Qu’est-ce que la gestion des utilisateurs d’entreprise ?What is enterprise user management?

Cet article présente à l’administrateur Azure AD la relation entre les principales tâches de gestion des identités pour les utilisateurs en ce qui concerne leurs groupes, licences, applications d’entreprise déployées et rôles d’administrateur.This article introduces the Azure AD administrator to the relationship between top identity management tasks for users in terms of their groups, licenses, deployed enterprise apps, and administrator roles. À mesure que votre entreprise se développe, vous pouvez utiliser des groupes et rôles d’administrateur Azure AD pour :As your organization grows, you can use Azure AD groups and administrator roles to:

  • Assigner des licences à des groupes plutôt qu’individuellementAssign licenses to groups instead of to individually
  • Déléguer des autorisations pour répartir le travail de gestion Azure AD à des rôles de moindre privilègeDelegate permissions to distribute the work of Azure AD management to less-privileged roles
  • Assigner l’accès aux applications d’entreprise à des groupesAssign enterprise app access to groups

Assigner des utilisateurs à des groupesAssign users to groups

Vous pouvez utiliser des groupes dans Azure AD pour assigner des licences à un grand nombre d’utilisateurs, ou pour assigner l’accès utilisateur à des applications d’entreprise déployées.You can use groups in Azure AD to assign licenses to large numbers of users, or to assign user access to deployed enterprise apps. Vous pouvez utiliser des groupes pour attribuer les rôles d’administrateur (à l’exception du rôle d’Administrateur général) dans Azure AD, ou vous pouvez accorder l’accès à des ressources externes, comme des applications SaaS ou des sites SharePoint.You can use groups to assign all administrator roles except for Global Administrator in Azure AD, or you can grant access to resources that are external, such as SaaS applications or SharePoint sites.

Pour plus de flexibilité et afin de réduire le travail de gestion de l’appartenance à un groupe, vous pouvez utiliser des groupes dynamiques dans Azure AD pour étendre et limiter automatiquement l’appartenance à un groupe.For additional flexibility and to reduce the work of managing group membership, you can use dynamic groups in Azure AD to expand and contract group membership automatically. Vous aurez besoin d’une licence Azure AD Premium P1 pour chaque utilisateur unique membre d’un ou de plusieurs groupes dynamiques.You'll need an Azure AD Premium P1 license for each unique user that is a member of one or more dynamic groups.

Assigner des licences à des groupesAssign licenses to groups

L’affectation à ou la suppression de licences d’utilisateurs individuellement peut prendre du temps et monopoliser votre attention.Assigning or removing licenses from users individually can demand time and attention. Si, au lieu de cela, vous assignez des licences à des groupes, vous pouvez simplifier votre gestion des licences à grande échelle.If you assign licenses to groups instead, you can make your large-scale license management easier.

Dans Azure AD, lorsque des utilisateurs rejoignent un groupe sous licence, les licences appropriées leur sont automatiquement assignées.In Azure AD, when users join a licensed group, they're automatically assigned the appropriate licenses. Lorsque les utilisateurs quittent le groupe, Azure AD supprime leurs affectations de licence.When users leave the group, Azure AD removes their license assignments. Sans groupes Azure AD, vous devriez écrire un script PowerShell ou utiliser l’API Graph pour ajouter ou supprimer en bloc des licences utilisateur pour les utilisateurs intégrant ou quittant l’entreprise.Without Azure AD groups, you'd have to write a PowerShell script or use Graph API to bulk add or remove user licenses for users joining or leaving the organization.

Si le nombre de licences disponibles est insuffisant, ou si un problème se produit, comme des plans de services ne pouvant pas être assignés simultanément, vous pouvez voir l’état d’un quelconque problème de licence pour le groupe dans le Portail Azure.If there are not enough available licenses, or an issue occurs like service plans that can't be assigned at the same time, you can see status of any licensing issue for the group in the Azure portal.

Notes

La fonctionnalité de licences basées sur le groupe est actuellement disponible en préversion publique.The group-based licensing feature currently is in public preview. Pendant la période de préversion, la fonctionnalité est disponible dans tout plan de licence Azure Active Directory (Azure AD) payant ou essai.During the preview, the feature is available with any paid Azure Active Directory (Azure AD) license plan or trial.

Déléguer des rôles d’administrateurDelegate administrator roles

Nombre de grandes entreprises souhaitent disposer d’options permettant à leurs utilisateurs d’obtenir les autorisations suffisantes pour réaliser leurs tâches professionnelles sans pour autant assigner le rôle Administrateur général, par exemple, aux utilisateurs devant inscrire des applications.Many large organizations want options for their users to obtain sufficient permissions for their work tasks without assigning the powerful Global Administrator role to, for example, users who must register applications. Voici un exemple de nouveaux rôles d’administrateur Azure AD qui vous aideront à répartir de manière plus granulaire le travail de gestion des applications :Here's an example of new Azure AD administrator roles to help you distribute the work of application management with more granularity:

Nom de rôleRole name Résumé des autorisationsPermissions summary
Administrateur d’applicationApplication Administrator Peut ajouter et gérer les applications d’entreprise et les inscriptions d’application, et configurer les paramètres de proxy d’application.Can add and manage enterprise applications and application registrations, and configure proxy application settings. Les administrateurs d’application peuvent consulter les stratégies d’accès conditionnel et les appareils, mais ne peuvent pas les gérer.Application Administrators can view Conditional Access policies and devices, but not manage them.
Administrateur d’application cloudCloud Application Administrator Peut ajouter et gérer les applications d’entreprise et les inscriptions d’applications d’entreprise.Can add and manage enterprise applications and enterprise app registrations. Ce rôle dispose de toutes les autorisations de l’administrateur d’application, à l’exception près qu’il ne peut pas gérer les paramètres de proxy d’application.This role has all of the permissions of the Application Administrator, except it can't manage application proxy settings.
Développeur d’applicationsApplication Developer Peut ajouter et mettre à jour les inscriptions d’applications d’entreprise, mais ne peut pas gérer les applications d’entreprise ou configurer un proxy d’application.Can add and update application registrations, but can't manage enterprise applications or configure an application proxy.

De nouveaux rôles d’administrateur Azure AD sont ajoutés.New Azure AD administrator roles are being added. Consultez le Portail Azure ou la référence d’autorisation de rôle d’administrateur pour les rôles disponibles actuels.Check the Azure portal or the administrator role permission reference for current available roles.

Assigner l’accès aux applicationsAssign app access

Vous pouvez utiliser Azure AD pour attribuer l’accès de groupe aux applications d’entreprise déployées dans votre organisation Azure AD.You can use Azure AD to assign group access to the enterprise apps that are deployed in your Azure AD organization. Si vous combinez des groupes dynamiques avec affectation de groupe aux applications, vous pouvez automatiser vos affectations d’accès utilisateur aux applications à mesure que votre entreprise se développe.If you combine dynamic groups with group assignment to apps, you can automate your user app access assignments as your organization grows. Vous aurez besoin d’une licence Azure Active Directory Premium P1 ou Premium P2 pour assigner l’accès aux applications d’entreprise.You'll need an Azure Active Directory Premium P1 or Premium P2 license to assign access to enterprise apps.

Azure AD vous permet également de contrôler plus précisément les données qui transitent entre l’application et les groupes auxquels vous assignez l’accès.Azure AD also gives you granular control of the data that flows between the app and the groups to whom you assign access. Dans Applications d’entreprise, ouvrez une application et sélectionnez Provisioning (Approvisionnement) pour :In Enterprise Applications, open an app and select Provisioning to:

  • Configurer l’approvisionnement automatique pour les applications qui le prennent en chargeSet up automatic provisioning for apps that support it
  • Fournir des informations d’identification pour se connecter à l’API de gestion des utilisateurs de l’applicationProvide credentials to connect to the app's user management API
  • Configurer les mappages qui contrôlent les attributs utilisateur qui transitent entre Azure AD et l’application lorsque des comptes d’utilisateur sont approvisionnés ou mis à jourSet up the mappings that control which user attributes flow between Azure AD and the app when user accounts are provisioned or updated
  • Démarrer et arrêter le service d’approvisionnement Azure AD pour une application, effacer le cache d’approvisionnement ou redémarrer le serviceStart and stop the Azure AD provisioning service for an app, clear the provisioning cache, or restart the service
  • Afficher le rapport d’activité d’approvisionnement qui fournit un journal de tous les utilisateurs et groupes créés, mis à jour et supprimés entre Azure AD et l’application, et le rapport d’erreurs d’approvisionnement qui fournit des messages d’erreur plus détaillésView the Provisioning activity report that provides a log of all users and groups created, updated, and removed between Azure AD and the app, and the Provisioning error report that provides more detailed error messages

Étapes suivantesNext steps

Si vous êtes un administrateur Azure AD novice, découvrez les principes de base dans Azure Active Directory Fundamentals (Notions de base d’Azure Active Directory).If you're a beginning Azure AD administrator, get the basics down in Azure Active Directory Fundamentals.

Vous pouvez également commencer à créer des groupes, assigner des licences, assigner l’accès aux applications ou assigner des rôles d’administrateur.Or you can start creating groups, assigning licenses, assigning app access or assigning administrator roles.