Rôles et autorisations privilégiés dans Microsoft Entra ID (préversion)

Importante

L'étiquette des rôles et autorisations privilégiés est actuellement en PRÉVERSION. Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.

Microsoft Entra ID possède des rôles et des autorisations identifiés comme privilégiés. Ces rôles et autorisations peuvent être utilisés pour déléguer la gestion des ressources du répertoire à d'autres utilisateurs, modifier les informations d'identification, les politiques d'authentification ou d'autorisation, ou accéder à des données restreintes. Les affectations de rôle privilégié peuvent entraîner une élévation de privilège si elles ne sont pas utilisées de manière sécurisée et intentionnelle. Cet article décrit les rôles et les autorisations privilégiés, ainsi que les bonnes pratiques d'utilisation.

Quels rôles et autorisations sont privilégiés ?

Pour obtenir la liste des rôles et autorisations privilégiés, consultez Rôles intégrés Microsoft Entra. Vous pouvez également utiliser le centre d'administration Microsoft Entra, Microsoft Graph PowerShell ou Microsoft API Graph pour identifier les rôles, autorisations et attributions de rôles qui sont identifiés comme privilégiés.

Dans le centre d'administration Microsoft Entra, recherchez l'étiquette PRIVILÉGIÉ.

Icône de l'étiquette de privilège.

Dans la page Rôles et administrateurs, les rôles privilégiés sont identifiés dans la colonne Privilégié. La colonne Attributions répertorie le nombre d'attributions de rôles. Vous pouvez également filtrer les rôles privilégiés.

Lorsque vous consultez les autorisations d'un rôle privilégié, vous pouvez voir quelles autorisations sont privilégiées. Si vous consultez les autorisations en tant qu'utilisateur par défaut, vous ne pourrez pas voir quelles autorisations sont privilégiées.

Lorsque vous créez un rôle personnalisé, vous pouvez voir quelles autorisations sont privilégiées, et le rôle personnalisé est étiqueté comme privilégié.

Dans Microsoft Graph PowerShell, vérifiez si la propriété IsPrivileged est définie sur True.

Pour répertorier les rôles privilégiés, utilisez la commande Get-MgBetaRoleManagementDirectoryRoleDefinition.

Get-MgBetaRoleManagementDirectoryRoleDefinition -Filter "isPrivileged eq true" | Format-List

AllowedPrincipalTypes   :
Description             : Can create and manage all aspects of app registrations and enterprise apps.
DisplayName             : Application Administrator
Id                      : 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
InheritsPermissionsFrom : {88d8e3e3-8f55-4a1e-953a-9b9898b8876b}
IsBuiltIn               : True
IsEnabled               : True
IsPrivileged            : True
ResourceScopes          : {/}
RolePermissions         : {Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRolePermission}
TemplateId              : 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Version                 : 1
AdditionalProperties    : {[assignmentMode, allowed], [categories, identity], [richDescription, Users in this role can
                          add, manage, and configureenterprise applications, app registrations and manage on-premises
                          like app proxy.], [inheritsPermissionsFrom@odata.context, https://graph.microsoft.com/beta/$m
                          etadata#roleManagement/directory/roleDefinitions('9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3')/inhe
                          ritsPermissionsFrom]}


AllowedPrincipalTypes   :
Description             : Can reset passwords for non-administrators and Helpdesk Administrators.
DisplayName             : Helpdesk Administrator
Id                      : 729827e3-9c14-49f7-bb1b-9608f156bbb8
InheritsPermissionsFrom : {88d8e3e3-8f55-4a1e-953a-9b9898b8876b}
IsBuiltIn               : True
IsEnabled               : True
IsPrivileged            : True
ResourceScopes          : {/}
RolePermissions         : {Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRolePermission}
TemplateId              : 729827e3-9c14-49f7-bb1b-9608f156bbb8
Version                 : 1
AdditionalProperties    : {[assignmentMode, allowed], [categories, identity], [richDescription, Users with this role
                          can change passwords, invalidate refresh tokens, manage service requests, and monitor
                          service health. Invalidating a refresh token forces the user to sign in again. Helpdesk
                          administrators can reset passwords and invalidate refresh tokens of other users who are
                          non-administrators or assigned the following roles only:
                          * Directory Readers
                          * Guest Inviter
                          * Helpdesk Administrator
                          * Message Center Reader
                          * Password Administrator
                          * Reports Reader], [inheritsPermissionsFrom@odata.context, https://graph.microsoft.com/beta/$
                          metadata#roleManagement/directory/roleDefinitions('729827e3-9c14-49f7-bb1b-9608f156bbb8')/inh
                          eritsPermissionsFrom]}

...

Pour répertorier les autorisations privilégiées, utilisez la commande Get-MgBetaRoleManagementDirectoryResourceNamespaceResourceAction.

Get-MgBetaRoleManagementDirectoryResourceNamespaceResourceAction -UnifiedRbacResourceNamespaceId "microsoft.directory" -Filter "isPrivileged eq true" | Format-List

ActionVerb                      : PATCH
AuthenticationContext           : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphAuthenticationContextClassReference
AuthenticationContextId         :
Description                     : Update all properties (including privileged properties) on single-directory applications
Id                              : microsoft.directory-applications.myOrganization-allProperties-update-patch
IsAuthenticationContextSettable :
IsPrivileged                    : True
Name                            : microsoft.directory/applications.myOrganization/allProperties/update
ResourceScope                   : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRbacResourceScope
ResourceScopeId                 :
AdditionalProperties            : {}

ActionVerb                      : PATCH
AuthenticationContext           : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphAuthenticationContextClassReference
AuthenticationContextId         :
Description                     : Update credentials on single-directory applications
Id                              : microsoft.directory-applications.myOrganization-credentials-update-patch
IsAuthenticationContextSettable :
IsPrivileged                    : True
Name                            : microsoft.directory/applications.myOrganization/credentials/update
ResourceScope                   : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRbacResourceScope
ResourceScopeId                 :
AdditionalProperties            : {}

...

Pour répertorier les attributions de rôles privilégiés, utilisez la commande Get-MgBetaRoleManagementDirectoryRoleAssignment.

Get-MgBetaRoleManagementDirectoryRoleAssignment -ExpandProperty "roleDefinition" -Filter "roleDefinition/isPrivileged eq true" | Format-List

AppScope                : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphAppScope
AppScopeId              :
Condition               :
DirectoryScope          : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphDirectoryObject
DirectoryScopeId        : /
Id                      : <Id>
Principal               : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphDirectoryObject
PrincipalId             : <PrincipalId>
PrincipalOrganizationId : <PrincipalOrganizationId>
ResourceScope           : /
RoleDefinition          : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRoleDefinition
RoleDefinitionId        : 62e90394-69f5-4237-9190-012177145e10
AdditionalProperties    : {}

AppScope                : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphAppScope
AppScopeId              :
Condition               :
DirectoryScope          : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphDirectoryObject
DirectoryScopeId        : /
Id                      : <Id>
Principal               : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphDirectoryObject
PrincipalId             : <PrincipalId>
PrincipalOrganizationId : <PrincipalOrganizationId>
ResourceScope           : /
RoleDefinition          : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRoleDefinition
RoleDefinitionId        : 62e90394-69f5-4237-9190-012177145e10
AdditionalProperties    : {}

...

Dans l'API Microsoft Graph, vérifiez si la propriété isPrivileged est définie sur true.

Pour répertorier les rôles privilégiés, utilisez l'API List roleDefinitions.

GET https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions?$filter=isPrivileged eq true

Réponse

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "aaf43236-0c0d-4d5f-883a-6955382ac081",
            "description": "Can manage secrets for federation and encryption in the Identity Experience Framework (IEF).",
            "displayName": "B2C IEF Keyset Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "isPrivileged": true,
            "resourceScopes": [
                "/"
            ],
            "templateId": "aaf43236-0c0d-4d5f-883a-6955382ac081",
            "version": "1",
            "rolePermissions": [
                {
                    "allowedResourceActions": [
                        "microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks"
                    ],
                    "condition": null
                }
            ],
            "inheritsPermissionsFrom@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions('aaf43236-0c0d-4d5f-883a-6955382ac081')/inheritsPermissionsFrom",
            "inheritsPermissionsFrom": [
                {
                    "id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
                }
            ]
        },
        {
            "id": "be2f45a1-457d-42af-a067-6ec1fa63bc45",
            "description": "Can configure identity providers for use in direct federation.",
            "displayName": "External Identity Provider Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "isPrivileged": true,
            "resourceScopes": [
                "/"
            ],
            "templateId": "be2f45a1-457d-42af-a067-6ec1fa63bc45",
            "version": "1",
            "rolePermissions": [
                {
                    "allowedResourceActions": [
                        "microsoft.directory/domains/federation/update",
                        "microsoft.directory/identityProviders/allProperties/allTasks"
                    ],
                    "condition": null
                }
            ],
            "inheritsPermissionsFrom@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions('be2f45a1-457d-42af-a067-6ec1fa63bc45')/inheritsPermissionsFrom",
            "inheritsPermissionsFrom": [
                {
                    "id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
                }
            ]
        }
    ]
}

Pour répertorier les autorisations privilégiées, utilisez l'API List resourceActions.

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions?$filter=isPrivileged eq true

Réponse

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/resourceNamespaces('microsoft.directory')/resourceActions",
    "value": [
        {
            "actionVerb": "PATCH",
            "description": "Update application credentials",
            "id": "microsoft.directory-applications-credentials-update-patch",
            "isPrivileged": true,
            "name": "microsoft.directory/applications/credentials/update",
            "resourceScopeId": null
        },
        {
            "actionVerb": null,
            "description": "Manage all aspects of authorization policy",
            "id": "microsoft.directory-authorizationPolicy-allProperties-allTasks",
            "isPrivileged": true,
            "name": "microsoft.directory/authorizationPolicy/allProperties/allTasks",
            "resourceScopeId": null
        }
    ]
}

Pour répertorier les attributions de rôles privilégiés, utilisez l'API List unifiedRoleAssignments.

GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments?$expand=roleDefinition&$filter=roleDefinition/isPrivileged eq true

Réponse

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignments(roleDefinition())",
    "value": [
        {
            "id": "{id}",
            "principalId": "{principalId}",
            "principalOrganizationId": "{principalOrganizationId}",
            "resourceScope": "/",
            "directoryScopeId": "/",
            "roleDefinitionId": "b1be1c3e-b65d-4f19-8427-f6fa0d97feb9",
            "roleDefinition": {
                "id": "b1be1c3e-b65d-4f19-8427-f6fa0d97feb9",
                "description": "Can manage Conditional Access capabilities.",
                "displayName": "Conditional Access Administrator",
                "isBuiltIn": true,
                "isEnabled": true,
                "isPrivileged": true,
                "resourceScopes": [
                    "/"
                ],
                "templateId": "b1be1c3e-b65d-4f19-8427-f6fa0d97feb9",
                "version": "1",
                "rolePermissions": [
                    {
                        "allowedResourceActions": [
                            "microsoft.directory/namedLocations/create",
                            "microsoft.directory/namedLocations/delete",
                            "microsoft.directory/namedLocations/standard/read",
                            "microsoft.directory/namedLocations/basic/update",
                            "microsoft.directory/conditionalAccessPolicies/create",
                            "microsoft.directory/conditionalAccessPolicies/delete",
                            "microsoft.directory/conditionalAccessPolicies/standard/read",
                            "microsoft.directory/conditionalAccessPolicies/owners/read",
                            "microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read",
                            "microsoft.directory/conditionalAccessPolicies/basic/update",
                            "microsoft.directory/conditionalAccessPolicies/owners/update",
                            "microsoft.directory/conditionalAccessPolicies/tenantDefault/update"
                        ],
                        "condition": null
                    }
                ]
            }
        },
        {
            "id": "{id}",
            "principalId": "{principalId}",
            "principalOrganizationId": "{principalOrganizationId}",
            "resourceScope": "/",
            "directoryScopeId": "/",
            "roleDefinitionId": "c4e39bd9-1100-46d3-8c65-fb160da0071f",
            "roleDefinition": {
                "id": "c4e39bd9-1100-46d3-8c65-fb160da0071f",
                "description": "Can access to view, set and reset authentication method information for any non-admin user.",
                "displayName": "Authentication Administrator",
                "isBuiltIn": true,
                "isEnabled": true,
                "isPrivileged": true,
                "resourceScopes": [
                    "/"
                ],
                "templateId": "c4e39bd9-1100-46d3-8c65-fb160da0071f",
                "version": "1",
                "rolePermissions": [
                    {
                        "allowedResourceActions": [
                            "microsoft.directory/users/authenticationMethods/create",
                            "microsoft.directory/users/authenticationMethods/delete",
                            "microsoft.directory/users/authenticationMethods/standard/restrictedRead",
                            "microsoft.directory/users/authenticationMethods/basic/update",
                            "microsoft.directory/deletedItems.users/restore",
                            "microsoft.directory/users/delete",
                            "microsoft.directory/users/disable",
                            "microsoft.directory/users/enable",
                            "microsoft.directory/users/invalidateAllRefreshTokens",
                            "microsoft.directory/users/restore",
                            "microsoft.directory/users/basic/update",
                            "microsoft.directory/users/manager/update",
                            "microsoft.directory/users/password/update",
                            "microsoft.directory/users/userPrincipalName/update",
                            "microsoft.azure.serviceHealth/allEntities/allTasks",
                            "microsoft.azure.supportTickets/allEntities/allTasks",
                            "microsoft.office365.serviceHealth/allEntities/allTasks",
                            "microsoft.office365.supportTickets/allEntities/allTasks",
                            "microsoft.office365.webPortal/allEntities/standard/read"
                        ],
                        "condition": null
                    }
                ]
            }
        }
    ]
}

Bonnes pratiques pour l'utilisation de rôles privilégiés

Voici quelques bonnes pratiques pour l'utilisation de rôles privilégiés.

Appliquer le principe des privilèges minimum
Utiliser Privileged Identity Management pour accorder un accès juste-à-temps
Activer l'authentification multifacteur pour tous vos comptes d'administrateur
Configurer des révisions d’accès périodiques pour révoquer les autorisations inutiles au fil du temps
Limiter le nombre d'administrateurs généraux à moins de cinq
Limiter le nombre d'attributions de rôles privilégiés à moins de 10

Pour plus d'informations, consultez Meilleures pratiques pour les rôles Microsoft Entra.

Autorisations privilégiées et actions protégées

Les autorisations privilégiées et les actions protégées sont des fonctionnalités liées à la sécurité qui ont des objectifs différents. Les autorisations qui ont l'étiquette PRIVILÉGIÉ vous aident à identifier les autorisations qui peuvent entraîner une élévation de privilèges si elles ne sont pas utilisées de manière sécurisée et intentionnelle. Les actions protégées sont des autorisations de rôle auxquelles des stratégies d'accès conditionnel ont été attribuées pour renforcer la sécurité, par exemple en exigeant une authentification multifacteur. Les exigences d'accès conditionnel sont appliquées lorsqu'un utilisateur effectue l'action protégée. Les actions protégées sont actuellement en préversion. Pour e savoir plus, consultez Quelles sont les actions protégées dans Microsoft Entra ID ?.

Fonctionnalité	Autorisation privilégiée	Action protégée
Identifier les autorisations qui doivent être utilisées de manière sécurisée	✅
Exiger une sécurité supplémentaire pour effectuer une action		✅

Terminologie

Pour comprendre les rôles et autorisations privilégiés dans Microsoft Entra ID, il est utile de connaître certaines des terminologies suivantes.

Terme	Définition
action	Activité qu'un principal de sécurité peut effectuer sur un type d'objet. Parfois appelée « opération ».
permission	Définition qui spécifie l'activité qu'un principal de sécurité peut effectuer sur un type d'objet. Une autorisation inclut une ou plusieurs actions.
autorisation privilégiée	Dans Microsoft Entra ID, les autorisations qui peuvent être utilisés pour déléguer la gestion des ressources du répertoire à d'autres utilisateurs, modifier les informations d'identification, les politiques d'authentification ou d'autorisation, ou accéder à des données restreintes.
rôle privilégié	Rôle intégré ou personnalisé qui dispose d'une ou plusieurs autorisations privilégiées.
attribution de rôle privilégié	Attribution de rôle qui utilise un rôle privilégié.
élévation de privilège	Lorsqu'un sujet de sécurité obtient plus d'autorisations que celles initialement attribuées à son rôle en usurpant l'identité d'un autre rôle.
action protégée	Autorisations avec accès conditionnel appliqué pour renforcer la sécurité.

Comment comprendre les autorisations des rôles

Le schéma pour les autorisations suit vaguement le format REST de Microsoft Graph :

<namespace>/<entity>/<propertySet>/<action>

Par exemple :

microsoft.directory/applications/credentials/update

Élément d’autorisation	Descriptif
espace de noms	Produit ou service qui expose la tâche, précédé de `microsoft`. Par exemple, toutes les tâches de Microsoft Entra ID utilisent l'espace de noms `microsoft.directory`.
Entité	Fonctionnalité logique ou composant exposé par le service dans Microsoft Graph. Par exemple, Microsoft Entra ID expose les utilisateurs et les groupes, OneNote expose des notes et Exchange expose des boîtes aux lettres et des calendriers. Il existe un mot clé spécial, `allEntities`, pour spécifier toutes les entités dans un espace de noms. Il est souvent utilisé dans des rôles accordent l’accès à un produit entier.
propertySet	Propriétés ou aspects spécifiques de l’entité pour laquelle l’accès est accordé. Par exemple, `microsoft.directory/applications/authentication/read` offre la possibilité de lire l'URL de réponse, l'URL de déconnexion et la propriété de flux implicite sur l'objet application dans Microsoft Entra ID. `allProperties` désigne toutes les propriétés de l'entité, y compris les propriétés privilégiées. `standard` désigne des propriétés communes, mais exclut les propriétés privilégiées associées à l'action `read`. Par exemple, `microsoft.directory/user/standard/read` offre la possibilité de lire des propriétés standard telles que le numéro de téléphone et l’adresse e-mail public, mais pas le numéro de téléphone ou l’adresse e-mail secondaires privés utilisés pour l’authentification multifacteur. `basic` désigne des propriétés communes, mais exclut les propriétés privilégiées associées à l'action `update`. L’ensemble de propriétés que vous pouvez lire peut différer de ce que vous pouvez mettre à jour. Les mots clés `standard` et `basic` permettent de refléter cela.
action	Opération octroyée, généralement créer, lire, mettre à jour ou supprimer (CRUD). Il existe un mot clé spécial, `allTasks`, pour spécifier toutes les fonctionnalités ci-dessus (créer, lire, mettre à jour et supprimer).

Comparer les rôles d'authentification

Le tableau suivant compare les fonctionnalités de ce rôle aux rôles associés à l'authentification.

Role	Gérer les méthodes d’authentification de l’utilisateur	Gérer l’authentification multifacteur par utilisateur	Gérer les paramètres de l’authentification multifacteur	Gérer la stratégie de méthode d’authentification	Gérer la stratégie de protection par mot de passe	Mettre à jour les propriétés sensibles	Supprimer et restaurer des objets blob
Administrateur d'authentification	Oui pour certains utilisateurs	Non	Non	Non	Non	Oui pour certains utilisateurs	Oui pour certains utilisateurs
Administrateur d'authentification privilégié	Oui pour tous les utilisateurs	Non	Non	Non	Non	Oui pour tous les utilisateurs	Oui pour tous les utilisateurs
Administrateur de la stratégie d'authentification	Non	Oui	Oui	Oui	Oui	Non	Non
Administrateur d'utilisateurs	Non	Non	Non	Non	Non	Oui pour certains utilisateurs	Oui pour certains utilisateurs

Qui peut réinitialiser les mots de passe

Dans le tableau suivant, les colonnes listent les rôles qui peuvent réinitialiser les mots de passe et invalider les jetons d’actualisation. Les lignes listent les rôles dont le mot de passe peut être réinitialisé. Par exemple, un administrateur de mots de passe peut réinitialiser le mot de passe des lecteurs d'annuaire, des invités, des administrateurs de mots de passe et des utilisateurs sans rôle d'administrateur. Si un utilisateur se voit attribuer un autre rôle, l'administrateur de mot de passe ne peut pas réinitialiser son mot de passe.

Le tableau suivant concerne les rôles attribués à l’étendue d’un abonné. Pour les rôles attribués au niveau de l’étendue d’une unité administrative, des restrictions supplémentaires s’appliquent.

Rôle dont le mot de passe peut être réinitialisé	Administrateur de mot de passe	Administrateur de service d’assistance	Administrateur d’authentification	Utilisateur administrateur	Administrateur d’authentification privilégié	Administrateur général
Administrateur d’authentification			✅		✅	✅
Lecteurs de répertoires	✅	✅	✅	✅	✅	✅
Administrateur général					✅	✅*
Administrateur de groupes				✅	✅	✅
Inviteur	✅	✅	✅	✅	✅	✅
Administrateur de service d’assistance		✅		✅	✅	✅
Lecteur du Centre de messages		✅	✅	✅	✅	✅
Administrateur de mot de passe	✅	✅	✅	✅	✅	✅
Administrateur d’authentification privilégié					✅	✅
Administrateur de rôle privilégié					✅	✅
Lecteur de rapports		✅	✅	✅	✅	✅
Utilisateur (aucun rôle administrateur)	✅	✅	✅	✅	✅	✅
Utilisateur (aucun rôle administrateur, mais membre ou propriétaire d’un groupe à attribution de rôle)					✅	✅
Utilisateur avec un rôle étendu à une unité administrative de gestion restreinte					✅	✅
Utilisateur administrateur				✅	✅	✅
Gestionnaire de réussite de l'expérience utilisateur		✅	✅	✅	✅	✅
Lecteur Rapports de synthèse de l’utilisation		✅	✅	✅	✅	✅
Tous les autres rôles intégrés et personnalisés					✅	✅

Importante

Le rôle Partner Tier2 Support peut réinitialiser les mots de passe et invalider les jetons d’actualisation pour l’ensemble des non-administrateurs et des administrateurs (y compris les administrateurs généraux). Le rôle Partner Tier1 Support peut réinitialiser les mots de passe et invalider les jetons d’actualisation uniquement pour les non-administrateurs. Ces rôles ne doivent pas être utilisés, car ils sont dépréciés.

La possibilité de réinitialiser un mot de passe inclut la possibilité de mettre à jour les propriétés sensibles suivantes requises pour la Réinitialisation de mots de passe en libre service :

businessPhones
téléphone portable
otherMails

Qui peut effectuer des actions sensibles

Certains administrateurs peuvent effectuer les actions sensibles suivantes pour certains utilisateurs. Tous les utilisateurs peuvent lire les propriétés sensibles.

Action sensible	Nom de la propriété sensible
Désactiver ou activer les utilisateurs	`accountEnabled`
Mettre à jour le téléphone professionnel	`businessPhones`
Mettre à jour le téléphone mobile	`mobilePhone`
Mettre à jour l’ID immuable local	`onPremisesImmutableId`
Mettre à jour d’autres e-mails	`otherMails`
Mettre à jour le profil de mot de passe	`passwordProfile`
Mettre à jour le nom d’utilisateur principal	`userPrincipalName`
Supprimer ou restaurer des utilisateurs	Non applicable

Dans le tableau suivant, les colonnes listent les rôles qui peuvent effectuer des actions sensibles. Les lignes répertorient les rôles pour lesquels l’action sensible peut être effectuée.

Rôle sur lequel une action sensible peut être effectuée	Administrateur d’authentification	Utilisateur administrateur	Administrateur d’authentification privilégié	Administrateur général
Administrateur d’authentification	✅		✅	✅
Lecteurs de répertoires	✅	✅	✅	✅
Administrateur général			✅	✅
Administrateur de groupes		✅	✅	✅
Inviteur	✅	✅	✅	✅
Administrateur de service d’assistance		✅	✅	✅
Lecteur du Centre de messages	✅	✅	✅	✅
Administrateur de mot de passe	✅	✅	✅	✅
Administrateur d’authentification privilégié			✅	✅
Administrateur de rôle privilégié			✅	✅
Lecteur de rapports	✅	✅	✅	✅
Utilisateur (aucun rôle administrateur)	✅	✅	✅	✅
Utilisateur (aucun rôle administrateur, mais membre ou propriétaire d’un groupe à attribution de rôle)			✅	✅
Utilisateur avec un rôle étendu à une unité administrative de gestion restreinte			✅	✅
Utilisateur administrateur		✅	✅	✅
Gestionnaire de réussite de l'expérience utilisateur	✅	✅	✅	✅
Lecteur Rapports de synthèse de l’utilisation	✅	✅	✅	✅
Tous les autres rôles intégrés et personnalisés			✅	✅

Étapes suivantes

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-07-21

Partager via

Rôles et autorisations privilégiés dans Microsoft Entra ID (préversion)

Quels rôles et autorisations sont privilégiés ?

Bonnes pratiques pour l'utilisation de rôles privilégiés

Autorisations privilégiées et actions protégées

Terminologie

Comment comprendre les autorisations des rôles

Comparer les rôles d'authentification

Qui peut réinitialiser les mots de passe

Qui peut effectuer des actions sensibles

Étapes suivantes

Commentaires

Ressources supplémentaires