Créer et gérer des utilisateurs

Effectué

Chaque utilisateur qui a besoin d’accéder à des ressources Azure doit avoir un compte d’utilisateur Azure. Votre compte d’utilisateur contient toutes les informations nécessaires pour vous authentifier au moment de la connexion. Une fois l’authentification effectuée, Microsoft Entra ID crée un jeton d’accès pour vous accorder l’autorisation, définir les ressources auxquelles vous pouvez accéder et déterminer ce que vous êtes en droit de faire avec ces ressources.

Vous pouvez utiliser le tableau de bord de Microsoft Entra ID dans le portail Azure pour manipuler des objets utilisateur. Vous ne pouvez travailler que dans un seul répertoire à la fois. Vous pouvez toutefois changer de répertoire à partir du volet Répertoire + abonnement. Le tableau de bord dispose également d’un bouton Gérer les locataires dans la barre d’outils qui facilite l’affichage de tous vos répertoires et le basculement vers un autre répertoire disponible.

Voir les utilisateurs

Pour afficher les utilisateurs de Microsoft Entra, sélectionnez Utilisateurs sous Gérer dans le volet gauche du menu. Le volet Tous les utilisateurs s’affiche. Regardez les colonnes Type d’utilisateur et Identités, qui sont présentées dans la capture d’écran suivante :

Screenshot that depicts the All users pane, with the User type and Identities columns noted.

En règle générale, Microsoft Entra ID définit les utilisateurs selon trois catégories :

  • Identités cloud : Ces utilisateurs existent uniquement dans Microsoft Entra ID. Par exemple, ce sont les comptes d’administrateur et les utilisateurs que vous gérez vous-même. Ils trouvent leur source dans Microsoft Entra ID ou dans External Microsoft Entra ID si l’utilisateur est défini dans une autre instance Microsoft Entra, mais qu’il a besoin d’accéder aux ressources d’abonnement régies par ce répertoire. Quand ces comptes sont retirés de l’annuaire principal, ils sont supprimés.

  • Identités synchronisées avec le répertoire : ces utilisateurs figurent dans un répertoire Active Directory local. Ces utilisateurs sont reliés à Azure par le biais d’une activité de synchronisation effectuée via Microsoft Entra Connect. Leur source est Windows Server AD.

  • Utilisateurs invités : ces utilisateurs sont externes à Azure. Par exemple, ce sont les comptes d’autres fournisseurs de services cloud et les comptes Microsoft, tels qu’un compte Xbox Live. Leur source est Utilisateur invité. Ce type de compte est utile lorsque des fournisseurs ou prestataires externes ont besoin d’accéder à vos ressources Azure. Une fois que le travail de ces collaborateurs est terminé, vous pouvez supprimer le compte et tous les accès associés.

Ajouter des utilisateurs

Vous pouvez ajouter des identités cloud à Microsoft Entra ID de diverses façons :

  • Synchronisation d’un Windows Server Active Directory local
  • Utilisation du portail Azure
  • Utilisation de la ligne de commande
  • Autres options

Synchronisation d’un annuaire Windows Server Active Directory local

Microsoft Entra Connect est un service distinct qui vous permet de synchroniser un Active Directory traditionnel avec votre instance Microsoft Entra. C’est l’approche choisie par la plupart des entreprises pour ajouter des utilisateurs à l’annuaire. L’avantage de cette approche est que les utilisateurs peuvent accéder aux ressources locales et cloud via l’authentification unique (SSO).

Utilisation du portail Azure

Vous pouvez ajouter manuellement de nouveaux utilisateurs par le biais du portail Azure. Cette méthode est la plus simple si vous avez peu d’utilisateurs à ajouter. Pour utiliser cette fonction, vous devez avoir le rôle Administrateur d’utilisateurs.

  1. Pour ajouter un nouvel utilisateur à partir du Portail Azure, dans la barre de menus supérieure, sélectionnez Nouvel utilisateur, puis Créer un utilisateur.

    Screenshot showing the New User button highlighted in the Microsoft Entra admin center.

  2. En plus du Nom et du Nom d’utilisateur, vous pouvez ajouter des informations de profil, comme la Fonction et le Service sous l’onglet Propriétés.

    Screenshot showing the New user dialog.

    Le comportement par défaut est de créer un utilisateur dans l’organisation. Le nom du nouvel utilisateur combine son nom d’utilisateur et le nom de domaine par défaut attribué à l’annuaire (par exemple, alice@staracoustics.onmicrosoft.com).

  3. Vous pouvez aussi inviter un utilisateur dans l’annuaire. Dans ce cas, un e-mail est envoyé à une adresse e-mail connue, et un compte est créé et associé à cette adresse e-mail si l’utilisateur accepte l’invitation.

    Screenshot showing the invite screen.

    L’utilisateur invité devra créer un compte Microsoft associé (MSA) si l’adresse e-mail spécifiée n’est associée à aucun compte existant. Ce compte sera ajouté à Microsoft Entra ID en tant qu’utilisateur invité.

Utilisation de la ligne de commande

Si vous devez ajouter beaucoup d’utilisateurs, il est préférable d’utiliser un outil en ligne de commande. Vous pouvez exécuter la commande PowerShell New-MgUser pour ajouter des utilisateurs basés sur le cloud.

# Create a password profile value
$PasswordProfile = @{ Password = "<Password>" }

# Create the new user
New-MgUser -DisplayName "Abby Brown" -PasswordProfile $PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com" -AccountEnabled 

La commande retourne le nouvel objet utilisateur que vous avez créé.

DisplayName Id                                    UserPrincipalName
----------- --                                    -----------------
Abby Brown  f36634c8-8a93-4909-9248-0845548bc515  AbbyB@contoso.com

Si vous préférez une interface de ligne de commande plus standard, vous pouvez utiliser l’interface Azure CLI :

az ad user create --display-name "Abby Brown" \
                  --password "<password>" \
                  --user-principal-name "AbbyB@contoso.com" \
                  --force-change-password-next-login true \
                  --mail-nickname "AbbyB"

Les outils en ligne de commande vous permettent d’ajouter des utilisateurs en bloc à l’aide de scripts. L’approche la plus courante consiste à utiliser un fichier de valeurs séparées par des virgules (CSV). Vous pouvez soit créer manuellement ce fichier, soit exporter le fichier à partir d’une source de données existante.

Si vous comptez utiliser un fichier CSV, prenez en compte les points suivants :

  • Conventions d’affectation de noms : établissez ou implémentez une convention d’affectation de noms pour les noms d’utilisateur, les noms d’affichage et les alias. Par exemple, un nom d’utilisateur peut se composer du nom de famille, suivi d’un point (.) et du prénom, comme dans Smith.John@contoso.com.

  • Mots de passe : implémentez une convention pour le mot de passe initial d’un nouvel utilisateur. Déterminez par quel moyen sécurisé les nouveaux utilisateurs recevront leurs mots de passe. Une méthode courante consiste à générer un mot de passe aléatoire, puis à l’envoyer par e-mail au nouvel utilisateur ou à son responsable.

Pour utiliser un fichier CSV avec Azure PowerShell :

  1. Exécutez la commande Connect-MgGraph pour créer une connexion PowerShell à votre répertoire. Connectez-vous à l’aide d’un compte d’administrateur disposant des privilèges appropriés sur votre annuaire.

  2. Créez des profils de mot de passe pour les nouveaux utilisateurs. Les mots de passe des nouveaux utilisateurs doivent respecter les règles de complexité du mot de passe que vous avez définies pour votre répertoire.

  3. Utilisez la commande Import-CSV pour importer le fichier CSV. Vous devez spécifier le chemin et le nom du fichier CSV.

  4. Pour chacun des utilisateurs listés dans le fichier, définissez les paramètres utilisateur nécessaires. Le nom d’utilisateur principal, le nom d’affichage, le prénom, le service et la fonction sont des paramètres possibles.

  5. Exécutez la commande New-MgUser pour créer chaque utilisateur. N’oubliez pas d’activer chaque compte.

Autres options

Vous pouvez aussi ajouter des utilisateurs à Microsoft Entra ID de manière programmatique à l’aide de l’API Microsoft Graph, ou par le biais du Centre d’administration Microsoft 365 et de la console d’administration Microsoft Intune si vous partagez le même répertoire.