Quelles sont les autorisations des utilisateurs par défaut dans Microsoft Entra ID ?

Dans Microsoft Entra ID, tous les utilisateurs bénéficient d’un ensemble d’autorisations par défaut. L’accès d’un utilisateur se compose du type d’utilisateur, de ses attributions de rôles et de sa possession d’objets individuels.

Cet article décrit ces autorisations par défaut et compare les valeurs par défaut des utilisateurs membres et invités. Dans Microsoft Entra ID, il n’est possible de modifier les autorisations d’utilisateur par défaut que dans les paramètres utilisateur.

Utilisateurs membres et utilisateurs invités

Le jeu d’autorisations par défaut varie selon que l’utilisateur est un membre natif du locataire ou de l’utilisateur à partir d’un autre annuaire en tant qu’invité de collaboration B2B (Business-to-Business) (utilisateur invité). Pour plus d’informations sur l’ajout d’utilisateurs invités, consultez Qu’est-ce que la collaboration B2B de Microsoft Entra ?. Voici les fonctionnalités des autorisations par défaut :

  • Les utilisateurs membres peuvent inscrire des applications, gérer leurs numéro de téléphone mobile et photo de profil, changer leur mot de passe et inviter des invités B2B. Ces utilisateurs peuvent également lire toutes les informations d’annuaire (à quelques exceptions près).

  • Les utilisateurs invités disposent d’autorisations d’annuaire limitées. Ils peuvent gérer leur propre profil, modifier leur propre mot de passe et récupérer des informations sur d’autres utilisateurs, groupes et applications. Toutefois, ils ne peuvent pas lire toutes les informations d’annuaire.

    Par exemple, les utilisateurs invités ne peuvent pas énumérer la liste de tous les utilisateurs, groupes et autres objets d’annuaire. Les invités peuvent être ajoutés aux rôles d’administrateur, qui leur accordent des autorisations de lecture et d’écriture complètes. Les invités peuvent également inviter d’autres invités.

Comparer les autorisations par défaut des invités et des membres

Zone Autorisations d’un utilisateur membre Autorisations d’utilisateur invité par défaut Autorisations d’utilisateur invité restreintes
Utilisateurs et contacts
  • Énumérer la liste de tous les utilisateurs et contacts
  • Lire toutes les propriétés publiques des utilisateurs et des contacts
  • Inviter des invités
  • Modifier leur propre mot de passe
  • Gérer son propre numéro de téléphone mobile
  • Gérer leur propre photo
  • Invalider leurs propres jetons d’actualisation
  • Lire leurs propres propriétés
  • Lire le nom d’affichage, l’e-mail, le nom de connexion, la photo, le nom d’utilisateur principal et les propriétés de type d’utilisateur des autres utilisateurs et contacts
  • Modifier leur propre mot de passe
  • Rechercher un autre utilisateur par ID d’objet (si autorisé)
  • Lire les informations sur le gestionnaire et le rapport direct d’autres utilisateurs
  • Lire leurs propres propriétés
  • Modifier leur propre mot de passe
  • Gérer son propre numéro de téléphone mobile
Groupes
  • Créer des groupes de sécurité
  • Créer des groupes Microsoft 365
  • Énumérer la liste de tous les groupes
  • Lire toutes les propriétés des groupes
  • Lire l’appartenance aux groupes non masquées
  • Lire l’appartenance aux groupes Microsoft 365 masquées pour les groupes rejoints
  • Gérer les propriétés, la propriété et l’appartenance des groupes détenus par l’utilisateur
  • Ajouter des invités aux groupes acquis
  • Gérer les paramètres d’appartenance aux groupes
  • Supprimer des groupes acquis
  • Restaurer les groupes Microsoft 365 détenus
  • Lire les propriétés des groupes non masqués, y compris l’appartenance et la propriété (même de groupes non joints)
  • Lire l’appartenance aux groupes Microsoft 365 masquées pour les groupes rejoints
  • Rechercher des groupes par nom d’affichage ou ID d’objet (si autorisé)
  • Lire des ID d’objet pour des groupes joints
  • Lire l’appartenance et la propriété des groupes joints dans certaines applications Microsoft 365 (si autorisé)
Applications
  • Inscrire (créer) de nouvelles applications
  • Énumérer la liste de toutes les applications
  • Lire les propriétés des applications inscrites et d’entreprise
  • Gérer les propriétés d’application, les affectations et les informations d’identification des applications acquises
  • Créer ou supprimer des mots de passe d’application pour les utilisateurs
  • Supprimer des applications acquises
  • Restaurer des applications acquises
  • Répertorier les autorisations accordées aux applications
  • Lire les propriétés des applications inscrites et d’entreprise
  • Répertorier les autorisations accordées aux applications
  • Lire les propriétés des applications inscrites et d’entreprise
  • Répertorier les autorisations accordées aux applications
Appareils
  • Énumérer la liste de tous les appareils
  • Lire toutes les propriétés des appareils
  • Gérer toutes les propriétés des appareils acquis
Aucune autorisation Aucune autorisation
Organisation
  • Lire toutes les informations de l’entreprise
  • Lire tous les domaines
  • Lire la configuration de l’authentification basée sur un certificat
  • Lire tous les contrats de partenaire
  • Lire les détails de base de l’organisation multitenant et les tenants actifs
  • Lire le nom complet de l’entreprise
  • Lire tous les domaines
  • Lire la configuration de l’authentification basée sur un certificat
  • Lire le nom complet de l’entreprise
  • Lire tous les domaines
Rôles et étendues
  • Lire tous les rôles d’administrateur et toutes les appartenances
  • Lire toutes les propriétés et l’appartenance des unités administratives
Aucune autorisation Aucune autorisation
Abonnements
  • Lire tous les abonnements de gestion des licences
  • Activer l’appartenance à un plan de service
Aucune autorisation Aucune autorisation
Stratégies
  • Lire toutes les propriétés des stratégies
  • Gérer toutes les propriétés des stratégies détenues
Aucune autorisation Aucune autorisation

Restreindre les autorisations par défaut des utilisateurs membres

Il est possible d’ajouter des restrictions aux autorisations par défaut des utilisateurs.

Vous pouvez restreindre les autorisations par défaut pour les utilisateurs membres des manières suivantes :

Attention

L’utilisation du commutateur Limiter l’accès au portail d’administration Microsoft Entran’est PAS une mesure de sécurité. Pour plus d’informations sur cette fonctionnalité, consultez le tableau suivant.

Autorisation Explication du paramètre
Inscrire des applications Définir cette option sur Non empêche les utilisateurs de créer des inscriptions d’applications. Vous pouvez alors redonner la capacité à des personnes spécifiques en les ajoutant au rôle développeur d’applications.
Autoriser les utilisateurs à connecter un compte professionnel ou scolaire avec LinkedIn Définir cette option sur Non empêche les utilisateurs de connecter leur compte professionnel ou scolaire avec leur compte LinkedIn. Pour plus d’informations, voir Consentement et partage de données connexions de compte LinkedIn.
Créer des groupes de sécurité Définir cette option sur Non empêche les utilisateurs de créer des groupes de sécurité. Les utilisateurs ayant au moins le rôle Administrateurs d’utilisateurs attribué peuvent toujours créer des groupes de sécurité. Pour connaître la marche à suivre, consultez Configuration des paramètres de groupe avec les cmdlets Microsoft Entra.
Créer des groupes Microsoft 365 Définir cette option sur Non empêche les utilisateurs de créer des groupes Microsoft 365. Définir cette option sur Certain(e)s permet à un ensemble d’utilisateurs spécifique de créer des groupes Microsoft 365. Toute personne disposant au moins du rôle Administrateur d’utilisateurs peut toujours créer des groupes Microsoft 365. Pour connaître la marche à suivre, consultez Configuration des paramètres de groupe avec les cmdlets Microsoft Entra.
Limiter l’accès au portail d’administration Microsoft Entra Que fait ce commutateur ?
Non : les non-administrateurs peuvent naviguer dans le portail d’administration Microsoft Entra.
Oui : les non-administrateurs ne peuvent pas naviguer dans le portail d’administration Microsoft Entra. Les non-administrateurs propriétaires de groupes ou d’applications ne peuvent pas utiliser le portail Azure pour gérer les ressources qui leur appartiennent.

Que ne fait-il pas ?
Il ne limite pas l’accès aux données Microsoft Entra avec PowerShell, l’API Microsoft Graph ou d’autres clients tels que Visual Studio.
Il ne limite pas l’accès tant qu’un utilisateur se voit attribuer un rôle personnalisé (ou n’importe quel rôle).

Dans quelle situation dois-je utiliser ce commutateur ?
Utilisez cette option pour empêcher les utilisateurs de configurer incorrectement les ressources qu’ils possèdent.

Dans quelle situation ne dois-je pas utiliser ce commutateur ?
N’utilisez pas ce commutateur comme mesure de sécurité. Créez plutôt une stratégie d’accès conditionnel qui cible l’API Gestion des services Windows Azure et bloque l’accès des non-administrateurs à l’APII Gestion des services Windows Azure.

Comment accorder uniquement à des utilisateurs non-administrateurs spécifiques la possibilité d’utiliser le portail d’administration Microsoft Entra ?
Définissez cette option sur Oui, puis attribuez-leur un rôle tel que lecteur général.

Limiter l’accès au portail d’administration Microsoft Entra
Une stratégie d’accès conditionnel qui cible l’API Gestion des services Windows Azure cible l’accès à l’ensemble de la gestion Azure.

Empêcher les utilisateurs non administrateurs de créer des locataires Les utilisateurs peuvent créer des locataires dans le portail d’administration Microsoft Entra ID et Microsoft Entra sous Gérer le locataire. La création d’un locataire est enregistrée dans le journal d’audit en tant que catégorie DirectoryManagement et activité Créer une entreprise. Toute personne qui crée un locataire devient l’Administrateur général de ce locataire. Le locataire nouvellement créé n’hérite pas de paramètres ou de configurations.

Que fait ce commutateur ?
Définissez cette option sur Oui pour limiter la création de locataires Microsoft Entra aux personnes disposant au moins du rôle Créateur de locataire. La définition de cette option sur Non permet aux utilisateurs non administrateurs de créer des locataires Microsoft Entra. La création de locataires continue d’être enregistrée dans le journal d’audit.

Comment accorder uniquement à des utilisateurs non-administrateurs spécifiques la possibilité de créer de nouveaux locataires ?
Définissez cette option sur Oui, puis attribuez-leur le rôle Créateur de tenant.

Empêcher les utilisateurs de récupérer la ou les clés BitLocker pour les appareils leur appartenant Ce paramètre se trouve dans le centre d’administration Microsoft Entra dans les paramètres de l’appareil. Définir cette option sur Oui empêche les utilisateurs de pouvoir récupérer librement la ou les clés BitLocker pour les appareils leur appartenant. Les utilisateurs doivent contacter le support technique de leur organisation pour récupérer leurs clés BitLocker. Définir cette option sur Non permet aux utilisateurs de récupérer leurs clés BitLocker.
Lire d’autres utilisateurs Ce paramètre est disponible uniquement dans Microsoft Graph et PowerShell. Définir cet indicateur sur $false empêche tous les utilisateurs non administrateurs de lire les informations utilisateur dans le répertoire. Cet indicateur peut empêcher la lecture des informations utilisateur dans d’autres services Microsoft tels que Microsoft Teams.

Ce paramètre est destiné à des circonstances particulières, donc nous vous déconseillons de définir l’indicateur sur $false.

L’option Les utilisateurs non administrateurs sont empêchés de créer des locataires est illustrée dans la capture d’écran suivante.

Capture d’écran montrant l’option Empêcher les non-administrateurs de créer des locataires

Restreindre les autorisations par défaut des utilisateurs invités

Vous pouvez restreindre les autorisations par défaut pour les utilisateurs invités de l’une des manières suivantes.

Remarque

Le paramètre de restrictions d’accès d’utilisateur invités a remplacé le paramètre Les autorisations d’utilisateurs invités sont limitées. Pour obtenir des conseils sur l’utilisation de cette fonctionnalité, consultez Restriction des autorisations d’accès invité dans Microsoft Entra ID.

Autorisation Explication du paramètre
Restrictions d’accès des utilisateurs invités La définition de cette option de façon à attribuer aux utilisateurs invités le même accès que celui des membres a pour effet d’accorder par défaut toutes les autorisations des utilisateurs membres aux utilisateurs invités.

La définition de cette option de façon à ce que l’accès des utilisateurs invités soit limité aux propriétés et aux appartenances de leurs propres objets d’annuaire a pour effet de limiter par défaut l’accès des invités à leur seul propre profil utilisateur. L’accès à d’autres utilisateurs n’est plus autorisé, même lorsqu’ils recherchent par nom d’utilisateur principal, ID d’objet ou nom d’affichage. L’accès aux informations de groupe, y compris les appartenances aux groupes, n’est plus autorisé.

Ce paramètre n’empêche pas l’accès aux groupes joints dans certains services Microsoft 365 tels que Microsoft Teams. Pour en savoir plus, consultez Accès invité à Microsoft Teams.

Les utilisateurs invités peuvent toujours être ajoutés aux rôles d’administrateur, indépendamment de ce paramètre d’autorisation.

Les invités peuvent inviter Si cette option est définie sur Oui, les invités sont autorisés à inviter d’autres invités. Pour plus d’informations, consultez Configurer les paramètres de collaboration externe.

Propriété des objets

Autorisations des propriétaires liées à l’inscription d’une application

Lorsqu’un utilisateur inscrit une application, il est automatiquement ajouté en tant que propriétaire de l’application. En tant que propriétaire, il peut gérer les métadonnées de l’application, telles que le nom et les autorisations demandées par l’application. Il peut également gérer la configuration spécifique du locataire de l’application, telle que la configuration de l’authentification unique (SSO) et les attributions d’utilisateurs.

Un propriétaire peut également ajouter ou supprimer des propriétaires. Contrairement aux utilisateurs ayant au moins le rôle d'administrateur d'applications, les propriétaires ne peuvent gérer que les applications dont ils sont propriétaires.

Autorisations de propriétaire d’applications d’entreprise

Lorsqu’un utilisateur ajoute une nouvelle application d’entreprise, il est automatiquement ajouté en tant que propriétaire. En cette qualité, il peut gérer la configuration spécifique du locataire de l’application, telle que la configuration de l’authentification unique, l’approvisionnement et les affectations d’utilisateurs.

Un propriétaire peut également ajouter ou supprimer des propriétaires. Contrairement aux utilisateurs ayant au moins le rôle d'administrateur d'applications, les propriétaires ne peuvent gérer que les applications dont ils sont propriétaires.

Autorisations de propriétaire de groupe

Lorsqu’un utilisateur crée un groupe, il est automatiquement ajouté en tant que propriétaire de ce groupe. En tant que propriétaire, il peut gérer les propriétés du groupe (par exemple, le nom) et gérer l’appartenance au groupe.

Un propriétaire peut également ajouter ou supprimer des propriétaires. Contrairement aux utilisateurs disposant au moins du rôle Administrateur de groupe, les propriétaires ne peuvent gérer que les groupes dont ils sont propriétaires et ils peuvent ajouter ou supprimer des membres de groupe uniquement si le type d’appartenance du groupe est Attribué.

Pour assigner un propriétaire de groupe, consultez Gestion des propriétaires d’un groupe.

Pour utiliser Privileged Access Management (PIM) pour rendre un groupe éligible à une attribution de rôle, consultez Utiliser des groupes Microsoft Entra pour gérer les attributions de rôles.

Autorisations de propriété

Les tableaux suivants décrivent les autorisations spécifiques dans Microsoft Entra ID que les utilisateurs membres possèdent sur des objets détenus. Les utilisateurs disposent de ces autorisations uniquement sur les objets qu’ils possèdent.

Inscriptions d’application possédées

Les utilisateurs peuvent effectuer les actions suivantes sur des inscriptions d’application possédées :

Action Description
microsoft.directory/applications/audience/update Mettez à jour la propriété applications.audience dans Microsoft Entra ID.
microsoft.directory/applications/authentication/update Mettez à jour la propriété applications.authentication dans Microsoft Entra ID.
microsoft.directory/applications/basic/update Mettez à jour les propriétés de base des applications dans Microsoft Entra ID.
microsoft.directory/applications/credentials/update Mettez à jour la propriété applications.credentials dans Microsoft Entra ID.
microsoft.directory/applications/delete Supprimez des applications dans Microsoft Entra ID.
microsoft.directory/applications/owners/update Mettez à jour la propriété applications.owners dans Microsoft Entra ID.
microsoft.directory/applications/permissions/update Mettez à jour la propriété applications.permissions dans Microsoft Entra ID.
microsoft.directory/applications/policies/update Mettez à jour la propriété applications.policies dans Microsoft Entra ID.
microsoft.directory/applications/restore Restaurez des applications dans Microsoft Entra ID.

Applications d’entreprise possédées

Les utilisateurs peuvent effectuer les actions suivantes sur les applications d’entreprise qu’ils possèdent. Une application d’entreprise se compose d’un principal de service, d’une ou plusieurs stratégies d’application et parfois d’un objet d’application dans le même locataire que le principal de service.

Action Description
microsoft.directory/auditLogs/allProperties/read Lisez toutes les propriétés (y compris les propriétés privilégiées) sur les journaux d’audit dans Microsoft Entra ID.
microsoft.directory/policies/basic/update Mettez à jour les propriétés de base sur les stratégies dans Microsoft Entra ID.
microsoft.directory/policies/delete Supprimez des stratégies dans Microsoft Entra ID.
microsoft.directory/policies/owners/update Mettez à jour la propriété policies.owners dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Mettez à jour la propriété servicePrincipals.appRoleAssignedTo dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignments/update Mettez à jour la propriété users.appRoleAssignments dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/audience/update Mettez à jour la propriété servicePrincipals.audience dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/authentication/update Mettez à jour la propriété servicePrincipals.authentication dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/basic/update Mettez à jour les propriétés de base sur les principaux de service dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/credentials/update Mettez à jour la propriété servicePrincipals.credentials dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/delete Supprimez les principaux de service dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/owners/update Mettez à jour la propriété servicePrincipals.owners dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/permissions/update Mettez à jour la propriété servicePrincipals.permissions dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/policies/update Mettez à jour la propriété servicePrincipals.policies dans Microsoft Entra ID.
microsoft.directory/signInReports/allProperties/read Lisez toutes les propriétés (y compris les propriétés privilégiées) sur les rapports de connexion dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gérer les secrets et les informations d’identification de l’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronizationJobs/manage Démarrez, redémarrez et suspendez les travaux de synchronisation de l’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronizationSchema/manage Créez et gérez le schéma et les tâches de synchronisation de l’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronization/standard/read Lire les paramètres de provisionnement associés au principal de service

Appareils joints possédés

Les utilisateurs peuvent effectuer les actions suivantes sur les appareils qu’ils possèdent :

Action Description
microsoft.directory/devices/bitLockerRecoveryKeys/read Lisez la propriété devices.bitLockerRecoveryKeys dans Microsoft Entra ID.
microsoft.directory/devices/disable Désactivez des appareils dans Microsoft Entra ID.

Groupes possédés

Les utilisateurs peuvent effectuer les actions suivantes sur les groupes qu’ils possèdent.

Remarque

Les propriétaires de groupes d’appartenance dynamique doivent avoir un rôle Administrateur de groupe, Administrateur Intune ou Administrateur d’utilisateurs pour modifier les règles d’appartenance dynamique aux groupes. Pour plus d’informations, consultez Créer ou mettre à jour un groupe d’appartenance dynamique dans Microsoft Entra ID.

Action Description
microsoft.directory/groups/appRoleAssignments/update Mettez à jour la propriété groups.appRoleAssignments dans Microsoft Entra ID.
microsoft.directory/groups/basic/update Mettez à jour les propriétés de base sur les groupes dans Microsoft Entra ID.
microsoft.directory/groups/delete Supprimez des groupes dans Microsoft Entra ID.
microsoft.directory/groups/members/update Mettez à jour la propriété groups.members dans Microsoft Entra ID.
microsoft.directory/groups/owners/update Mettez à jour la propriété groups.owners dans Microsoft Entra ID.
microsoft.directory/groups/restore Restaurez des groupes dans Microsoft Entra ID.
microsoft.directory/groups/settings/update Mettez à jour la propriété groups.settings dans Microsoft Entra ID.

Étapes suivantes