la propriété servicePrincipals.permissions dans Azure AD.
microsoft.directory/servicePrincipals/policies/update Mettez à jour la propriété servicePrincipals.policies dans Azure AD.
microsoft.directory/signInReports/allProperties/read Lisez toutes les propriétés (y compris les propriétés privilégiées) sur les rapports de connexion dans Azure AD.

Appareils joints possédés

Les utilisateurs peuvent effectuer les actions suivantes sur les appareils qu’ils possèdent :

Action Description
microsoft.directory/devices/bitLockerRecoveryKeys/read Lisez la propriété devices.bitLockerRecoveryKeys dans Azure AD.
microsoft.directory/devices/disable Désactivez des appareils dans Azure AD.

Groupes possédés

Les utilisateurs peuvent effectuer les actions suivantes sur les groupes qu’ils possèdent.

Notes

Les propriétaires de groupes dynamiques doivent avoir un rôle Administrateur général, Administrateur de groupe, Administrateur Intune ou Administrateur d’utilisateurs pour modifier les règles d’appartenance aux groupes. Pour plus d’informations, consultez Créer ou mettre à jour un groupe dynamique dans Azure Active Directory.

Action Description
microsoft.directory/groups/appRoleAssignments/update Mettez à jour la propriété groups.appRoleAssignments dans Azure AD.
microsoft.directory/groups/basic/update Mettez à jour les propriétés de base des groupes dans Azure AD.
microsoft.directory/groups/delete Supprimez des groupes dans Azure AD.
microsoft.directory/groups/members/update Mettez à jour la propriété groups.members dans Azure AD.
microsoft.directory/groups/owners/update Mettez à jour la propriété groups.owners dans Azure AD.
microsoft.directory/groups/restore Restaurez les groupes dans Azure AD.
microsoft.directory/groups/settings/update Mettez à jour la propriété groups.settings dans Azure AD.

Étapes suivantes