Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Aperçu
L’ID Microsoft Entra, qui fait partie de Microsoft Entra, vous permet de restreindre ce que les utilisateurs invités peuvent voir dans leur organisation dans l’ID Microsoft Entra. Les utilisateurs invités sont définis par défaut sur un niveau d’autorisation limité dans Microsoft Entra ID, tandis que les utilisateurs membres disposent de l’ensemble complet d’autorisations utilisateur. Il existe un autre niveau d’autorisation des utilisateurs invités dans les paramètres de collaboration externe de l’organisation Microsoft Entra qui offre un accès encore plus restreint. Les niveaux d’accès invité possibles sont les suivants :
| Niveau d’autorisation | Niveau d’accès | Valeur |
|---|---|---|
| Identique aux utilisateurs membres | Les invités ont le même accès aux ressources Microsoft Entra ID que les utilisateurs membres | A0B1B346-4D3E-4E8B-98F8-753987BE4970 |
| Accès limité (par défaut) | Les invités peuvent voir l’appartenance de tous les groupes non masqués | 10DAE51F-B6AF-4016-8D66-8C2A99B929B3 |
| Accès restreint (nouveau) | Les invités ne peuvent voir l’appartenance d’aucun groupe | 2AF84B1E-32C8-42B7-82BC-DAA82404023B |
Lorsque l’accès invité est restreint, les invités ne peuvent afficher que leur propre profil utilisateur. L’autorisation de voir d’autres utilisateurs n’est pas accordée, même si l’invité effectue une recherche par nom d’utilisateur principal ou par objectId. L’accès restreint empêche également les utilisateurs invités de consulter l’appartenance des groupes dont ils sont membres. Pour plus d’informations sur les autorisations utilisateur globales par défaut, consultez Quelles sont les autorisations utilisateur par défaut dans Microsoft Entra ID ?.
Mise à jour dans le Centre d’administration Microsoft Entra
Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur d’utilisateurs .
SélectionnezIdentités externes>.
Sélectionnez Paramètres de collaboration externe.
Sur la page Paramètres de collaboration externe , sélectionnez l’option L’accès utilisateur invité est limité aux propriétés et appartenances de leurs propres objets annuaire.
Sélectionnez Enregistrer. La prise en compte des modifications pour les utilisateurs invités peut prendre jusqu’à 15 minutes.
Mise à jour avec l’API Microsoft Graph
Il existe une nouvelle API Microsoft Graph pour configurer les autorisations d’invité dans votre organisation Microsoft Entra. Les appels d’API suivants permettent d’assigner n’importe quel niveau d’autorisation. La valeur de guestUserRoleId utilisée ici permet d’illustrer le paramètre d’utilisateur invité le plus restreint. Pour savoir comment définir des autorisations invité avec Microsoft Graph, consultez authorizationPolicyType de ressource.
Configuration initiale
POST https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
{
"guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}
La réponse doit être Réussite 204.
Remarque
Les modules Azure AD et MSOnline PowerShell seront dépréciés à partir du 30 mars 2024. Pour en savoir plus, lisez les informations relatives aux utilisations déconseillées. Passé cette date, la prise en charge de ces modules est limitée à une assistance de migration vers le SDK et les correctifs de sécurité Microsoft Graph PowerShell. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.
Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour explorer les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Remarque : Les versions 1.0.x de MSOnline peuvent connaître une interruption après le 30 juin 2024.
Mise à jour de la valeur existante
PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
{
"guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}
La réponse doit être Réussite 204.
Affichage de la valeur actuelle
GET https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
Exemple de réponse :
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authorizationPolicy/$entity",
"id": "authorizationPolicy",
"displayName": "Authorization Policy",
"description": "Used to manage authorization related settings across the company.",
"enabledPreviewFeatures": [],
"guestUserRoleId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"permissionGrantPolicyIdsAssignedToDefaultUserRole": [
"user-default-legacy"
]
}
Mise à jour avec des cmdlets PowerShell
Avec cette fonctionnalité, la possibilité de configurer les autorisations restreintes via les applets de commande PowerShell v2 a été ajoutée. Les cmdlets PowerShell Get et Update ont été publiées dans la version 2.0.2.85.
Commande Get : Get-MgPolicyAuthorizationPolicy
Exemple :
Get-MgPolicyAuthorizationPolicy | Format-List
AllowEmailVerifiedUsersToJoinOrganization : True
AllowInvitesFrom : everyone
AllowUserConsentForRiskyApps :
AllowedToSignUpEmailBasedSubscriptions : True
AllowedToUseSspr : True
BlockMsolPowerShell : False
DefaultUserRolePermissions : Microsoft.Graph.PowerShell.Models.MicrosoftGraphDefaultUserRolePermissions
DeletedDateTime :
Description : Used to manage authorization related settings across the company.
DisplayName : Authorization Policy
GuestUserRoleId : 10dae51f-b6af-4016-8d66-8c2a99b929b3
Id : authorizationPolicy
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/authorizationPolicy/$entity]}
Commande Update : Update-MgPolicyAuthorizationPolicy
Exemple :
Update-MgPolicyAuthorizationPolicy -GuestUserRoleId '2af84b1e-32c8-42b7-82bc-daa82404023b'
Services Microsoft 365 pris en charge
Services pris en charge
Par support, l'expérience répond aux attentes ; en particulier qu'elle est identique à l'expérience de l'invité actuelle.
- Équipes
- Outlook (OWA)
- SharePoint
- Planificateur dans Microsoft Teams
- Application mobile Planificateur
- Application web Planificateur
- Project pour le web
- Opérations de projet
Services non pris en charge actuellement
Les services sans prise en charge actuelle peuvent rencontrer des problèmes de compatibilité avec le nouveau paramètre de restriction invité.
Formulaires
Projet en ligne
Viva Engage
Planificateur dans SharePoint
Foire Aux Questions (FAQ)
| Question | Réponse |
|---|---|
| Où ces autorisations s’appliquent-elles ? | Ces autorisations au niveau des répertoires sont appliquées dans les services Microsoft Entra, notamment Microsoft Graph, PowerShell v2, le Portail Azure et le portail Mes applications. Les services Microsoft 365 utilisant des groupes Microsoft 365 pour les scénarios de collaboration sont également affectés, en particulier Outlook, Microsoft Teams et SharePoint. |
| Comment les autorisations restreintes affectent-elles les groupes que les invités peuvent voir ? | Quelles que soient les autorisations d’invité par défaut ou restreintes, les invités ne peuvent pas énumérer la liste des groupes ni des utilisateurs. Les invités peuvent voir les groupes dont ils sont membres dans le portail Azure et le portail Mes applications en fonction des autorisations :
Pour une comparaison plus détaillée des autorisations de répertoire qui proviennent de l’API Graph, consultez Autorisations utilisateur par défaut. |
| Quelles sont les parties du portail Mes applications affectées par cette fonctionnalité ? | Les fonctionnalités des groupes dans le portail Mes applications respectent ces nouvelles autorisations. Cette fonctionnalité inclut tous les chemins pour afficher la liste des groupes et les appartenances aux groupes dans Mes applications. Aucun changement n’a été apporté à la disponibilité des vignettes de groupe. La disponibilité des vignettes de groupe est toujours contrôlée par le paramètre de groupe existant dans le portail Azure. |
| Ces autorisations remplacent-elles les paramètres invités SharePoint ou Microsoft Teams ? | Non. Ces paramètres existants contrôlent toujours l’expérience et l’accès dans ces applications. Par exemple, si vous voyez des problèmes dans SharePoint, vérifiez deux fois vos paramètres de partage externe. Les invités ajoutés par les propriétaires d’équipe au niveau de l’équipe ont accès à la conversation de la réunion de canal uniquement pour les canaux standard, à l’exclusion des canaux privés et partagés. |
| Quels sont les problèmes de compatibilité connus dans Viva Engage ? | Avec les autorisations définies sur « restreint », les invités connectés à Viva Engage ne peuvent pas quitter le groupe. |
| Mes autorisations d’invité existantes seront-elles changées dans mon tenant (locataire) ? | Aucune modification n’a été apportée à vos paramètres actuels. La compatibilité descendante avec vos paramètres existants est maintenue. Vous décidez quand vous souhaitez apporter des modifications. |
| Ces autorisations seront-elles définies par défaut ? | Non. Les autorisations par défaut existantes restent inchangées. Vous pouvez si vous le souhaitez les définir de manière plus restrictive. |
| Cette fonctionnalité est-elle soumise à des conditions de licence ? | Non, il n’existe aucune nouvelle exigence de licence associée à cette fonctionnalité. |
Étapes suivantes
- Pour en savoir plus sur les autorisations d’invité existantes dans Microsoft Entra ID, consultez Quelles sont les autorisations utilisateur par défaut dans Microsoft Entra ID ?
- Pour connaître les méthodes de l’API Microsoft Graph permettant de restreindre l’accès invité, consultez
authorizationPolicyType de ressource - Pour révoquer tous les accès d’un utilisateur, consultez Révocation de l’accès utilisateur dans Microsoft Entra ID