Qu’est-ce que les comptes d’utilisateur dans Microsoft Entra ID ?
Dans Microsoft Entra ID, tous les comptes d’utilisateur bénéficient d’un ensemble d’autorisations par défaut. L’accès d’un compte d’utilisateur englobe le type d’utilisateur, ses attributions de rôles et sa possession d’objets individuels.
Plusieurs types de comptes d’utilisateur sont disponibles dans Microsoft Entra ID. Chaque type de compte d’utilisateur a un niveau d’accès spécifique adapté à l’étendue du travail qu’il doit effectuer. Les comptes Administrateur ont le niveau d’accès le plus élevé, avant les comptes d’utilisateur membres dans l’organisation Microsoft Entra. Les comptes d’utilisateur Invité ont le niveau d’accès le plus restreint.
Autorisations et rôles
Microsoft Entra ID utilise des autorisations pour vous aider à contrôler les droits d’accès accordés à un utilisateur ou à un groupe. Ce contrôle s’effectue avec des rôles. Microsoft Entra ID propose de nombreux rôles correspondant à des autorisations différentes. Quand un utilisateur reçoit un rôle, il hérite les autorisations associées à ce rôle spécifique. Par exemple, un utilisateur qui a le rôle Administrateur d’utilisateurs peut créer et supprimer des comptes d’utilisateur.
Il est essentiel de bien comprendre quand attribuer tel ou tel type de rôle et à quel utilisateur. C’est une étape fondamentale pour respecter les exigences de confidentialité et de sécurité. En effet, si le mauvais rôle est attribué à un utilisateur inapproprié, les autorisations associées à ce rôle peuvent permettre à l’utilisateur de causer des dommages sérieux à une organisation.
Rôles Administrateur
Les rôles Administrateur dans Microsoft Entra ID permettent aux utilisateurs ayant des droits d’accès élevé de contrôler qui est autorisé à faire quoi. Vous attribuez ces rôles à un groupe restreint d’utilisateurs qui doivent gérer les identités dans une organisation Microsoft Entra. Vous pouvez attribuer des rôles Administrateur qui permettent à un utilisateur de créer ou de modifier des utilisateurs, d’attribuer des rôles Administrateur à d’autres personnes, de réinitialiser les mots de passe utilisateur, de gérer les licences utilisateur, etc.
Si vous avez un compte d’utilisateur avec le rôle Administrateur d’utilisateurs ou Administrateur général, vous pouvez créer des utilisateurs dans Microsoft Entra ID en utilisant le portail Azure, Azure CLI ou PowerShell. Dans PowerShell, exécutez l’applet de commande New-MgUser. Dans l’interface de ligne de commande Azure, utilisez az ad user create.
Utilisateurs membres
Un compte d’utilisateur membre est un membre natif de l’organisation Microsoft Entra auquel a été attribué un ensemble d’autorisations par défaut, comme la possibilité de gérer ses informations de profil. Ce type de compte est généralement créé pour chaque nouveau membre qui est ajouté à votre organisation.
Toute personne qui n’a pas de compte d’utilisateur Invité ou qui ne reçoit pas un rôle Administrateur a ce type de compte. Un rôle d’utilisateur membre est destiné aux utilisateurs considérés comme internes à une organisation et qui sont membres de l’organisation Microsoft Entra. Toutefois, ces utilisateurs ne doivent pas être en mesure de gérer d’autres utilisateurs, par exemple en créant et en supprimant des utilisateurs. Les utilisateurs membres n’ont pas les mêmes restrictions que celles qui sont généralement appliquées aux utilisateurs invités.
Utilisateurs invités
Les utilisateurs invités ont des autorisations restreintes dans l’organisation Microsoft Entra. Quand vous invitez une personne à collaborer avec votre organisation, vous l’ajoutez à votre organisation Microsoft Entra en tant qu’utilisateur invité. Vous pouvez ensuite envoyer un e-mail d’invitation contenant un lien d’acceptation ou envoyer un lien direct vers l’application que vous voulez partager. L’utilisateur invité se connecte avec sa propre identité professionnelle, scolaire ou sociale. Par défaut, un utilisateur membre de Microsoft Entra peut convier des utilisateurs en tant qu’invités. Une personne disposant du rôle Administrateur d’utilisateurs peut désactiver ce fonctionnement par défaut.
Votre organisation peut être amenée à travailler avec des partenaires externes. Dans le cadre de cette collaboration, ces partenaires ont généralement besoin d’un certain niveau d’accès à des ressources spécifiques. Dans ce genre de situation, l’emploi de comptes d’utilisateur Invité est conseillé. Vous devrez ensuite vous assurer que les partenaires ont le juste niveau d’accès nécessaire, et pas un niveau plus élevé, pour pouvoir effectuer leur travail.
Ajouter des comptes d’utilisateur
Vous pouvez ajouter des comptes d’utilisateur de manière individuelle à l’aide du Portail Azure, Azure PowerShell ou Azure CLI.
Si vous voulez utiliser Azure CLI, exécutez l’applet de commande suivante :
# create a new user
az ad user create
Cette commande crée un nouvel utilisateur à partir d’Azure CLI.
Pour Azure PowerShell, exécutez l’applet de commande suivante :
# create a new user
New-MgUser
Vous pouvez créer plusieurs utilisateurs membres et comptes Invité à la fois. L’exemple suivant montre comment convier simultanément plusieurs utilisateurs en tant qu’invités.
$invitations = import-csv c:\bulkinvite\invitations.csv
$messageInfo = [Microsoft.Graph.PowerShell.Models.MicrosoftGraphInvitation]@{ `
CustomizedMessageBody = "Hello. You are invited to the Contoso organization." }
foreach ($email in $invitations)
{New-MgInvitation `
-InviteRedirectUrl https://myapps.microsoft.com `
-InvitedUserDisplayName $email.Name `
-InvitedUserEmailAddress $email.InvitedUserEmailAddress `
-InvitedUserMessageInfo $messageInfo `
-SendInvitationMessage
}
Vous créez le fichier de valeurs séparées par des virgules (CSV) avec la liste de tous les utilisateurs que vous souhaitez ajouter. Une invitation est envoyée à chaque utilisateur figurant dans ce fichier CSV.
Supprimer des comptes d’utilisateur
Vous pouvez également supprimer des comptes d’utilisateur à l’aide du Portail Azure, Azure PowerShell ou Azure CLI. Dans PowerShell, exécutez l’applet de commande Remove-MgUser. Dans Azure CLI, exécutez l’applet de commande az ad user delete.
Lorsque vous supprimez un utilisateur, son compte reste à l’état suspendu pendant 30 jours. Durant cette période, le compte de l’utilisateur supprimé peut être restauré.