Déléguer des autorisations d’inscription d’application dans Microsoft Entra ID

Cet article explique comment utiliser des autorisations accordées par des rôles personnalisés dans Microsoft Entra ID pour répondre à vos besoins en matière de gestion des applications. Dans Microsoft Entra ID, vous pouvez déléguer les autorisations de création et de gestion d’applications en procédant ainsi :

  • Restriction des utilisateurs autorisés à créer des applications et à gérer les applications qu’ils créent. Par défaut, dans Microsoft Entra ID, tous les utilisateurs peuvent inscrire des applications et gérer tous les aspects des applications qu’ils créent. Cela peut être limité pour autoriser uniquement les personnes qui sont autorisées.
  • Attribution d’un ou plusieurs propriétaires à une application. Il s’agit d’un moyen simple d’accorder à une personne la possibilité de gérer tous les aspects de la configuration Microsoft Entra pour une application spécifique.
  • Attribution d’un rôle d’administrateur intégré qui autorise l’accès à la gestion de la configuration dans Microsoft Entra ID pour toutes les applications. Il s’agit de la méthode recommandée pour permettre aux experts informatiques de gérer des autorisations de configuration d’application étendues sans accorder l’accès pour gérer d’autres parties de Microsoft Entra qui ne sont pas liées à la configuration de l’application.
  • Création d’un rôle personnalisé qui définit des autorisations très spécifiques et l’affecte à une personne soit au niveau d’une application unique en tant que propriétaire limité ou au niveau de l’étendue du répertoire (toutes les applications) en tant qu’administrateur limité.

Il est important de considérer l’octroi de l’accès à l’aide de l’une des méthodes ci-dessus pour deux raisons. Tout d’abord, la délégation de la possibilité d’effectuer des tâches administratives réduit la surcharge d’administrateur hautement privilégiée. Deuxièmement, l’utilisation d’autorisations limitées améliore votre position de sécurité et réduit le risque d’accès non autorisé. Pour obtenir des instructions sur la planification de la sécurité des rôles, consultez Sécurisation de l’accès privilégié pour les déploiements hybrides et cloud dans Microsoft Entra ID.

Restreindre qui peut créer des applications

Par défaut, dans Microsoft Entra ID, tous les utilisateurs peuvent inscrire des applications et gérer tous les aspects des applications qu’ils créent. Tout le monde peut également donner son consentement aux applications qui accèdent aux données de l’entreprise en leur nom. Vous pouvez choisir d’accorder ces autorisations de manière sélective en définissant les commutateurs globaux sur « non » et en ajoutant les utilisateurs sélectionnés au rôle développeur d’applications.

Pour désactiver la possibilité par défaut de créer des inscriptions d'applications ou de consentir aux applications, suivez ces étapes pour définir l'un ou les deux paramètres pour votre organisation.

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur général.

  2. Accédez à Identité>Utilisateurs>Paramètres utilisateur.

  3. Définissez le paramètre Les utilisateurs peuvent enregistrer des applications sur No.

    Cela désactive la capacité par défaut pour les utilisateurs de créer des inscriptions d’applications.

  4. Accédez aux applications Identity>Enterprise>Consentement et autorisations.

  5. Sélectionnez l’option Ne pas autoriser le consentement de l’utilisateur.

    Cela désactive la possibilité par défaut pour les utilisateurs de donner leur consentement aux applications qui accèdent aux données de l’entreprise en leur nom.

Affectez le rôle Développeur d’applications pour accorder la possibilité de créer des inscriptions d’applications lorsque le paramètre Les utilisateurs peuvent inscrire des applications est défini sur Non. Ce rôle octroie aussi l’autorisation de donner son consentement en son propre nom lorsque le paramètre Les utilisateurs peuvent autoriser les applications à accéder aux données de l’entreprise en leur nom est défini sur Non.

Assigner les propriétaires de l’application

L'assignation de propriétaires est un moyen simple d'octroyer la possibilité de gérer tous les aspects de la configuration Microsoft Entra pour un enregistrement d'application spécifique ou une application d'entreprise. Pour plus d’informations, consultez Affecter des propriétaires d’applications d’entreprise.

Attribuer des rôles d’administrateur d’application intégrés

Microsoft Entra ID a un ensemble de rôles d’administrateur intégrés pour accorder l’accès à la gestion de la configuration dans Microsoft Entra ID pour toutes les applications. Ces rôles sont recommandés pour permettre aux experts informatiques de gérer des autorisations de configuration d’application étendues sans accorder l’accès pour gérer d’autres parties de Microsoft Entra qui ne sont pas liées à la configuration de l’application.

  • Administrateur d’application : Les utilisateurs dans ce rôle peuvent créer et gérer tous les aspects des applications d’entreprise, des inscriptions d’application et des paramètres de proxy d’application. Ce rôle permet également de donner son consentement à des autorisations déléguées et des autorisations d’application, à l’exception de Microsoft Graph. Les utilisateurs affectés à ce rôle ne sont pas ajoutés en tant que propriétaires lorsque des inscriptions d’applications ou des applications d’entreprise sont créées.
  • Administrateur d’application cloud Les utilisateurs dans ce rôle ont les mêmes autorisations que celles du rôle Administrateur d’application, sans la possibilité de gérer le proxy d’application. Les utilisateurs affectés à ce rôle ne sont pas ajoutés en tant que propriétaires lorsque des inscriptions d’applications ou des applications d’entreprise sont créées.

Pour plus d’informations et pour afficher la description de ces rôles, consultez Rôles intégrés Microsoft Entra.

Suivez les instructions fournies dans le guide pratique Attribuer des rôles aux utilisateurs avec Microsoft Entra ID pour attribuer des rôles administrateur d’application ou administrateur d’application Cloud.

Important

Les administrateurs d’applications et les administrateurs d’applications Cloud peuvent ajouter des informations d’identification à une application et utiliser ces informations d’identification pour emprunter l’identité de l’application. L'application peut disposer d'autorisations correspondant à une élévation de privilèges par rapport aux autorisations du rôle admin. Un administrateur de ce rôle peut potentiellement créer ou mettre à jour des utilisateurs ou d’autres objets tout en empruntant l’identité de l’application, en fonction des autorisations de l’application. Aucun rôle n’accorde la possibilité de gérer les paramètres d’accès conditionnel.

Créer et affecter un rôle personnalisé (préversion)

La création de rôles personnalisés et l’attribution de rôles personnalisés sont des étapes distinctes :

Cette séparation vous permet de créer une définition de rôle unique, puis de l'attribuer plusieurs fois à différentes portées. Un rôle personnalisé peut être attribué au niveau de l’organisation, ou à l'étendue s'il s'agit d'un seul objet Microsoft Entra. Un exemple d’étendue d’objet est une inscription d’application unique. À l'aide d'étendues différentes, la même définition de rôle peut être attribuée à Sally pour tous les enregistrements d'application de l'organisation, puis à Naveen uniquement pour l'enregistrement de l'application Contoso Expense Reports.

Conseils lors de la création et de l’utilisation de rôles personnalisés pour la délégation de la gestion d’applications :

  • Les rôles personnalisés accordent uniquement l’accès aux panneaux d’enregistrement d’applications les plus récents du centre d’administration Microsoft Entra. Ils n’accordent pas d’accès dans les panneaux Inscriptions d’applications héritées.
  • Les rôles personnalisés n'accordent pas l'accès au centre d'administration Microsoft Entra lorsque le paramètre Restreindre l'accès au portail d'administration Microsoft Entra est défini sur Oui.
  • Les inscriptions d’applications auxquels l’utilisateur a accès en utilisant les attributions de rôles s’affichent uniquement dans l’onglet « Toutes les applications » de la page Inscription d’application. Elles ne s’affichent pas dans l’onglet « Applications détenues ».

Pour plus d’informations sur les principes de base des rôles personnalisés, consultez Vue d’ensemble des rôles personnalisés, ainsi que la façon de créer un rôle personnalisé et d’attribuer un rôle.

Dépanner

Symptôme – Accès refusé quand vous essayez d’inscrire une application

Quand vous essayez d’inscrire une application dans Microsoft Entra ID, un message similaire au suivant s’affiche :

Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.

Capture d’écran du message d’accès refusé lors de la tentative de création d’une inscription d’application.

Cause

Vous ne pouvez pas inscrire l’application dans l’annuaire, car votre administrateur d’annuaire a restreint les personnes autorisées à créer des applications.

Solution

Contactez votre administrateur pour effectuer l’une des opérations suivantes :

Étapes suivantes