Modifier

Partager via


Dépanner les rôles Microsoft Entra attribués aux groupes

Voici quelques questions courantes et conseils de dépannage pour attribuer des rôles Microsoft Entra aux groupes Microsoft Entra.

Je suis administrateur de groupes, mais je ne vois pas le commutateur « Les rôles Microsoft Entra peuvent être attribués au groupe ».

Les Administrateurs de rôle privilégié peuvent créer un groupe éligible pour l’attribution de rôle. Les utilisateurs ayant ce rôle peuvent voir ce commutateur.

Qui peut modifier l’appartenance aux groupes attribués aux rôles Microsoft Entra ?

Par défaut, les Administrateurs de rôle privilégié gèrent l’appartenance à un groupe attribuable à un rôle, mais vous pouvez déléguer la gestion des groupes attribuables à un rôle en ajoutant des propriétaires de groupe.

Je suis Administrateur du support technique dans mon organisation, mais je ne peux pas mettre à jour le mot de passe d’un utilisateur ayant le rôle Lecteurs de répertoire. Pourquoi cela se produit-il ?

L’utilisateur a peut-être obtenu le rôle Lecteurs de répertoire par le biais d’un groupe assignable à un rôle. Tous les membres et propriétaires de groupes assignables à un rôle sont protégés. Les utilisateurs ayant le rôle Administrateur d’authentification privilégiée peuvent réinitialiser les informations d’identification d’un utilisateur protégé.

Je ne parviens pas à mettre à jour le mot de passe d’un utilisateur. Aucun rôle privilégié plus élevé ne lui est attribué. Pourquoi cela se passe-t-il ?

L’utilisateur peut être propriétaire d’un groupe assignable à un rôle. Nous protégeons les propriétaires de ces groupes afin d’empêcher une élévation de privilèges. Prenons l'exemple du groupe Contoso_Security_Admins, qui dispose du rôle Administrateur de la sécurité, et où Bob est le propriétaire du groupe tandis qu'Alice est Administrateur de mot de passe au sein de l'organisation. Si cette protection n’était pas présente, Alice pourrait réinitialiser les informations d’identification de Bob et prendre le contrôle de son identité. Ensuite, Alice pourrait s'ajouter elle-même ou ajouter toute autre personne au groupe Contoso_Security_Admins pour devenir Administrateur de la sécurité au sein de l'organisation. Pour déterminer si un utilisateur est propriétaire d’un groupe, obtenez la liste des objets détenus de cet utilisateur et vérifiez si isAssignableToRole a la valeur true pour l’un des groupes. Si c’est le cas, cet utilisateur est protégé et le comportement est normal. Reportez-vous à ces documents pour obtenir les objets détenus :

Puis-je créer une révision d'accès sur les groupes qui peuvent être attribués à des rôles Microsoft Entra (en particulier, les groupes dont la propriété isAssignableToRole est définie sur true) ?

Oui, vous pouvez. Les administrateurs de rôle privilégié peuvent créer des révisions d’accès sur des groupes assignables à un rôle.

Puis-je créer un package d’accès et y placer des groupes pouvant être attribués à des rôles Microsoft Entra ?

Oui, vous pouvez. L’administrateur d’utilisateurs est autorisé à placer un groupe dans un package d’accès. Rien ne change pour l'Administrateur général, mais les autorisations du rôle Administrateur d'utilisateurs subissent une légère modification. Pour placer un groupe assignable à un rôle dans un package d’accès, vous devez être un administrateur d’utilisateurs et également le propriétaire du groupe en question. Voici le tableau complet qui indique qui peut créer un package d’accès dans la gestion des licences Entreprise :

Rôle d’annuaire Microsoft Entra Rôle de gestion des droits d’utilisation Peut ajouter un groupe de sécurité* Peut ajouter un groupe Microsoft 365* Peut ajouter une application Peut ajouter un site SharePoint Online
Administrateur général n/a ✔️ ✔️ ✔️ ✔️
Administrateur d'utilisateurs n/a ✔️ ✔️ ✔️
Administrateur Intune Propriétaire de catalogue ✔️ ✔️    
Administrateur Exchange Propriétaire de catalogue   ✔️    
Administrateur de services fédérés Teams Propriétaire de catalogue   ✔️    
Administrateur SharePoint Propriétaire de catalogue   ✔️   ✔️
Administrateur d’application Propriétaire de catalogue     ✔️  
Administrateur d’application cloud Propriétaire de catalogue     ✔️  
Utilisateur Propriétaire de catalogue Seulement si propriétaire d’un groupe Seulement si propriétaire d’un groupe Seulement si propriétaire d’une application  

* Le groupe n’est pas assignable à un rôle ; autrement dit, isAssignableToRole = false. Si un groupe est assignable à un rôle, la personne qui crée le package d’accès doit également être propriétaire du groupe en question.

Je ne trouve pas l’option « Supprimer l’attribution » dans « Rôles attribués ». Comment supprimer l’attribution de rôle à un utilisateur ?

Cette réponse s’applique uniquement aux organisations Microsoft Entra ID P1.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  3. Sélectionnez un utilisateur.
  4. Sélectionnez Rôles attribués.
  5. Sélectionnez une attribution de rôle à supprimer.
  6. Sélectionnez Supprimer les attributions pour supprimer les attributions de rôles directes.

Pour supprimer une attribution de rôle indirecte, supprimez l’utilisateur du groupe auquel le rôle a été attribué.

Comment puis-je voir tous les groupes assignables à un rôle ?

Suivez ces étapes :

  1. Connectez-vous au centre d’administration Microsoft Entra.
  2. Accédez à Identité>Groupes>Tous les groupes.
  3. Sélectionnez Ajouter des filtres.
  4. Filtrez sur Assignable à un rôle.

Comment savoir quel rôle est attribué directement ou indirectement à un principal ?

Suivez ces étapes :

  1. Connectez-vous au centre d’administration Microsoft Entra.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  3. Sélectionnez un utilisateur.
  4. Sélectionnez Rôles attribués.
  5. Si vous disposez d’une licence Microsoft Entra ID P1, affichez la colonne Chemin d'affectation.
  6. Si vous disposez d’une licence Microsoft Entra ID P2, affichez la colonne Appartenance.

Pourquoi la création d’un nouveau groupe est-elle obligatoire pour l’affecter à un rôle ?

Si vous affectez un groupe existant à un rôle, le propriétaire du groupe existant peut ajouter d’autres membres à ce groupe sans que les nouveaux membres ne se rendent compte qu’ils recevront le rôle. Parce que les groupes assignables à un rôle sont puissants, nous plaçons de nombreuses restrictions pour les protéger. Vous ne souhaitez pas que le groupe subisse des modifications qui surprendraient la personne qui le gère.