Le portail Microsoft Purview prend en charge la gestion directe des autorisations pour les utilisateurs qui effectuent des tâches dans Microsoft Purview. À l’aide de la zone Rôles et étendues dans Paramètres du portail, vous pouvez gérer les autorisations des utilisateurs dans vos solutions de sécurité des données, de gouvernance des données et de gestion des risques et de conformité purview. Vous pouvez limiter les utilisateurs à effectuer uniquement des tâches spécifiques auxquelles vous leur accordez explicitement l’accès. La sélection des solutions de risque et de conformité dans le portail ouvre actuellement ces solutions dans le portail de conformité Microsoft Purview.
Pour afficher les groupes de rôles dans la zone Rôles et étendues du portail Purview, les utilisateurs doivent être administrateur général ou avoir le rôle Gestion des rôles (un rôle est attribué uniquement au groupe de rôles Gestion de l’organisation ). Le rôle Gestion des rôles permet aux utilisateurs d’afficher, de créer et de modifier des groupes de rôles.
Utiliser des rôles avec le moins d’autorisations
Microsoft recommande toujours d’utiliser des rôles avec le moins d’autorisations. La réduction du nombre d’utilisateurs dotés du rôle Administrateur général permet d’améliorer la sécurité de votre organisation. Lors de la planification de votre stratégie de contrôle d’accès, il est recommandé de gérer l’accès au moindre privilège pour vos utilisateurs. Le privilège minimum signifie que vous accordez exactement à vos administrateurs l’autorisation dont ils ont besoin pour effectuer leur travail.
Autorisations Purview
Les autorisations dans le portail Purview sont basées sur le modèle d’autorisations de contrôle d’accès en fonction du rôle (RBAC). RBAC est le même modèle d’autorisations que celui utilisé par la plupart des services Microsoft 365. Par conséquent, si vous êtes familiarisé avec la structure des autorisations dans ces services, l’octroi d’autorisations dans le portail Purview vous sera familier. Il est important de se rappeler que les autorisations gérées dans le portail Purview ne couvrent pas la gestion de toutes les autorisations nécessaires dans chaque service individuel. Vous devez toujours gérer certaines autorisations spécifiques au service dans le centre d’administration pour le service spécifique. Par exemple, si vous devez attribuer des autorisations pour l’archivage, l’audit et les stratégies de rétention MRM, vous devez gérer ces autorisations dans le Centre d’administration Exchange.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment les fonctionnalités supplémentaires de Purview peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’essais du portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Relation entre les membres, les rôles et les groupes de rôles
Un rôle accorde des autorisations pour effectuer un ensemble de tâches ; Par exemple, le rôle Gestion des cas permet aux utilisateurs de travailler avec des cas eDiscovery.
Un groupe de rôles est un ensemble de rôles qui permettent aux utilisateurs d’effectuer leur travail dans les solutions de conformité et de gouvernance du portail Microsoft Purview. Par exemple, en ajoutant des utilisateurs au groupe de rôles Gestion des risques internes , les administrateurs désignés, les analystes, les enquêteurs et les auditeurs sont configurés pour les autorisations de gestion des risques internes nécessaires dans un seul groupe. Le portail Microsoft Purview inclut des groupes de rôles par défaut pour les tâches et les fonctions pour chaque solution de conformité et de gouvernance à laquelle vous devez affecter des personnes. En règle générale, nous vous recommandons d’ajouter des utilisateurs individuels en tant que membres aux groupes de rôles par défaut en fonction des besoins.
Autorisations nécessaires pour utiliser les fonctionnalités dans le portail Purview
La gestion des autorisations dans le portail Purview permet uniquement aux utilisateurs d’accéder aux fonctionnalités de conformité et de gouvernance disponibles dans le portail Purview. Si vous souhaitez accorder des autorisations à d’autres fonctionnalités qui ne figurent pas dans le portail Purview, telles que les règles de flux de messagerie Exchange (également appelées règles de transport), vous devez utiliser le Centre d’administration Exchange.
Autorisations de gouvernance nécessaires
Les rôles de gouvernance actuels et les groupes de rôles disponibles couvrent uniquement un accès étendu à la carte de données Microsoft Purview et au catalogue de données. Pour plus d’accès, la gouvernance Microsoft Purview utilise une combinaison de groupes de rôles, d’accès aux données et d’autorisations spécifiques à la solution.
Les rôles qui apparaissent dans la section ID Microsoft Entra de la zone Rôles et étendues sont des rôles Microsoft Entra, et cette section est visible par les administrateurs généraux. Ces rôles sont conçus pour s’aligner sur les fonctions du groupe informatique de votre organisation, ce qui permet de donner à vos utilisateurs les autorisations nécessaires pour accomplir leur travail. Vous pouvez afficher les utilisateurs actuellement affectés à chaque rôle en sélectionnant un rôle Administrateur et en affichant les détails du panneau de rôle. Pour gérer les membres d’un rôle Microsoft Entra, sélectionnez Gérer les membres dans l’ID Microsoft Entra. Ce choix vous redirige vers le portail de gestion Azure.
Role
Description
Administrateur général
Accède à toutes les fonctionnalités d’administration de tous les services Microsoft 365. Seuls les administrateurs généraux peuvent affecter d’autres rôles d’administrateur. Pour plus d’informations, consultez la section Administrateur Général / Administrateur d’entreprise.
Administrateur de conformité des données
Effectue un suivi des données de votre organisation dans Microsoft 365, vérifie qu’elles sont protégées et obtient des informations sur les problèmes liés à l’atténuation des risques. Pour en savoir plus, consultez la section Administrateur de conformité des données.
Administrateur de conformité
Aide votre organisation à respecter les exigences réglementaires, gère les cas de découverte électronique et gère les stratégies de gouvernance des données sur les emplacements, les identités et les applications Microsoft 365. Pour en savoir plus, consultez la section Administrateur de conformité.
Opérateur de sécurité
Consulter, examiner et répondre aux menaces actives envers vos utilisateurs, appareils et contenus Microsoft 365. Pour plus d’informations, voir la section Opérateur de sécurité.
Lecteur de sécurité
Affichez et examinez les menaces actives pour vos utilisateurs, appareils et contenu Microsoft 365, mais (contrairement à l’opérateur Sécurité), ils ne disposent pas des autorisations nécessaires pour répondre en prenant des mesures. Pour plus d’informations, voir la section Lecteur de sécurité.
Administrateur de sécurité
Contrôle la sécurité globale de votre organisation en gérant les stratégies de sécurité, en examinant les analyses de la sécurité et les rapports sur les produits Microsoft 365 et en se tenant à jour sur les menaces. Pour plus d’informations, voir la section Administrateur de sécurité.
Lecteur général
Version en lecture seule du rôle Administrateur général. Affiche tous les paramètres et informations administratives dans Microsoft 365. Pour plus d’informations, consultez Lecteur général.
Administrateur de simulation d’attaque
Créez et gérez tous les aspects de la créationsimulation d’attaque, le lancement/la planification d’une simulation et l’examen des résultats de la simulation. Pour plus d’informations, consultez Administrateur de simulation d’attaques.
Auteur de la charge utile d’attaque
Créez des charges utiles d’attaque, mais ne les lancez pas ou ne planifiez pas réellement. Pour plus d’informations, consultez Auteur de charge utile d’attaque.
Unités administratives
Les unités administratives vous permettent de subdiviser votre organisation en unités plus petites, puis d’affecter des administrateurs spécifiques qui peuvent gérer uniquement les membres de ces unités. Ils vous permettent également d’attribuer des unités administratives aux membres des groupes de rôles dans les solutions Microsoft Purview, afin que ces administrateurs puissent gérer uniquement les membres (et les fonctionnalités associées) de ces unités administratives affectées. La section Unités administratives de la zone Rôles et étendues est visible uniquement par les utilisateurs auxquels le rôle Administrateur général est attribué. Pour plus d’informations, consultez Unités administratives.
Ajouter des utilisateurs ou des groupes à un groupe de rôles intégré Microsoft Purview
Effectuez les étapes suivantes pour ajouter des utilisateurs ou des groupes à un groupe de rôles Microsoft Purview :
Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte d’administrateur auquel le rôle Gestion des rôles est attribué. Accédez à Paramètres>Rôles et étendues pour afficher et gérer les rôles de conformité et de gouvernance dans votre organisation.
Sélectionnez Groupes de rôles.
Dans la page Groupes de rôles pour les solutions Microsoft Purview , sélectionnez un groupe de rôles Microsoft Purview auquel vous souhaitez ajouter des utilisateurs, puis sélectionnez Modifier dans la barre de contrôle.
Dans la page Modifier les membres du groupe de rôles , sélectionnez Choisir des utilisateurs ou Choisir des groupes.
Important
Les groupes de sécurité sont pris en charge uniquement dans les organisations cloud commerciales Microsoft 365.
Cochez la case pour tous les utilisateurs ou groupes que vous souhaitez ajouter au groupe de rôles.
Sélectionnez Sélectionner.
Si les utilisateurs ou groupes sélectionnés ont besoin d’un accès à l’échelle de l’organisation dans le cadre de cette attribution de groupe de rôles, passez à l’étape 10.
Si les utilisateurs ou groupes sélectionnés doivent être affectés à des unités administratives, sélectionnez les utilisateurs ou les groupes, puis sélectionnez Attribuer des unités d’administration.
Dans le volet Attribuer des unités d’administration , cochez la case pour toutes les unités administratives que vous souhaitez attribuer aux utilisateurs ou aux groupes. Sélectionnez Sélectionner.
Sélectionnez Suivant et Enregistrer pour ajouter les utilisateurs ou les groupes au groupe de rôles. Sélectionnez Terminé pour effectuer les étapes.
Supprimer des utilisateurs ou des groupes d’un groupe de rôles intégré Microsoft Purview
Effectuez les étapes suivantes pour supprimer des utilisateurs ou des groupes d’un groupe de rôles Microsoft Purview :
Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte d’administrateur auquel le rôle Gestion des rôles est attribué. Accédez à Paramètres>Rôles et étendues pour afficher et gérer les rôles de conformité et de gouvernance dans votre organisation.
Sélectionnez Groupes de rôles.
Dans la page Groupes de rôles pour les solutions Microsoft Purview , sélectionnez un groupe de rôles Microsoft Purview dont vous souhaitez supprimer des utilisateurs ou des groupes, puis sélectionnez Modifier dans la barre de contrôle.
Dans la page Modifier les membres du groupe de rôles, cochez la case pour tous les utilisateurs ou groupes que vous souhaitez supprimer dans le groupe de rôles.
Sélectionnez Supprimer les membres, puis Suivant.
Sélectionnez Enregistrer pour supprimer les utilisateurs ou les groupes du groupe de rôles. Sélectionnez Terminé pour effectuer les étapes.
Créer un groupe de rôles Microsoft Purview personnalisé
Effectuez les étapes suivantes pour créer un groupe de rôles Microsoft Purview personnalisé :
Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte d’administrateur auquel le rôle Gestion des rôles est attribué. Accédez à Paramètres>Rôles et étendues pour afficher et gérer les rôles de conformité et de gouvernance dans votre organisation.
Sélectionnez Groupes de rôles.
Dans la page Groupes de rôles pour les solutions Microsoft Purview , sélectionnez Créer un groupe de rôles.
Dans la page Nommer le groupe de rôles , entrez un nom pour le groupe de rôles personnalisé dans le champ Nom . Le nom du groupe de rôles ne peut pas être modifié après la création du groupe de rôles. Si nécessaire, entrez une description pour le groupe de rôles personnalisé dans le champ Description . Sélectionnez Suivant pour continuer.
Dans la page Ajouter des rôles au groupe de rôles, sélectionnez Choisir des rôles.
Cochez les cases pour les rôles à ajouter au groupe de rôles personnalisé. Sélectionnez Sélectionner.
Sélectionnez Suivant pour continuer.
Dans la page Ajouter des membres au groupe de rôles , sélectionnez Choisir des utilisateurs (ou Choisir des groupes le cas échéant).
Important
Les groupes de sécurité sont pris en charge uniquement dans les organisations cloud commerciales Microsoft 365.
Cochez les cases pour les utilisateurs (ou groupes) à ajouter au groupe de rôles personnalisé. Sélectionnez Sélectionner.
Sélectionnez Suivant pour continuer.
Si les utilisateurs ou groupes sélectionnés ont besoin d’un accès à l’échelle de l’organisation dans le cadre de cette attribution de groupe de rôles, passez à l’étape 14.
Si les utilisateurs ou groupes sélectionnés doivent être affectés à des unités administratives, sélectionnez les utilisateurs ou les groupes, puis sélectionnez Attribuer des unités d’administration.
Dans le volet Attribuer des unités d’administration , cochez la case pour toutes les unités administratives que vous souhaitez attribuer aux utilisateurs ou aux groupes. Sélectionnez Sélectionner.
Sélectionnez Suivant.
Dans la page Vérifier le groupe de rôles et terminer , passez en revue les détails du groupe de rôles personnalisé. Si vous avez besoin de modifier les informations, sélectionnez Modifier dans la section appropriée. Lorsque tous les paramètres sont corrects, sélectionnez Créer pour créer le groupe de rôles personnalisé ou sélectionnez Annuler pour ignorer les modifications et ne pas créer le groupe de rôles personnalisé.
Mettre à jour un groupe de rôles Microsoft Purview personnalisé
Effectuez les étapes suivantes pour mettre à jour un groupe de rôles Microsoft Purview personnalisé :
Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte d’administrateur auquel le rôle Gestion des rôles est attribué. Accédez à Paramètres>Rôles et étendues pour afficher et gérer les rôles de conformité et de gouvernance dans votre organisation.
Sélectionnez Groupes de rôles.
Dans la page Groupes de rôles pour les solutions Microsoft Purview , sélectionnez un groupe de rôles Microsoft Purview que vous souhaitez mettre à jour, puis sélectionnez Modifier dans la barre de contrôle.
Dans la page Nommer le groupe de rôles , mettez à jour la description du groupe de rôles personnalisé dans le champ Description . Le nom du groupe de rôles personnalisé ne peut pas être modifié. Sélectionnez Suivant.
Dans la page Modifier les rôles du groupe de rôles, vous pouvez sélectionner Choisir des rôles pour ajouter des rôles afin de mettre à jour les rôles attribués au groupe de rôles. Vous pouvez également sélectionner l’un des rôles actuellement attribués et sélectionner Supprimer les rôles pour supprimer les rôles du groupe de rôles. Une fois que vous avez mis à jour les rôles, sélectionnez Suivant.
Dans la page Modifier les membres du groupe de rôles , vous pouvez sélectionner Choisir des utilisateurs ou Choisir des groupes pour ajouter des utilisateurs ou des groupes affectés au groupe de rôles. Pour mettre à jour les unités administratives pour les utilisateurs ou les groupes, sélectionnez l’un des utilisateurs ou groupes actuellement affectés, puis sélectionnez Attribuer des unités d’administration. Vous pouvez également sélectionner l’un des utilisateurs et groupes actuellement affectés, puis sélectionner Supprimer les membres pour supprimer les utilisateurs ou les groupes du groupe de rôles. Une fois que vous avez mis à jour les membres, sélectionnez Suivant.
Dans la page Vérifier le groupe de rôles et terminer , passez en revue les détails du groupe de rôles personnalisé. Si vous avez besoin de modifier les informations, sélectionnez Modifier dans la section appropriée. Lorsque tous les paramètres sont corrects, sélectionnez Enregistrer pour mettre à jour le groupe de rôles personnalisé ou sélectionnez Annuler pour ignorer les modifications et ne pas mettre à jour le groupe de rôles personnalisé.
Supprimer un groupe de rôles Microsoft Purview personnalisé
Effectuez les étapes suivantes pour supprimer un groupe de rôles Microsoft Purview personnalisé :
Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte d’administrateur auquel le rôle Gestion des rôles est attribué. Accédez à Paramètres>Rôles et étendues pour afficher et gérer les rôles de conformité et de gouvernance dans votre organisation.
Sélectionnez Groupes de rôles.
Dans la page Groupes de rôles pour les solutions Microsoft Purview , sélectionnez un groupe de rôles Microsoft Purview que vous souhaitez supprimer, puis sélectionnez Supprimer dans la barre de contrôle.
Dans la boîte de dialogue Supprimer le groupe de rôles , sélectionnez Supprimer pour supprimer le groupe de rôles ou sélectionnez Annuler pour annuler le processus de suppression.
Ce module examine l’utilisation des rôles et des groupes de rôles dans le modèle d’autorisation Microsoft 365, notamment la gestion des rôles, les meilleures pratiques lors de la configuration des rôles d’administrateur, la délégation de rôles et l’élévation de privilèges.
Expliquez les principes de base de la sécurité des données, de la gestion de cycle de vie, de la sécurité des informations et de la conformité pour protéger un déploiement Microsoft 365.