Gérer l’accès aux applications et aux ressources à l’aide de groupes Azure Active DirectoryManage app and resource access using Azure Active Directory groups

Azure Active Directory (Azure AD) vous permet d’utiliser des groupes pour gérer l’accès à vos applications basées sur le cloud, applications locales et ressources.Azure Active Directory (Azure AD) lets you use groups to manage access to your cloud-based apps, on-premises apps, and your resources. Vos ressources peuvent faire partie de l’organisation Azure AD, comme les autorisations de gestion des objets par le biais de rôles dans Azure AD, ou être externes à l’organisation, comme les applications Logiciel en tant que service (SaaS), les services Azure, les sites SharePoint et les ressources locales.Your resources can be part of the Azure AD organization, such as permissions to manage objects through roles in Azure AD, or external to the organization, such as for Software as a Service (SaaS) apps, Azure services, SharePoint sites, and on-premises resources.

Notes

Dans le portail Azure, vous pouvez voir des groupes dont vous ne pouvez pas gérer l’appartenance et les détails dans le portail :In the Azure portal, you can see some groups whose membership and group details you can't manage in the portal:

  • Les groupes synchronisés à partir d’Active Directory local ne peuvent être gérés que dans Active Directory local.Groups synced from on-premises Active Directory can be managed only in on-premises Active Directory.
  • D’autres types de groupes, comme les listes de distribution et les groupes de sécurité à extension messagerie, sont gérés uniquement dans le Centre d’administration Exchange ou le Centre d’administration Microsoft 365.Other group types such as distribution lists and mail-enabled security groups are managed only in Exchange admin center or Microsoft 365 admin center. Vous devez vous connecter au Centre d’administration Exchange ou au Centre d’administration Microsoft 365 pour gérer ces groupes.You must sign in to Exchange admin center or Microsoft 365 admin center to manage these groups.

Fonctionnement de la gestion de l’accès dans Azure ADHow access management in Azure AD works

Azure AD vous permet d’accorder des accès aux ressources de votre organisation en fournissant des droits d’accès à un utilisateur individuel ou à tout un groupe Azure AD.Azure AD helps you give access to your organization's resources by providing access rights to a single user or to an entire Azure AD group. L’utilisation de groupes permet au propriétaire de ressources (ou propriétaire de répertoires Azure AD) d’assigner un ensemble d’autorisations d’accès à tous les membres du groupe, plutôt que d’avoir à fournir les droits un par un.Using groups lets the resource owner (or Azure AD directory owner), assign a set of access permissions to all the members of the group, instead of having to provide the rights one-by-one. Le propriétaire de ressources ou de répertoires peut également accorder des droits de gestion pour la liste des membres à quelqu’un d’autre, comme un responsable de service ou un administrateur du support technique, pour permettre à cette personne d’ajouter et de supprimer des personnes comme nécessaire.The resource or directory owner can also give management rights for the member list to someone else, such as a department manager or a Helpdesk administrator, letting that person add and remove members, as needed. Pour plus d’informations sur la gestion des propriétaires de groupes, consultez Gestion des propriétaires d’un groupeFor more information about how to manage group owners, see Manage group owners

Diagramme de gestion des accès Azure Active Directory

Méthodes d’assignation des droits d’accèsWays to assign access rights

Quatre méthodes vous permettent d’assigner des droits d’accès aux ressources à vos utilisateurs :There are four ways to assign resource access rights to your users:

  • Assignation directe.Direct assignment. Le propriétaire de la ressource assigne directement l’utilisateur à la ressource.The resource owner directly assigns the user to the resource.

  • Assignation de groupe.Group assignment. Le propriétaire de la ressource assigne un groupe Azure AD à la ressource, ce qui accorde automatiquement l’accès à la ressource à tous les membres du groupe.The resource owner assigns an Azure AD group to the resource, which automatically gives all of the group members access to the resource. L’appartenance au groupe est gérée par le propriétaire du groupe et le propriétaire de la ressource, ce qui leur permet d’ajouter ou de supprimer des membres du groupe.Group membership is managed by both the group owner and the resource owner, letting either owner add or remove members from the group. Pour plus d’informations sur l’ajout ou la suppression de membres du groupe, consultez Comment : ajouter ou supprimer un groupe d’un autre groupe à l’aide du portail Azure Active Directory.For more information about adding or removing group membership, see How to: Add or remove a group from another group using the Azure Active Directory portal.

  • Assignation basée sur des règles.Rule-based assignment. Le propriétaire de la ressource crée un groupe et utilise une règle pour définir quels sont les utilisateurs assignés à une ressource spécifique.The resource owner creates a group and uses a rule to define which users are assigned to a specific resource. La règle est basée sur des attributs qui sont assignés à des utilisateurs individuels.The rule is based on attributes that are assigned to individual users. Le propriétaire de la ressource gère la règle, en déterminant les attributs et les valeurs nécessaires pour autoriser l’accès à la ressource.The resource owner manages the rule, determining which attributes and values are required to allow access the resource. Pour plus d’informations, consultez Créer un groupe dynamique et vérifier l’état.For more information, see Create a dynamic group and check status.

    Vous pouvez également regarder cette courte vidéo vous expliquant rapidement la création et l’utilisation de groupes dynamiques :You can also Watch this short video for a quick explanation about creating and using dynamic groups:

  • Assignation d’autorité externe.External authority assignment. L’accès provient d’une source externe, comme un répertoire local ou une application SaaS.Access comes from an external source, such as an on-premises directory or a SaaS app. Dans cette situation, le propriétaire de la ressource assigne un groupe pour fournir l’accès à la ressource, puis la source externe gère les membres du groupe.In this situation, the resource owner assigns a group to provide access to the resource and then the external source manages the group members.

    Présentation du diagramme de gestion des accès

Les utilisateurs peuvent-ils rejoindre des groupes sans assignation ?Can users join groups without being assigned?

Le propriétaire de groupes peut autoriser les utilisateurs à chercher le groupe qu’ils souhaitent rejoindre plutôt que de les assigner à un groupe.The group owner can let users find their own groups to join, instead of assigning them. En outre, le propriétaire peut configurer le groupe pour qu’il accepte automatiquement tous les utilisateurs qui veulent le rejoindre ou pour qu’il demande une approbation.The owner can also set up the group to automatically accept all users that join or to require approval.

Après qu’un utilisateur a demandé à rejoindre un groupe, la requête est transférée au propriétaire du groupe.After a user requests to join a group, the request is forwarded to the group owner. Si nécessaire, le propriétaire peut approuver la requête, et l’utilisateur reçoit une notification l’informant de son appartenance au groupe.If it's required, the owner can approve the request and the user is notified of the group membership. Toutefois, si vous avez plusieurs propriétaires et si l’un d’eux refuse la requête, l’utilisateur en est informé et n’est pas ajouté au groupe.However, if you have multiple owners and one of them disapproves, the user is notified, but isn't added to the group. Pour obtenir plus d’informations et d’instructions sur la façon dont vous pouvez autoriser vos utilisateurs à demander à rejoindre des groupes, consultez Configurer Azure Active Directory pour la gestion de groupes en libre-serviceFor more information and instructions about how to let your users request to join groups, see Set up Azure AD so users can request to join groups

Étapes suivantesNext steps

Maintenant que vous connaissez un peu mieux la gestion des accès à l’aide de groupes, vous commencez à gérer vos ressources et applications.Now that you have a bit of an introduction to access management using groups, you start to manage your resources and apps.