Analyser les autorisations de rôle Microsoft Entra

Effectué

Qu’est-ce qu’une autorisation ? La définition de l’autorisation dans le dictionnaire est le consentement ou l’autorisation d’effectuer une action spécifique. Dans Microsoft Entra ID, vous avez des autorisations pour chacune des opérations que vous pouvez effectuer. L’autorisation peut aller de l’affichage de vos paramètres à la possibilité de modifier votre configuration. Ensuite, passez à l’octroi d’autorisations pour ajouter ou supprimer des utilisateurs, etc. Il existe deux endroits principaux où l’autorisation peut être attribuée : au niveau de l’utilisateur ou du groupe. Elle finit toutefois au final par passer par l’utilisateur. Lorsque vous gérez les utilisateurs, vous disposez à la fois d’un utilisateur membre et d’un utilisateur invité. Les autorisations par défaut pour l’utilisateur invité sont légèrement inférieures à celles d’un utilisateur membre.

Exemple des autorisations par défaut pour des utilisateurs

Utilisateurs membres Utilisateurs invités
Énumérer la liste de tous les utilisateurs et contacts Lire ses propres propriétés
Inviter des utilisateurs Inviter des utilisateurs
Peut créer la sécurité et les groupes Microsoft 365 Peut rechercher des groupes non masqués par nom
Inscrire de nouvelles applications Lire les propriétés des applications inscrites et d’entreprise

Remarque

Il s’agit simplement d’un petit sous-ensemble, afin de montrer les différences. Si vous souhaitez obtenir la liste complète, consultez les autorisations utilisateur par défaut.

Contrôle des autorisations - ajouter et restreindre

Paramètres utilisateur Rôles et administrateurs
Capture d’écran des paramètres utilisateur de Microsoft Entra ID, où des autorisations peuvent être restreintes. Capture de l’écran de Rôles et administrateurs dans Microsoft Entra ID. Liste des rôles qui peuvent être appliqués.

Vous pouvez utiliser les Paramètres utilisateur dans le menu Gérer de Microsoft Entra ID pour restreindre ou contrôler les autorisations par défaut des utilisateurs par défaut. Vous pouvez également utiliser des rôles et des administrateurs pour ajouter de nouvelles autorisations à vos utilisateurs et groupes. Utilisez toujours le concept de privilège minimum et assurez-vous que les utilisateurs ont uniquement les droits dont ils ont besoin. Dans les paramètres utilisateur, vous pouvez restreindre la capacité de l’utilisateur à :

  • Inscrire des applications
  • Accéder au portail Azure
  • Bloquer les connexions LinkedIn
  • Gérer les paramètres de la collaboration externe

En ajoutant des rôles à un compte d’utilisateur ou à un groupe donné, vous pouvez ajouter des autorisations aux utilisateurs membres, aux utilisateurs invités et aux principaux de service. L’ajout de rôles donne des autorisations pour effectuer des activités spécifiques. Les actions sont limitées, ce qui autorise la règle de privilège minimum.

Exploration des autorisations disponibles

Capture d’écran du lecteur de définition d’attribut, montrant les autorisations accordées par un rôle intégré.

Si possible, vous souhaitez accorder uniquement les autorisations minimales dont un utilisateur a besoin. Veillez donc à savoir quelles autorisations sont accordées lorsque vous attribuez un rôle. Vous pouvez voir la liste des autorisations dans la description de chaque rôle. Pour ouvrir, lancez Microsoft Entra ID, puis ouvrez l'écran Rôles et administrateurs. Sélectionnez ensuite un rôle, puis ouvrez sa page de description dans le menu de points de suspension (...). Selon le rôle que vous avez choisi, vous verrez un grand ou petit nombre d’autorisations. Deux ensembles d’autorisations :

  • Autorisations des rôles
  • Autorisations de lecture de base du principal de service et de l’invité