Précédent

Suivant

Concevoir et implémenter des rôles de gestion des applications

Effectué

Cette leçon explique comment utiliser des autorisations accordées par des rôles personnalisés dans Microsoft Entra ID pour répondre à vos besoins en matière de gestion des applications. Dans Microsoft Entra ID, vous pouvez déléguer les autorisations de création et de gestion des applications par :

• Restriction des utilisateurs autorisés à créer des applications et à gérer les applications qu’ils créent.
• Attribution d’un ou plusieurs propriétaires à une application. Attribuer aux utilisateurs un moyen simple d’accorder à une personne la possibilité de gérer tous les aspects de la configuration Microsoft Entra ID pour une application spécifique.
• Attribution d’un rôle d’administrateur intégré qui autorise l’accès à la gestion de la configuration dans Microsoft Entra ID pour toutes les applications. Les rôles intégrés sont la méthode recommandée pour permettre aux experts informatiques de gérer des autorisations étendues de la configuration d’application sans pouvoir gérer d’autres parties de Microsoft Entra ID qui ne sont pas liées à la configuration de l’application.
• Création d’un rôle personnalisé qui définit des autorisations spécifiques et l’affecte à une personne soit au niveau d’une application unique en tant que propriétaire limité ou au niveau de l’étendue du répertoire (toutes les applications) en tant qu’administrateur limité.

Il est important de considérer l’octroi de l’accès à l’aide de l’une des méthodes ci-dessus pour deux raisons. Tout d’abord, la délégation de la possibilité d’effectuer des tâches d’administration réduit la charge de l’administrateur général. Deuxièmement, l’utilisation d’autorisations limitées améliore votre position de sécurité et réduit le risque d’accès non autorisé.

Restreindre qui peut créer des applications

Dans Microsoft Entra ID, tous les utilisateurs peuvent inscrire des inscriptions d’application et gérer tous les aspects des applications qu’ils créent. Tout le monde peut également donner son consentement aux applications qui accèdent aux données de l’entreprise en leur nom. Vous pouvez choisir d’accorder ces autorisations de manière sélective en définissant les commutateurs globaux sur « Non » et en ajoutant les utilisateurs sélectionnés au rôle Développeur d’applications.

Pour désactiver la possibilité par défaut de créer des inscriptions d’applications ou de donner leur consentement aux applications

1. Connectez-vous à votre organisation Microsoft Entra avec un compte éligible au rôle Administrateur général dans votre organisation Microsoft Entra.

2. Définissez un ou plusieurs des paramètres suivants :

   • Dans la page Paramètres utilisateur de votre organisation, définissez le paramètre Les utilisateurs peuvent inscrire des applications sur Non. Cela désactive la capacité par défaut pour les utilisateurs de créer des inscriptions d’applications.
   • Dans les Paramètres utilisateur des applications d’entreprise, configurez si les utilisateurs peuvent ajouter des applications de galerie dans Mes applications ou si les applications Office 365 s’affichent dans le portail Office.
   • Dans les paramètres Consentement et autorisations des applications d’entreprise, définissez Les utilisateurs peuvent donner leur consentement aux applications qui accèdent à des données d’entreprise en leur nom sur Non. Cela désactive la possibilité par défaut pour les utilisateurs de donner leur consentement aux applications qui accèdent aux données de l’entreprise en leur nom.

Accorder des autorisations individuelles pour créer des applications et donner leur consentement lorsque la capacité par défaut est désactivée

Attribuez le rôle Développeur d’applications pour accorder la possibilité de créer des inscriptions d'applications lorsque le paramètre Les utilisateurs peuvent inscrire des applications est défini sur Non. Ce rôle octroie aussi l’autorisation de donner son consentement en son propre nom lorsque le paramètre Les utilisateurs peuvent autoriser les applications à accéder aux données de l’entreprise en leur nom est défini sur Non. En guise de comportement du système, quand un utilisateur crée une inscription d’application, il est automatiquement ajouté en tant que premier propriétaire. Les autorisations de propriété offrent à l’utilisateur la possibilité de gérer tous les aspects d’une inscription d’application ou d’une application d’entreprise qu’ils possèdent.

Assigner les propriétaires de l’application

L'assignation de propriétaires est un moyen simple d'octroyer la possibilité de gérer tous les aspects de la configuration Microsoft Entra ID pour un enregistrement d'application spécifique ou une application d'entreprise. En guise de comportement du système, quand un utilisateur crée une inscription d’application, il est automatiquement ajouté en tant que premier propriétaire. Les autorisations de propriété offrent à l’utilisateur la possibilité de gérer tous les aspects d’une inscription d’application ou d’une application d’entreprise qu’ils possèdent. Le propriétaire d'origine peut être supprimé et des propriétaires supplémentaires peuvent être ajoutés.

Propriétaires d'applications d'entreprise

En tant que propriétaire, un utilisateur peut gérer la configuration spécifique à l'organisation de l'application d'entreprise, telle que la configuration de l’authentification unique, l’approvisionnement et les affectations d'utilisateurs. Un propriétaire peut également ajouter ou supprimer des propriétaires. Contrairement aux administrateurs généraux, les propriétaires ne peuvent gérer que les applications d’entreprise qu’ils possèdent.

Dans certains cas, les applications d'entreprise créées à partir de la galerie d'applications incluent à la fois une application d'entreprise et un enregistrement d'application. Lorsque cela est vrai, l'ajout d'un propriétaire à l'application d'entreprise ajoute automatiquement le propriétaire à l'enregistrement d'application correspondant en tant que propriétaire.

Pour affecter un propriétaire à une application d'entreprise

1. Connectez-vous à votre organisation Microsoft Entra avec un compte éligible pour l’administrateur d’application ou l’administrateur d’application cloud pour l’organisation.
2. Dans la page Inscriptions d’applications de l’organisation, sélectionnez une application pour ouvrir la page Vue d’ensemble de l’application.
3. Sélectionnez Propriétaires pour afficher la liste des propriétaires de l’application.
4. Sélectionnez Ajouter pour sélectionner un ou plusieurs propriétaires à ajouter à l’application.

Important

Les utilisateurs et les principaux de service peuvent être des propriétaires d’inscriptions d’applications. Seuls les utilisateurs peuvent être propriétaires d’applications d’entreprise. Les groupes ne peuvent pas être affectés en tant que propriétaires de l’un ou l’autre.

Les propriétaires peuvent ajouter des informations d’identification à une application et utiliser ces informations d’identification pour emprunter l’identité de l’application. L'application dispose de plus d'autorisations que le propriétaire, et constituerait donc une élévation de privilèges par rapport à ce à quoi le propriétaire a accès en tant qu'utilisateur ou principal du service. Selon les autorisations de l’application, le propriétaire de l’application peut potentiellement créer ou mettre à jour des utilisateurs ou d’autres objets tout en empruntant l’identité de l’application.

Affecter des rôles d’administrateur d’application intégrés

Microsoft Entra ID a un ensemble de rôles d’administrateur intégrés pour accorder l’accès à la gestion de la configuration dans Microsoft Entra ID pour toutes les applications. Ces rôles sont la méthode recommandée pour permettre aux experts informatiques de gérer des autorisations étendues de la configuration d’application sans pouvoir gérer d’autres parties de Microsoft Entra ID qui ne sont pas liées à la configuration de l’application.

• Administrateur d’application : Les utilisateurs dans ce rôle peuvent créer et gérer tous les aspects des applications d’entreprise, des inscriptions d’application et des paramètres de proxy d’application. Ce rôle permet également de donner son consentement à des autorisations déléguées et des autorisations d’application, à l’exception de Microsoft Graph. Les utilisateurs affectés à ce rôle sont ajoutés en tant que propriétaires lorsque des inscriptions d’applications ou des applications d’entreprise sont créées.

• Administrateur d’application cloud Les utilisateurs dans ce rôle ont les mêmes autorisations que celles du rôle Administrateur d’application, sans la possibilité de gérer le proxy d’application. Les utilisateurs affectés à ce rôle sont ajoutés en tant que propriétaires lorsque des inscriptions d’applications ou des applications d’entreprise sont créées.

  Important

  Les administrateurs d’applications et les administrateurs d’applications Cloud peuvent ajouter des informations d’identification à une application et utiliser ces informations d’identification pour emprunter l’identité de l’application. L'application dispose d'autorisations correspondant à une élévation de privilèges par rapport aux autorisations du rôle administrateur. Selon les autorisations de l’application, un administrateur dans l’un de ces rôles peut potentiellement créer ou mettre à jour des utilisateurs ou d’autres objets tout en empruntant l’identité de l’application. Aucun rôle n’accorde la possibilité de gérer les paramètres d’accès conditionnel.

Créer et affecter un rôle personnalisé

La création de rôles personnalisés et l’attribution de rôles personnalisés sont des étapes distinctes :

• Créez une définition de rôle personnalisée et ajoutez-lui des autorisations à partir d’une liste prédéfinie. Il s’agit des mêmes autorisations que celles utilisées dans les rôles intégrés.
• Créez une attribution de rôle pour attribuer le rôle personnalisé.

Cette séparation vous permet de créer une définition de rôle unique, puis de l'attribuer plusieurs fois à différentes étendues. Un rôle personnalisé peut être attribué à l’étendue de l’organisation ou à l’étendue d’un unique objet Microsoft Entra. Un exemple d’étendue d’objet est une inscription d’application unique. Toutefois, quand un administrateur utilise différentes étendues, la même définition de rôle peut être attribuée à une personne sur toutes les inscriptions d’applications de l’organisation, puis à une autre personne sur une seule application ou à des inscriptions d’applications spécifiques.

Conseils lors de la création et de l’utilisation de rôles personnalisés pour la délégation de la gestion d’applications :

• Les rôles personnalisés accordent uniquement l’accès dans l’écran d’inscription d’application le plus récent du centre d’administration Microsoft Entra. Ils n’accordent pas d’accès à l’écran d’inscriptions d’applications héritées.
• Les rôles personnalisés n’accordent pas l’accès au portail Microsoft Entra ID quand le paramètre utilisateur Limiter l’accès au portail d’administration Microsoft Entra ID est défini sur Oui.
• Pour les inscriptions d’applications auxquels l’utilisateur a accès, les attributions de rôles s’affichent uniquement dans l’onglet Toutes les applications de la page Inscription d’application. Elles n’apparaissent pas sous l’onglet Applications détenues.

Continuer