Délégation et rôles dans la gestion des droits d’utilisation Azure ADDelegation and roles in Azure AD entitlement management

Par défaut, les administrateurs généraux et les administrateurs d’utilisateurs peuvent créer et gérer tous les aspects de la gestion des droits d’utilisation Azure AD.By default, Global administrators and User administrators can create and manage all aspects of Azure AD entitlement management. Toutefois, les utilisateurs de ces rôles sont susceptibles de ne pas connaître toutes les situations dans lesquelles des packages d’accès sont exigés.However, the users in these roles may not know all the situations where access packages are required. D’ordinaire, il s’agit d’utilisateurs au sein des services, équipes ou projets respectifs qui savent avec qui ils collaborent, en utilisant quelles ressources et pendant combien de temps.Typically it's users within the respective departments, teams, or projects who know who they're collaborating with, using what resources, and for how long. Plutôt que d’accorder des autorisations illimitées aux non-administrateurs, vous pouvez accorder aux utilisateurs les autorisations minimales dont ils ont besoin pour effectuer leur travail et éviter de créer des conflits ou des droits d’accès inappropriés.Instead of granting unrestricted permissions to non-administrators, you can grant users the least permissions they need to do their job and avoid creating conflicting or inappropriate access rights.

Cette vidéo fournit une vue d’ensemble de la délégation de la gouvernance des accès de l’administrateur informatique aux utilisateurs qui ne sont pas administrateurs.This video provides an overview of how to delegate access governance from IT administrator to users who aren't administrators.

Exemple de déléguéDelegate example

Pour comprendre comment déléguer la gouvernance des accès dans le cadre de la gestion des droits d’utilisation, prenons un exemple.To understand how you might delegate access governance in entitlement management, it helps to consider an example. Supposons que votre organisation emploie l’administrateur et les chefs de service suivants.Suppose your organization has the following administrator and managers.

Déléguer de l’administrateur informatique aux chefs

En tant qu’administrateur informatique, Hana a des contacts au sein de chaque service : Mamta du service marketing, Mark du service financier et Joe du service juridique, chacun étant responsable des ressources et du contenu stratégique métier de son service.As the IT administrator, Hana has contacts in each department-- Mamta in Marketing, Mark in Finance, and Joe in Legal who are responsible for their department's resources and business critical content.

Avec la gestion des droits d’utilisation, vous pouvez déléguer la gouvernance des accès à ces non-administrateurs, car il s’agit des personnes qui savent quels utilisateurs ont besoin d’un accès, pendant combien de temps et à quelles ressources.With entitlement management, you can delegate access governance to these non-administrators because they're the ones who know which users need access, for how long, and to which resources. Cette délégation à des non-administrateurs garantit que ce sont les bonnes personnes qui gèrent les accès pour leurs services.Delegating to non-administrators ensures the right people are managing access for their departments.

Voici une façon pour Hana de déléguer la gouvernance des accès aux services marketing, financier et juridique.Here is one way that Hana could delegate access governance to the marketing, finance, and legal departments.

  1. Hana crée un groupe de sécurité Azure AD et ajoute Mamta, Mark et Joe en tant que membres du groupe.Hana creates a new Azure AD security group, and adds Mamta, Mark, and Joe as members of the group.

  2. Hana ajoute ce groupe au rôle de créateur de catalogue.Hana adds that group to the catalog creators role.

    Mamta, Mark et Joe peuvent désormais créer des catalogues pour leurs services, ajouter les ressources dont leurs services ont besoin et effectuer d’autres actions de délégation au sein de leur catalogue.Mamta, Mark, and Joe can now create catalogs for their departments, add resources that their departments need, and do further delegation within the catalog. Ils ne peuvent pas voir les catalogues des autres.They can't see each other's catalogs.

  3. Mamta crée un catalogue Marketing, qui est un conteneur de ressources.Mamta creates a Marketing catalog, which is a container of resources.

  4. Mamta ajoute les ressources que possède son service marketing à ce catalogue.Mamta adds the resources that her marketing department owns to this catalog.

  5. Mamta peut ajouter d’autres personnes de son service comme propriétaires de ce catalogue, ce qui permet de partager les responsabilités de la gestion du catalogue.Mamta can add other people from her department as catalog owners for this catalog, which helps share the catalog management responsibilities.

  6. Mamta peut également déléguer la création et la gestion des packages d’accès dans le catalogue Marketing aux chefs de projet du service marketing.Mamta can further delegate the creation and management of access packages in the Marketing catalog to project managers in the Marketing department. Pour cela, elle peut leur attribuer le rôle de gestionnaire de package d’accès.She can do this by assigning them to the access package manager role. Un gestionnaire de package d’accès peut créer et gérer des packages d’accès.An access package manager can create and manage access packages.

Le diagramme suivant montre les catalogues contenant les ressources des services marketing, financier et juridique.The following diagram shows catalogs with resources for the marketing, finance, and legal departments. À l’aide de ces catalogues, les chefs de projet peuvent créer des packages d’accès pour leurs équipes ou projets.Using these catalogs, project managers can create access packages for their teams or projects.

Exemple de délégation de la gestion des droits d’utilisation

À l’issue de la délégation, le service marketing peut avoir des rôles similaires à ceux indiqués dans le tableau suivant.After delegation, the marketing department might have roles similar to the following table.

UtilisateurUser Fonction principaleJob role Rôle Azure ADAzure AD role Rôle de gestion des droits d’utilisationEntitlement management role
HanaHana Administrateur informatiqueIT administrator Administrateur général ou Administrateur d’utilisateursGlobal administrator or User administrator
MamtaMamta Directrice marketingMarketing manager UtilisateurUser Créateur du catalogue et propriétaire du catalogueCatalog creator and Catalog owner
BobBob Responsable marketingMarketing lead UtilisateurUser Propriétaire de catalogueCatalog owner
JessicaJessica Chef de projet marketingMarketing project manager UtilisateurUser Gestionnaire de package d’accèsAccess package manager

Rôles de gestion des droits d’utilisationEntitlement management roles

La gestion des droits d’utilisation a les rôles suivants, qui sont spécifiques à la gestion des droits d’utilisation.Entitlement management has the following roles that are specific to entitlement management.

Rôle de gestion des droits d’utilisationEntitlement management role DescriptionDescription
Créateur de catalogueCatalog creator Crée et gère des catalogues.Create and manage catalogs. Il s’agit, en général, d’un administrateur informatique qui n’est ni Administrateur d’entreprise, ni propriétaire de ressource pour une collection de ressources.Typically an IT administrator who isn't a Global administrator, or a resource owner for a collection of resources. La personne qui crée un catalogue devient automatiquement le premier propriétaire du catalogue et peut ajouter des propriétaires de catalogues.The person that creates a catalog automatically becomes the catalog's first catalog owner, and can add more catalog owners. Un créateur de catalogue ne peut ni gérer ni voir les catalogues dont il n’est pas propriétaire, et ne peut pas ajouter à un catalogue les ressources dont il n’est pas propriétaire.A catalog creator can’t manage or see catalogs that they don’t own and can’t add resources they don’t own to a catalog. Si le créateur de catalogue doit gérer un autre catalogue ou ajouter des ressources dont il n’est pas propriétaire, il peut demander à être copropriétaire de ce catalogue ou de cette ressource.If the catalog creator needs to manage another catalog or add resources they don’t own, they can request to be a co-owner of that catalog or resource.
Propriétaire de catalogueCatalog owner Modifie et gère les catalogues existants.Edit and manage existing catalogs. Il s’agit, en général, d’un administrateur informatique, d’un propriétaire de ressource ou d’un utilisateur désigné par le propriétaire du catalogue.Typically an IT administrator or resource owners, or a user who the catalog owner has chosen.
Gestionnaire de package d’accèsAccess package manager Modifie et gère tous les packages d’accès existants au sein d’un catalogue.Edit and manage all existing access packages within a catalog.
Gestionnaire d'attribution de package d'accèsAccess package assignment manager Modifie et gère toutes les affectations de packages d’accès existantes.Edit and manage all existing access packages' assignments.

De plus, l’approbateur choisi et un demandeur d’un package d’accès ont des droits, bien qu’il ne s’agisse pas de rôles.Also, the chosen approver and a requestor of an access package have rights, although they're not roles.

RightRight DescriptionDescription
ApprobateurApprover Personne autorisée par une stratégie à approuver ou refuser des demandes de packages d’accès, bien qu’elle ne puisse pas modifier les définitions de ces derniers.Authorized by a policy to approve or deny requests to access packages, though they can't change the access package definitions.
DemandeurRequestor personne autorisée par la stratégie d’un package d’accès à demander ce package d’accès.Authorized by a policy of an access package to request that access package.

Le tableau suivant liste les tâches que les rôles de gestion des droits d’utilisation peuvent effectuer.The following table lists the tasks that the entitlement management roles can do.

TâcheTask AdminAdmin Créateur de catalogueCatalog creator Propriétaire de catalogueCatalog owner Gestionnaire de package d’accèsAccess package manager Gestionnaire d'attribution de package d'accèsAccess package assignment manager
Déléguer à un créateur de catalogueDelegate to a catalog creator ✔️
Ajouter une organisation connectéeAdd a connected organization ✔️
Créer un catalogueCreate a new catalog ✔️ ✔️
Ajouter une ressource à un catalogueAdd a resource to a catalog ✔️ ✔️
Ajouter un propriétaire de catalogueAdd a catalog owner ✔️ ✔️
Modifier un catalogueEdit a catalog ✔️ ✔️
Supprimer un catalogueDelete a catalog ✔️ ✔️
Déléguer à un gestionnaire de package d’accèsDelegate to an access package manager ✔️ ✔️
Supprimer un gestionnaire de package d’accèsRemove an access package manager ✔️ ✔️
Créer un package d’accès dans un catalogueCreate a new access package in a catalog ✔️ ✔️ ✔️
Modifier des rôles de ressources dans un package d’accèsChange resource roles in an access package ✔️ ✔️ ✔️
Créer et modifier des stratégiesCreate and edit policies ✔️ ✔️ ✔️
Affecter directement un utilisateur à un package d’accèsDirectly assign a user to an access package ✔️ ✔️ ✔️ ✔️
Supprimer directement un utilisateur d’un package d’accèsDirectly remove a user from an access package ✔️ ✔️ ✔️ ✔️
Afficher qui a une affectation à un package d’accèsView who has an assignment to an access package ✔️ ✔️ ✔️ ✔️
Afficher les requêtes d’un package d’accèsView an access package's requests ✔️ ✔️ ✔️ ✔️
Afficher les erreurs de remise d’une requêteView a request's delivery errors ✔️ ✔️ ✔️ ✔️
Retraiter une demandeReprocess a request ✔️ ✔️ ✔️ ✔️
Annuler une requête en attenteCancel a pending request ✔️ ✔️ ✔️ ✔️
Masquer un package d’accèsHide an access package ✔️ ✔️ ✔️
Supprimer un package d’accèsDelete an access package ✔️ ✔️ ✔️

Rôles requis pour ajouter des ressources à un catalogueRequired roles to add resources to a catalog

Un Administrateur d’entreprise peut ajouter ou supprimer n’importe quel groupe (groupes de sécurité ou groupes Microsoft 365 créés dans le cloud), application ou site SharePoint Online d’un catalogue.A Global administrator can add or remove any group (cloud-created security groups or cloud-created Microsoft 365 Groups), application, or SharePoint Online site in a catalog. Un administrateur d’utilisateurs peut ajouter ou supprimer tout groupe ou toute application dans un catalogue, à l’exception d’un groupe configuré comme étant assignable à un rôle d’annuaire.A User administrator can add or remove any group or application in a catalog, except for a group configured as assignable to a directory role. Notez qu’un administrateur d’utilisateurs peut manager des packages d’accès dans un catalogue qui comprend des groupes configurés comme pouvant se voir attribuer un rôle d’annuaire.Note that a user administrator can manage access packages in a catalog that includes groups configured as assignable to a directory role. Pour plus d’informations sur les groupes avec attribution de rôle, consultez Créer un groupe avec attribution de rôle dans Azure Active Directory.For more information on role-assignable groups, reference Create a role-assignable group in Azure Active Directory.

Afin qu’un utilisateur, qui n’est ni administrateur général, ni administrateur d’utilisateurs, puisse ajouter des groupes, des applications ou des sites SharePoint Online à un catalogue, cet utilisateur doit disposer à la fois du rôle d’annuaire Azure AD nécessaire et du rôle de gestion des droits d’utilisation de propriétaire de catalogue.For a user who isn't a Global administrator or a User administrator, to add groups, applications, or SharePoint Online sites to a catalog, that user must have both the required Azure AD directory role and catalog owner entitlement management role. Le tableau suivant répertorie les combinaisons de rôles nécessaires pour ajouter des ressources à un catalogue.The following table lists the role combinations that are required to add resources to a catalog. Pour supprimer les ressources d’un catalogue, vous devez disposer des mêmes rôles.To remove resources from a catalog, you must have the same roles.

Rôle d’annuaire Azure ADAzure AD directory role Rôle de gestion des droits d’utilisationEntitlement management role Peut ajouter un groupe de sécuritéCan add security group Peut ajouter un groupe Microsoft 365Can add Microsoft 365 Group Peut ajouter une applicationCan add app Peut ajouter un site SharePoint OnlineCan add SharePoint Online site
Administrateur généralGlobal administrator n/an/a ✔️ ✔️ ✔️ ✔️
Administrateur d’utilisateursUser administrator n/an/a ✔️ ✔️ ✔️
Administrateur IntuneIntune administrator Propriétaire de catalogueCatalog owner ✔️ ✔️
Administrateur ExchangeExchange administrator Propriétaire de catalogueCatalog owner ✔️
Administrateur du service TeamsTeams service administrator Propriétaire de catalogueCatalog owner ✔️
Administrateur SharePointSharePoint administrator Propriétaire de catalogueCatalog owner ✔️ ✔️
Administrateur d’applicationApplication administrator Propriétaire de catalogueCatalog owner ✔️
Administrateur d’application cloudCloud application administrator Propriétaire de catalogueCatalog owner ✔️
UtilisateurUser Propriétaire de catalogueCatalog owner Seulement si propriétaire d’un groupeOnly if group owner Seulement si propriétaire d’un groupeOnly if group owner Seulement si propriétaire d’une applicationOnly if app owner

Pour déterminer le rôle le moins privilégié pour une tâche, vous pouvez également référencer les rôles d’administrateur par tâche administrateur dans Azure Active Directory.To determine the least privileged role for a task, you can also reference Administrator roles by admin task in Azure Active Directory.

Étapes suivantesNext steps