Rôles intégrés Azure AD

Dans Azure Active Directory (Azure AD), si un autre administrateur ou utilisateur non administrateur doit gérer les ressources Azure AD, attribuez-lui un rôle Azure AD qui fournit les autorisations dont il a besoin. Par exemple, vous pouvez attribuer des rôles pour permettre l’ajout ou la modification d’utilisateurs, la réinitialisation des mots de passe des utilisateurs, la gestion des licences d’utilisation ou la gestion des noms de domaine.

Cet article répertorie les rôles intégrés Azure AD que vous pouvez attribuer pour permettre la gestion des ressources Azure AD. Pour obtenir des informations sur la procédure d’attribution de rôles, consultez Attribuer des rôles Azure AD aux utilisateurs.

Tous les rôles

Role Description ID de modèle
Administrateur d’application Peut créer et gérer tous les aspects des inscriptions d’applications et des applications d’entreprise. 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Développeur d’applications Peut créer des inscriptions d’applications indépendamment du paramètre « Les utilisateurs peuvent inscrire des applications ». cf1c38e5-3621-4004-a7cb-879624dced7c
Auteur de charge utile d'attaque Peut créer des charges utiles d’attaque qu’un administrateur peut lancer plus tard. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Administrateur de simulation d'attaque Peut créer et gérer tous les aspects des campagnes de simulation d'attaque. c430b396-e693-46cc-96f3-db01bf8bb62a
Administrateur d’authentification Peut accéder pour afficher, définir et réinitialiser les informations de méthode d’authentification pour tout utilisateur non administrateur. c4e39bd9-1100-46d3-8c65-fb160da0071f
Administrateur de la stratégie d’authentification Peut créer et gérer la stratégie relative aux méthodes d'authentification, les paramètres d'authentification multifacteur à l'échelle du locataire, la stratégie de protection par mot de passe et les justificatifs vérifiables. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Administrateur local de l’appareil joint Azure AD Les utilisateurs dotés de ce rôle sont ajoutés au groupe d’administrateurs locaux sur des appareils joints à AD Azure. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Administrateur Azure DevOps Peut gérer la stratégie et les paramètres de l’organisation Azure DevOps. e3973bdf-4987-49ae-837a-ba8e231c7286
Administrateur Azure Information Protection Peut gérer tous les aspects du produit Azure Information Protection. 7495fdc4-34c4-4d15-a289-98788ce399fd
Administrateur de jeux de clés B2C IEF Peut gérer les secrets pour la fédération et le chiffrement dans Identity Experience Framework (IEF). aaf43236-0c0d-4d5f-883a-6955382ac081
Administrateur de stratégies B2C IEF Peut créer et gérer les stratégies de framework de confiance dans Identity Experience Framework (IEF). 3edaf663-341e-4475-9f94-5c398ef6c070
Administrateur de facturation Peut effectuer des tâches de facturation courantes, comme la mise à jour des informations de paiement. b0f54661-2d74-4c50-afa3-1ec803f12efe
Administrateur d’application cloud Peut créer et gérer tous les aspects des inscriptions d’applications et des applications d’entreprise, à l’exception du proxy d’application. 158c047a-c907-4556-b7ef-446551a6b5f7
Administrateur d’appareil cloud Accès limité pour gérer des appareils dans Azure AD. 7698a772-787b-4ac8-901f-60d6b08affd2
Administrateur de conformité Peut lire et gérer la configuration de la conformité et les rapports dans Azure AD et Microsoft 365. 17315797-102d-40b4-93e0-432062caca18
Administrateur des données de conformité Crée et gère le contenu de conformité. e6d1a23a-da11-4be4-9570-befc86d067a7
Administrateur de l’accès conditionnel Peut gérer les fonctionnalités d’accès conditionnel. b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Approbateur d’accès à Customer LockBox Peut approuver les demandes de support Microsoft pour accéder aux données organisationnelles du client. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Administrateur Desktop Analytics Peut utiliser et gérer des services et outils de gestion de bureau. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Lecteurs de répertoire Peut lire les informations d’annuaire de base. Couramment utilisé pour accorder à l’annuaire l’accès en lecture aux applications et aux invités. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Comptes de synchronisation d’annuaires Utilisés uniquement par le service Azure AD Connect. d29b2b05-8046-44ba-8758-1e26182fcf32
Enregistreurs de répertoire Peut lire et écrire des informations d’annuaire de base. Pour accorder l’accès aux applications, non destiné aux utilisateurs. 9360feb5-f418-4baa-8175-e2a00bac4301
Administrateur de nom de domaine Peut gérer les noms de domaine dans le cloud et localement. 8329153b-31d0-4727-b945-745eb3bc5f31
Administrateur Dynamics 365 Peut gérer tous les aspects du produit Dynamics 365. 44367163-eba1-44c3-98af-f5787879f96a
Administrateur Exchange Peut gérer tous les aspects du produit Exchange. 29232cdf-9323-42fd-ade2-1d097af3e4de
Administrateur des destinataires Exchange Peut créer ou mettre à jour des destinataires Exchange Online dans l’organisation Exchange Online. 31392ffb-586c-42d1-9346-e59415a2cc4e
Administrateur de flux d’utilisateurs ID externe Peut créer et gérer tous les aspects des flux utilisateur. 6e591065-9bad-43ed-90f3-e9424366d2f0
Administrateur d’attribut de flux d’utilisateurs ID externe Peut créer et gérer le schéma d’attribut disponible pour tous les flux utilisateur. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Administrateur de fournisseurs d’identité externes Peut configurer les fournisseurs d’identité pour une utilisation dans la fédération directe. be2f45a1-457d-42af-a067-6ec1fa63bc45
Administrateur général Peut gérer tous les aspects d’Azure AD et des services Microsoft qui utilisent des identités Azure AD. 62e90394-69f5-4237-9190-012177145e10
Lecteur général Peut lire tous les éléments comme un administrateur général, mais ne peut pas mettre à jour. f2ef992c-3afb-46b9-b7cf-a126ee74c451
Administrateur de groupes Les membres de ce rôle peuvent créer/gérer des groupes, créer/gérer des paramètres de groupes tels que des stratégies de nommage et d’expiration, ainsi qu’afficher des rapports d’activité et d’audit de groupes. fdd7a751-b60b-444a-984c-02652fe8fa1c
Inviteur d’invités Peut inviter des utilisateurs invités indépendamment du paramètre « Les membres peuvent inviter des invités ». 95e79109-95c0-4d8e-aee3-d01accf2d47b
Administrateur du support technique Peut réinitialiser des mots de passe pour les utilisateurs non-administrateurs et les administrateurs du support technique. 729827e3-9c14-49f7-bb1b-9608f156bbb8
Administrateur d’identité hybride Peut gérer les paramètres d’approvisionnement d’AD au cloud Azure AD, d’Azure AD Connect et de fédération. 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Administrateur Insights Dispose d’un accès administratif dans l’application Microsoft 365 Insights. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Leader d’entreprise Insights Peut voir et partager des tableaux de bord et des insights par le biais de l’application M365 Insights. 31e939ad-9672-4796-9c2e-873181342d2d
Administrateur Intune Peut gérer tous les aspects du produit Intune. 3a2c62db-5318-420d-8d74-23affee5d9d5
Administrateur Kaizala Peut gérer les paramètres de Microsoft Kaizala. 74ef975b-6605-40af-a5d2-b9539d836353
Administrateur des connaissances Peut configurer les connaissances, l’apprentissage et d’autres fonctionnalités intelligentes. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Gestionnaire des connaissances Peut organiser, créer, gérer et promouvoir des rubriques et des connaissances. 744ec460-397e-42ad-a462-8b3f9747a02c
Administrateur de licence Peut gérer les licences de produit pour les utilisateurs et les groupes. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Lecteur de confidentialité du Centre de messages Peut lire les messages et les mises à jour de sécurité uniquement dans le Centre de messages Office 365. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Lecteur du Centre de messages Peut lire les messages et les mises à jour de son organisation dans le Centre de messages Office 365 uniquement. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Utilisateur de Commerce moderne Peut gérer les achats commerciaux d’une société, d’un service ou d’une équipe. d24aef57-1500-4070-84db-2666f29cf966
Administrateur réseau Peut gérer les emplacements réseau et passer en revue les insights sur la conception réseau de l’entreprise pour les applications Software as a Service Microsoft 365. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Administrateur d’applications Office Peut gérer les services cloud des applications Office, notamment la gestion des stratégies et des paramètres, et gérer la possibilité de sélectionner, de désélectionner et de publier le contenu de la fonctionnalité « Nouveautés » sur les appareils de l’utilisateur final. 2b745bdf-0803-4d80-aa65-822c4493daac
Prise en charge de niveau 1 de partenaire Ne pas utiliser - non destiné à une utilisation générale. 4ba39ca4-527c-499a-b93d-d9b492c50246
Prise en charge de niveau 2 de partenaire Ne pas utiliser - non destiné à une utilisation générale. e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Administrateur de mots de passe Peut réinitialiser les mots de passe pour les utilisateurs non administrateurs et les administrateurs de mot de passe. 966707d0-3269-4727-9be2-8c3a10f19b9d
Administrateur Power BI Peut gérer tous les aspects du produit Power BI. a9ea8996-122f-4c74-9520-8edcd192826c
Administrateur de plateforme Power Peut créer et gérer tous les aspects de Microsoft Dynamics 365, PowerApps et Microsoft Flow. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Administrateur d’imprimantes Peut gérer tous les aspects des imprimantes et des connecteurs d’imprimantes. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Technicien en charge des imprimantes Peut inscrire et désinscrire des imprimantes et mettre à jour l’état de l’imprimante. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Administrateur d’authentification privilégié Peut afficher, définir et réinitialiser les informations de méthode d’authentification pour tout utilisateur (administrateur ou non administrateur). 7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Administrateur de rôle privilégié Peut gérer les attributions de rôles dans Azure AD, et tous les aspects de Privileged Identity Management. e8611ab8-c189-46e8-94e1-60213ab1f814
Lecteur de rapports Peut lire les rapports d’audit et sur les connexions. 4a5d8f65-41da-4de4-8968-e035b65339cf
Administrateur de recherche Peut créer et gérer tous les aspects des paramètres de Recherche Microsoft. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Éditeur de recherche Peut créer et gérer le contenu éditorial comme les signets, les questions et réponses, les emplacements et les plans d’étage. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Administrateur de la sécurité Peut lire des rapports et des informations de sécurité, ainsi que gérer la configuration dans Azure AD et Office 365. 194ae4cb-b126-40b2-bd5b-6091b380977d
Opérateur de sécurité Crée et gère les événements de sécurité. 5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Lecteur de sécurité Peut lire des rapports et des informations de sécurité dans Azure AD et Office 365. 5d6b6bb7-de71-4623-b4af-96380a352509
Administrateur de support de service Peut lire des informations sur l’intégrité du service et gérer les tickets de support. f023fd81-a637-4b56-95fd-791ac0226033
Administrateur SharePoint Peut gérer tous les aspects du service SharePoint. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Administrateur Skype Entreprise Peut gérer tous les aspects du produit Skype Entreprise. 75941009-915a-4869-abe7-691bff18279e
Administrateur Teams Peut gérer le service Microsoft Teams. 69091246-20e8-4a56-aa4d-066075b2a7a8
Administrateur des communications Teams Peut gérer les fonctionnalités d’appel et de réunion au sein du service Microsoft Teams. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Ingénieur de support des communications Teams Peut résoudre les problèmes de communication au sein de Teams à l’aide d’outils avancés. f70938a0-fc10-4177-9e90-2178f8765737
Spécialiste du support des communications Teams Peut résoudre les problèmes de communication au sein de Teams à l’aide d’outils de base. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Administrateur d’appareils Teams Peut effectuer des tâches d’administration sur des appareils certifiés Teams. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Lecteur de rapports de synthèse sur l'utilisation Ne peut voir que les agrégats au niveau locataire dans les rapports Analyse de l’utilisation et Score de productivité de Microsoft 365. 75934031-6c7e-415a-99d7-48dbd49e875e
Administrateur d’utilisateurs Peut gérer tous les aspects des utilisateurs et groupes, notamment la réinitialisation des mots de passe pour les administrateurs limités. fe930be7-5e62-47db-91af-98c3a49a38b1

Administrateur d’application

Les utilisateurs dans ce rôle peuvent créer et gérer tous les aspects des applications d’entreprise, des inscriptions d’application et des paramètres de proxy d’application. Notez que les utilisateurs affectés à ce rôle ne sont pas ajoutés en tant que propriétaires lorsque des inscriptions d’applications ou des applications d’entreprise sont créées.

Ce rôle permet également de consentir des autorisations déléguées et autorisations d’application, à l’exclusion des autorisations d’application pour Microsoft Graph et Azure AD Graph.

Important

Cette exception signifie que vous pouvez toujours accepter les autorisations pour d’autres applications (par exemple les applications Microsoft ou les applications que vous avez inscrites). Vous pouvez toujours demander ces autorisations dans le cadre de l’inscription d’application, mais l’octroi de ces autorisations requiert un administrateur plus privilégié, tel un administrateur général.

Ce rôle permet de gérer des informations d’identification d’application. Les utilisateurs auxquels ce rôle a été attribué peuvent ajouter des informations d’identification à une application et les utiliser pour emprunter l’identité de l’application. Si l’identité de l’application a obtenu l’accès à une ressource, telle que la possibilité de créer ou de mettre à jour un utilisateur ou d’autres objets, un utilisateur auquel ce rôle a été attribué peut effectuer ces actions en empruntant l’identité de l’application. Cette capacité à emprunter l’identité de l’application peut correspondre une élévation de privilèges que l’utilisateur réalise dans ses attributions de rôle. Il est important de comprendre que l’affectation d’un utilisateur au rôle Administrateur d’applications lui donne la possibilité d’emprunter l’identité d’une application.

Actions Description
microsoft.directory/applications/create Créer tous les types d’applications
microsoft.directory/applications/delete Supprimer tous les types d’applications
microsoft.directory/applications/applicationProxy/read Lire toutes les propriétés du proxy d’application
microsoft.directory/applications/applicationProxy/update Mettre à jour toutes les propriétés du proxy d’application
microsoft.directory/applications/applicationProxyAuthentication/update Mettre à jour l’authentification sur tous les types d’applications
microsoft.directory/applications/applicationProxySslCertificate/update Mettre à jour les paramètres de certificat SSL pour le proxy d’application
microsoft.directory/applications/applicationProxyUrlSettings/update Mettre à jour les paramètres d’URL pour le proxy d’application
microsoft.directory/applications/appRoles/update Mettre à jour la propriété appRoles sur tous les types d’applications
microsoft.directory/applications/audience/update Mettre à jour la propriété audience pour les applications
microsoft.directory/applications/authentication/update Mettre à jour l’authentification sur tous les types d’applications
microsoft.directory/applications/basic/update Mettre à jour les propriétés de base pour les applications
microsoft.directory/applications/credentials/update Mettre à jour les informations d’identification d’application
microsoft.directory/applications/owners/update Mettre à jour les propriétaires d’applications
microsoft.directory/applications/permissions/update Mettre à jour les autorisations exposées et les autorisations requises sur tous les types d’applications
microsoft.directory/applications/policies/update Mettre à jour les stratégies d’applications
microsoft.directory/applications/verification/update Mettre à jour la propriété applicationsverification
microsoft.directory/applications/synchronization/standard/read Lire les paramètres de provisionnement associés à l’objet application
microsoft.directory/applicationTemplates/instantiate Instancier des applications de la galerie à partir de modèles d’application
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés dans les journaux d’audit, y compris les propriétés privilégiées
microsoft.directory/connectors/create Créer des connecteurs de proxy d’application
microsoft.directory/connectors/allProperties/read Lire toutes les propriétés des connecteurs de proxy d’application
microsoft.directory/connectorGroups/create Créer des groupes de connecteurs de proxy d’application
microsoft.directory/connectorGroups/delete Supprimer des groupes de connecteurs de proxy d’application
microsoft.directory/connectorGroups/allProperties/read Lire toutes les propriétés des groupes de connecteurs de proxy d’application
microsoft.directory/connectorGroups/allProperties/update Mettre à jour toutes les propriétés des groupes de connecteurs de proxy d’application
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Créer et supprimer des octrois d’autorisations OAuth 2.0, et lire et mettre à jour toutes les propriétés
microsoft.directory/applicationPolicies/create Créer des stratégies d’application
microsoft.directory/applicationPolicies/delete Supprimer des stratégies d’application
microsoft.directory/applicationPolicies/standard/read Lire les propriétés standard des stratégies d’application
microsoft.directory/applicationPolicies/owners/read Lire les propriétaires des stratégies d’application
microsoft.directory/applicationPolicies/policyAppliedTo/read Lire les stratégies d’application appliquées à la liste d’objets
microsoft.directory/applicationPolicies/basic/update Mettre à jour les propriétés standard des stratégies d’application
microsoft.directory/applicationPolicies/owners/update Mettre à jour la propriété Owner des stratégies d’application
microsoft.directory/provisioningLogs/allProperties/read Lire toutes les propriétés des journaux de provisionnement.
microsoft.directory/servicePrincipals/create Créer des principaux de service
microsoft.directory/servicePrincipals/delete Supprimer des principaux de service
microsoft.directory/servicePrincipals/disable Désactiver des principaux de service
microsoft.directory/servicePrincipals/enable Activer des principaux de service
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Gérer les informations d’identification de l’authentification unique par mot de passe sur les principaux de service
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gérer les secrets et les informations d’identification de l’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronizationJobs/manage Démarrer, redémarrer et suspendre les travaux de synchronisation d’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronizationSchema/manage Créer et gérer le schéma et les tâches de synchronisation de l’approvisionnement des applications
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Lire les informations d’identification de l’authentification unique par mot de passe sur les principaux de service
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Consentir des autorisations d’application et des autorisations déléguées pour le compte d’un utilisateur ou de tous les utilisateurs, à l’exclusion des autorisations d’application pour Microsoft Graph et Azure AD Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Mettre à jour les attributions de rôles des principaux de service
microsoft.directory/servicePrincipals/audience/update Mettre à jour les propriétés d’audience sur les principaux de service
microsoft.directory/servicePrincipals/authentication/update Mettre à jour les propriétés d’authentification sur les principaux de service
microsoft.directory/servicePrincipals/basic/update Mettre à jour les propriétés de base sur les principaux de service
microsoft.directory/servicePrincipals/credentials/update Mettre à jour informations d’identification des principaux de service
microsoft.directory/servicePrincipals/owners/update Mettre à jour les propriétaires de principaux de service
microsoft.directory/servicePrincipals/permissions/update Mettre à jour les autorisations des principaux de service
microsoft.directory/servicePrincipals/policies/update Mettre à jour les stratégies des principaux de service
microsoft.directory/servicePrincipals/tag/update Mettre à jour la propriété Tag pour les principaux de service
microsoft.directory/servicePrincipals/synchronization/standard/read Lire les paramètres de provisionnement associés au principal de service
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Développeur d’applications

Les utilisateurs dans ce rôle peuvent créer des inscriptions d’application quand le paramètre « Les utilisateurs peuvent inscrire des applications » est défini sur Non. Ce rôle octroie aussi l’autorisation de donner son consentement en son propre nom lorsque le paramètre « Les utilisateurs peuvent autoriser les applications à accéder aux données de l’entreprise en leur nom » est défini sur Non. Les utilisateurs affectés à ce rôle sont ajoutés en tant que propriétaires lorsque des inscriptions d’applications ou des applications d’entreprise sont créées.

Actions Description
microsoft.directory/applications/createAsOwner Créer tous les types d’applications, le créateur étant ajouté comme premier propriétaire
microsoft.directory/appRoleAssignments/createAsOwner Créer des attributions de rôles d’application, avec le créateur comme premier propriétaire
microsoft.directory/oAuth2PermissionGrants/createAsOwner Créer des octrois d’autorisation OAuth 2.0, avec le créateur comme premier propriétaire
microsoft.directory/servicePrincipals/createAsOwner Créer des principaux de service, avec le créateur comme premier propriétaire

Auteur de charge utile d'attaque

Les utilisateurs disposant de ce rôle peuvent créer des charges utiles d'attaque, mais pas les lancer ou les programmer. Les charges utiles d'attaque sont ensuite à la disposition de tous les administrateurs du locataire, qui peuvent les utiliser pour créer une simulation.

Actions Description
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Créer et gérer des charges utiles d’attaque dans le Simulateur d’attaques
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Lire les rapports de simulation d’attaque, les réponses et la formation associée

Administrateur de simulation d'attaque

Les utilisateurs disposant de ce rôle peuvent créer et gérer tous les aspects de la création d'une simulation d'attaque, du lancement ou de la planification d'une simulation, et de l'examen des résultats d'une simulation. Les membres de ce rôle ont accès à toutes les simulations du locataire.

Actions Description
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Créer et gérer des charges utiles d’attaque dans le Simulateur d’attaques
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Lire les rapports de simulation d’attaque, les réponses et la formation associée
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Créer et gérer des modèles de simulation d’attaque dans le Simulateur d’attaques

Administrateur d’authentification

Les utilisateurs disposant de ce rôle peuvent définir ou réinitialiser toute méthode d’authentification (y compris les mots de passe) pour les non-administrateurs et certains rôles. Les administrateurs d’authentification peuvent obliger les utilisateurs qui ne sont pas administrateurs ou sont attribués à certains rôles à se réinscrire avec des informations d’identification sans mot de passe existantes (par exemple, MFA, FIDO) et peuvent également révoquer la mémorisation de l’authentification multifacteur sur l’appareil, ce qui permet de demander une authentification multifacteur lors de la prochaine connexion. Pour obtenir la liste des rôles pour lesquels un administrateur d’authentification peut lire ou mettre à jour des méthodes d’authentification, consultez Autorisations de réinitialisation de mot de passe.

Le rôle Administrateur d’authentification privilégié a l’autorisation de forcer la réinscription et l’authentification multifacteur pour tous les utilisateurs.

Le rôle d’administrateur de la stratégie d’authentification dispose des autorisations nécessaires pour définir la stratégie de méthode d’authentification du locataire qui détermine les méthodes que chaque utilisateur peut inscrire et utiliser.

Role Gérer les méthodes d’authentification de l’utilisateur Gérer l’authentification multifacteur par utilisateur Gérer les paramètres de l’authentification multifacteur Gérer la stratégie de méthode d’authentification Gérer la stratégie de protection par mot de passe
Administrateur d’authentification Oui pour certains utilisateurs (voir ci-dessus) Oui pour certains utilisateurs (voir ci-dessus) Non Non Non
Administrateur d’authentification privilégié Oui pour tous les utilisateurs Oui pour tous les utilisateurs Non Non Non
Administrateur de la stratégie d’authentification Non Non Oui Oui Oui

Important

Les utilisateurs auxquels ce rôle est assigné peuvent changer les informations d’identification des personnes susceptibles d’avoir accès à des informations sensibles ou privées ou à des configurations critiques à l’intérieur et à l’extérieur d’Azure Active Directory. Changer les informations d’identification d’un utilisateur peut signifier la capacité d’assumer l’identité et les autorisations de cet utilisateur. Par exemple :

  • Les propriétaires d’inscription d’application et d’application d’entreprise, qui peuvent gérer les informations d’identification des applications qu’ils possèdent. Ces applications peuvent disposer d’autorisations privilégiées dans Azure AD et ailleurs qui ne sont pas accordées aux administrateurs d’authentification. Par ce biais, un administrateur d’authentification peut assumer l’identité d’un propriétaire d’application, puis d’assumer l’identité d’une application privilégiée en mettant à jour les identifiants de celle-ci.
  • Propriétaires d’abonnement Azure, qui peuvent avoir accès à des informations confidentielles ou privées ou à une configuration critique dans Azure.
  • Propriétaires de groupe de sécurité et de groupe Microsoft 365, qui peuvent gérer l’appartenance à un groupe. Ces groupes peuvent accorder l’accès à des informations sensibles ou privées ou à une configuration critique dans Azure AD et ailleurs.
  • Administrateurs d’autres services en dehors d’Azure AD, tels qu’Exchange Online, le Centre de sécurité et de conformité Office et les systèmes de ressources humaines.
  • Les non-administrateurs comme les cadres supérieurs, les conseillers juridiques et les employés des ressources humaines qui peuvent avoir accès à des informations sensibles ou privées.

Important

Ce rôle ne peut pas gérer les paramètres de MFA dans le portail de gestion de MFA hérité ou les jetons OATH matériels. Les mêmes fonctions peuvent être effectuées à l’aide du module Azure AD Powershell de l’applet de commande Set-MsolUser.

Actions Description
microsoft.directory/users/invalidateAllRefreshTokens Forcer la déconnexion en invalidant les jetons d’actualisation de l’utilisateur
microsoft.directory/users/strongAuthentication/update Mettre à jour la propriété d’authentification forte pour les utilisateurs
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de la stratégie d’authentification

Les utilisateurs disposant de ce rôle peuvent configurer la stratégie de méthodes d’authentification, les paramètres d’authentification multifacteur à l’ensemble du locataire et la stratégie de protection par mot de passe. Ce rôle accorde l’autorisation de gérer les paramètres de protection par mot de passe : les configurations de verrouillage intelligent et la mise à jour de la liste des mots de passe interdits personnalisés.

Les rôles d’administrateur d’authentification et d’administrateur d’authentification privilégié ont l’autorisation de gérer les méthodes d’authentification inscrites sur les utilisateurs et peuvent forcer la réinscription et l’authentification multifacteur pour tous les utilisateurs.

Role Gérer les méthodes d’authentification de l’utilisateur Gérer l’authentification multifacteur par utilisateur Gérer les paramètres de l’authentification multifacteur Gérer la stratégie de méthode d’authentification Gérer la stratégie de protection par mot de passe
Administrateur d’authentification Oui pour certains utilisateurs (voir ci-dessus) Oui pour certains utilisateurs (voir ci-dessus) Non Non Non
Administrateur d’authentification privilégié Oui pour tous les utilisateurs Oui pour tous les utilisateurs Non Non Non
Administrateur de la stratégie d’authentification Non Non Oui Oui Oui

Important

Ce rôle ne peut pas gérer les paramètres de MFA dans le portail de gestion de MFA hérité ou les jetons OATH matériels.

Actions Description
microsoft.directory/organization/strongAuthentication/read Lire la propriété d'authentification forte pour une organisation
microsoft.directory/organization/strongAuthentication/update Mettre à jour les propriétés d’authentification forte d’une organisation
microsoft.directory/userCredentialPolicies/create Créer des stratégies d’informations d’identification pour les utilisateurs
microsoft.directory/userCredentialPolicies/delete Supprimer des stratégies d’informations d’identification pour les utilisateurs
microsoft.directory/userCredentialPolicies/standard/read Lire les propriétés standard des stratégies d’informations d’identification pour les utilisateurs
microsoft.directory/userCredentialPolicies/owners/read Lire les propriétaires des stratégies d’informations d’identification pour les utilisateurs
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Lire le lien de navigation policy.appliesTo
microsoft.directory/userCredentialPolicies/basic/update Mettre à jour les stratégies de base pour les utilisateurs
microsoft.directory/userCredentialPolicies/owners/update Mettre à jour les propriétaires de stratégies d’informations d’identification pour les utilisateurs
microsoft.directory/userCredentialPolicies/tenantDefault/update Mettre à jour la propriété policy.isOrganizationDefault
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Lire une carte de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Révoquer une carte de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/create Créer un contrat de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Lire un contrat de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Mettre à jour un contrat de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/create Créer la configuration requise pour créer et gérer des justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/delete Supprimer la configuration requise pour créer et gérer des justificatifs vérifiables et supprimer tous ses justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/allProperties/read Lire la configuration requise pour créer et gérer des justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/allProperties/update Mettre à jour la configuration requise pour créer et gérer des justificatifs vérifiables
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure

Administrateur local de l’appareil joint Azure AD

Ce rôle peut uniquement être attribué comme administrateur local supplémentaire dans Paramètres de l’appareil. Les utilisateurs dotés de ce rôle deviennent des administrateurs de l'ordinateur local pour tous les appareils Windows 10 qui sont joints à Azure Active Directory. Ils ne peuvent pas gérer des objets appareil dans Azure Active Directory.

Actions Description
microsoft.directory/groupSettings/standard/read Lire les propriétés de base sur des paramètres de groupe
microsoft.directory/groupSettingTemplates/standard/read Lire les propriétés de base sur des modèles de paramètres de groupe

Administrateur Azure DevOps

Les utilisateurs disposant de ce rôle peuvent gérer la stratégie Azure DevOps pour restreindre la création d’une nouvelle organisation Azure DevOps à un ensemble d’utilisateurs ou de groupes configurables. Les utilisateurs auxquels ce rôle est attribué peuvent gérer cette stratégie par le biais de n’importe quelle organisation Azure DevOps prise en charge par l’organisation Azure AD de l’entreprise. Ce rôle n’accorde aucune autre autorisation spécifique à Azure DevOps (par exemple, administrateur de collections de projets) au sein de l’une des organisations Azure DevOps prises en charge par l’organisation Azure AD de l’entreprise.

Toutes les stratégies Azure DevOps d’entreprise peuvent être gérées par les utilisateurs de ce rôle.

Actions Description
microsoft.azure.devOps/allEntities/allTasks Lire et configurer Azure DevOps

Administrateur Azure Information Protection

Les utilisateurs avec ce rôle ont toutes les autorisations dans le service Azure Information Protection. Ce rôle permet de configurer les étiquettes pour la stratégie Azure Information Protection, de gérer les modèles de protection et d’activer la protection. Il n’octroie aucune autorisation dans Identity Protection Center, Privileged Identity Management, Monitor Microsoft 365 Service Health ni dans le Centre de sécurité et de conformité Office 365.

Actions Description
microsoft.azure.informationProtection/allEntities/allTasks Gérer tous les aspects d’Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de jeux de clés B2C IEF

L’utilisateur peut créer et gérer des clés et secrets de stratégie pour le chiffrement des jetons, la signatures des jetons et le chiffrement/déchiffrement des revendications.  En ajoutant de nouvelles clés aux conteneurs de clés existants, cet administrateur limité peut substituer des secrets en fonction des besoins sans affecter les applications existantes.  Cet utilisateur peut voir le contenu complet de ces secrets et leurs dates d’expiration, même après leur création.

Important

Il s’agit d’un rôle sensible.  Le rôle d’administrateur de jeux de clés doit être soigneusement audité et attribué avec précaution pendant les périodes de préproduction et de production.

Actions Description
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Lire et mettre à jour toutes les propriétés des stratégies d’autorisation

Administrateur de stratégies B2C IEF

Les utilisateurs assignés à ce rôle ont la possibilité de créer, lire, mettre à jour et supprimer toutes les stratégies personnalisées dans Azure AD B2C, et donc de contrôler totalement la plateforme Identity Experience Framework dans l’organisation Azure AD B2C concernée. En modifiant les stratégies, cet utilisateur peut établir une fédération directe avec des fournisseurs d’identité externes, modifier le schéma d’annuaire, modifier tout le contenu visible par l’utilisateur (HTML, CSS et JavaScript), modifier les exigences liées à une authentification, créer des utilisateurs, envoyer des données utilisateur à des systèmes externes, notamment des migrations complètes, et modifier toutes les informations utilisateur, notamment des champs sensibles comme les mots de passe et les numéros de téléphone. À l’inverse, ce rôle ne peut pas modifier les clés de chiffrement ou modifier les secrets utilisés pour la fédération dans l’organisation.

Important

L’administrateur de stratégies B2C IEF est un rôle très sensible qui doit être attribué de manière très limitée pour les organisations en production.  Les activités de ces utilisateurs doivent faire l’objet d’un audit précis, en particulier pour les organisations en production.

Actions Description
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Lire et configurer des jeux de clés dans Azure Active Directory B2C

Administrateur de facturation

Effectue les achats, gère les abonnements, gère les tickets de support et supervise l’intégrité du service.

Actions Description
microsoft.directory/organization/basic/update Mettre à jour des propriétés de base sur une organisation
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.commerce.billing/allEntities/allTasks Gérer tous les aspects de la facturation Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur d'applications cloud

Les utilisateurs dans ce rôle ont les mêmes autorisations que celles du rôle Administrateur d’application, sans la possibilité de gérer le proxy d’application. Ce rôle permet de créer et de gérer tous les aspects des applications d’entreprise et des inscriptions d’applications. Les utilisateurs affectés à ce rôle ne sont pas ajoutés en tant que propriétaires lorsque des inscriptions d’applications ou des applications d’entreprise sont créées.

Ce rôle permet également de consentir des autorisations déléguées et autorisations d’application, à l’exclusion des autorisations d’application pour Microsoft Graph et Azure AD Graph.

Important

Cette exception signifie que vous pouvez toujours accepter les autorisations pour d’autres applications (par exemple les applications Microsoft ou les applications que vous avez inscrites). Vous pouvez toujours demander ces autorisations dans le cadre de l’inscription d’application, mais l’octroi de ces autorisations requiert un administrateur plus privilégié, tel un administrateur général.

Ce rôle permet de gérer des informations d’identification d’application. Les utilisateurs auxquels ce rôle a été attribué peuvent ajouter des informations d’identification à une application et les utiliser pour emprunter l’identité de l’application. Si l’identité de l’application a obtenu l’accès à une ressource, telle que la possibilité de créer ou de mettre à jour un utilisateur ou d’autres objets, un utilisateur auquel ce rôle a été attribué peut effectuer ces actions en empruntant l’identité de l’application. Cette capacité à emprunter l’identité de l’application peut correspondre une élévation de privilèges que l’utilisateur réalise dans ses attributions de rôle. Il est important de comprendre que l’affectation d’un utilisateur au rôle Administrateur d’applications lui donne la possibilité d’emprunter l’identité d’une application.

Actions Description
microsoft.directory/applications/create Créer tous les types d’applications
microsoft.directory/applications/delete Supprimer tous les types d’applications
microsoft.directory/applications/appRoles/update Mettre à jour la propriété appRoles sur tous les types d’applications
microsoft.directory/applications/audience/update Mettre à jour la propriété audience pour les applications
microsoft.directory/applications/authentication/update Mettre à jour l’authentification sur tous les types d’applications
microsoft.directory/applications/basic/update Mettre à jour les propriétés de base pour les applications
microsoft.directory/applications/credentials/update Mettre à jour les informations d’identification d’application
microsoft.directory/applications/owners/update Mettre à jour les propriétaires d’applications
microsoft.directory/applications/permissions/update Mettre à jour les autorisations exposées et les autorisations requises sur tous les types d’applications
microsoft.directory/applications/policies/update Mettre à jour les stratégies d’applications
microsoft.directory/applications/verification/update Mettre à jour la propriété applicationsverification
microsoft.directory/applications/synchronization/standard/read Lire les paramètres de provisionnement associés à l’objet application
microsoft.directory/applicationTemplates/instantiate Instancier des applications de la galerie à partir de modèles d’application
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés dans les journaux d’audit, y compris les propriétés privilégiées
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Créer et supprimer des octrois d’autorisations OAuth 2.0, et lire et mettre à jour toutes les propriétés
microsoft.directory/applicationPolicies/create Créer des stratégies d’application
microsoft.directory/applicationPolicies/delete Supprimer des stratégies d’application
microsoft.directory/applicationPolicies/standard/read Lire les propriétés standard des stratégies d’application
microsoft.directory/applicationPolicies/owners/read Lire les propriétaires des stratégies d’application
microsoft.directory/applicationPolicies/policyAppliedTo/read Lire les stratégies d’application appliquées à la liste d’objets
microsoft.directory/applicationPolicies/basic/update Mettre à jour les propriétés standard des stratégies d’application
microsoft.directory/applicationPolicies/owners/update Mettre à jour la propriété Owner des stratégies d’application
microsoft.directory/provisioningLogs/allProperties/read Lire toutes les propriétés des journaux de provisionnement.
microsoft.directory/servicePrincipals/create Créer des principaux de service
microsoft.directory/servicePrincipals/delete Supprimer des principaux de service
microsoft.directory/servicePrincipals/disable Désactiver des principaux de service
microsoft.directory/servicePrincipals/enable Activer des principaux de service
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Gérer les informations d’identification de l’authentification unique par mot de passe sur les principaux de service
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gérer les secrets et les informations d’identification de l’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronizationJobs/manage Démarrer, redémarrer et suspendre les travaux de synchronisation d’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronizationSchema/manage Créer et gérer le schéma et les tâches de synchronisation de l’approvisionnement des applications
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Lire les informations d’identification de l’authentification unique par mot de passe sur les principaux de service
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Consentir des autorisations d’application et des autorisations déléguées pour le compte d’un utilisateur ou de tous les utilisateurs, à l’exclusion des autorisations d’application pour Microsoft Graph et Azure AD Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Mettre à jour les attributions de rôles des principaux de service
microsoft.directory/servicePrincipals/audience/update Mettre à jour les propriétés d’audience sur les principaux de service
microsoft.directory/servicePrincipals/authentication/update Mettre à jour les propriétés d’authentification sur les principaux de service
microsoft.directory/servicePrincipals/basic/update Mettre à jour les propriétés de base sur les principaux de service
microsoft.directory/servicePrincipals/credentials/update Mettre à jour informations d’identification des principaux de service
microsoft.directory/servicePrincipals/owners/update Mettre à jour les propriétaires de principaux de service
microsoft.directory/servicePrincipals/permissions/update Mettre à jour les autorisations des principaux de service
microsoft.directory/servicePrincipals/policies/update Mettre à jour les stratégies des principaux de service
microsoft.directory/servicePrincipals/tag/update Mettre à jour la propriété Tag pour les principaux de service
microsoft.directory/servicePrincipals/synchronization/standard/read Lire les paramètres de provisionnement associés au principal de service
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur d’appareil cloud

Les utilisateurs dans ce rôle peuvent activer, désactiver et supprimer des appareils dans Azure AD, et lire des clés BitLocker Windows 10 (le cas échéant) dans le portail Azure. Ce rôle ne permet pas de gérer d’autres propriétés sur l’appareil.

Actions Description
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés dans les journaux d’audit, y compris les propriétés privilégiées
microsoft.directory/bitlockerKeys/key/read Lire les métadonnées et la clé BitLocker sur les appareils
microsoft.directory/devices/delete Supprimer des appareils d’Azure AD
microsoft.directory/devices/disable Désactiver des appareils dans Azure AD
microsoft.directory/devices/enable Activer des appareils dans Azure AD
microsoft.directory/devices/extensionAttributes/update Mettre à jour toutes les valeurs de la propriété devices.extensionAttributes
microsoft.directory/deviceManagementPolicies/standard/read Lire les propriétés standard sur les stratégies d’application de gestion des appareils
microsoft.directory/deviceManagementPolicies/basic/update Mettre à jour les propriétés de base des stratégies d’application de gestion des appareils
microsoft.directory/deviceRegistrationPolicy/standard/read Lire les propriétés standard sur les stratégies d’inscription des appareils
microsoft.directory/deviceRegistrationPolicy/basic/update Mettre à jour les propriétés de base des stratégies d’inscription d’appareil
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365

Administrateur de conformité

Les utilisateurs avec ce rôle disposent des autorisations pour gérer les fonctionnalités liées à la conformité dans le centre de conformité Microsoft 365, le centre d'administration Microsoft 365, Azure et le Centre de sécurité et conformité Office 365. Les personnes responsables peuvent également gérer toutes les fonctionnalités dans le centre d’administration Exchange et le centre d’administration Teams et Skype Entreprise, et créer des tickets de support pour Azure et Microsoft 365. Pour plus d’informations, consultez À propos des rôles d’administrateur Microsoft 365.

Dans Peut
Centre de conformité Microsoft 365 Protéger et gérer les données de votre organisation dans les services Microsoft 365
Gérer les alertes de conformité
Compliance Manager Suivre, affecter et vérifier les activités de conformité réglementaire de votre organisation
Centre de sécurité et conformité Office 365 Gérer la gouvernance des données
Procéder à l'examen juridique des données
Gérer une requête d'objet de données

Ce rôle a les mêmes autorisations que le RoleGroup Administrateur de conformité dans le contrôle d’accès en fonction du rôle du Centre de sécurité et conformité Office 365.
Intune Afficher toutes les données d’audit Intune
Cloud App Security Dispose d'autorisations en lecture seule et peut gérer les alertes
Peut créer et modifier les stratégies de fichier et autoriser des actions de gouvernance de fichier
Peut afficher tous les rapports intégrés sous Gestion des données
Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.directory/entitlementManagement/allProperties/read Lire toutes les propriétés dans la fonctionnalité de gestion des droits d’utilisation Azure AD
microsoft.office365.complianceManager/allEntities/allTasks Gérez tous les aspects d’Office 365 Compliance Manager
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur des données de conformité

Les utilisateurs dotés de ce rôle sont autorisés à suivre les données dans le centre de conformité Microsoft 365, le centre d’administration Microsoft 365 et Azure. Les utilisateurs peuvent également suivre les données de conformité dans le centre d’administration Exchange, le Gestionnaire de compatibilité, le centre d’administration Teams et Skype Entreprise, et créer des tickets de support pour Azure et Microsoft 365. Cette documentation contient des détails sur les différences entre Administrateur de conformité et Administrateur des données de conformité.

Dans Peut
Centre de conformité Microsoft 365 Superviser les stratégies de conformité au sein des services Microsoft 365
Gérer les alertes de conformité
Compliance Manager Suivre, affecter et vérifier les activités de conformité réglementaire de votre organisation
Centre de sécurité et conformité Office 365 Gérer la gouvernance des données
Procéder à l'examen juridique des données
Gérer une requête d'objet de données

Ce rôle a les mêmes autorisations que le RoleGroup Administrateur de données de conformité dans le contrôle d’accès en fonction du rôle du Centre de sécurité et conformité Office 365.
Intune Afficher toutes les données d’audit Intune
Cloud App Security Dispose d'autorisations en lecture seule et peut gérer les alertes
Peut créer et modifier les stratégies de fichier et autoriser des actions de gouvernance de fichier
Peut afficher tous les rapports intégrés sous Gestion des données
Actions Description
microsoft.directory/cloudAppSecurity/allProperties/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard dans Microsoft Cloud App Security
microsoft.azure.informationProtection/allEntities/allTasks Gérer tous les aspects d’Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.complianceManager/allEntities/allTasks Gérez tous les aspects d’Office 365 Compliance Manager
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de l’accès conditionnel

Les utilisateurs avec ce rôle ont la possibilité de gérer les paramètres d’accès conditionnel Azure Active Directory.

Actions Description
microsoft.directory/conditionalAccessPolicies/create Créer des stratégies d’accès conditionnel
microsoft.directory/conditionalAccessPolicies/delete Supprimer des stratégies d’accès conditionnel
microsoft.directory/conditionalAccessPolicies/standard/read Accès conditionnel en lecture pour les stratégies
microsoft.directory/conditionalAccessPolicies/owners/read Lire les propriétaires des stratégies d’accès conditionnel
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Lire la propriété « appliqué à » pour les stratégies d’accès conditionnel
microsoft.directory/conditionalAccessPolicies/basic/update Mettre à jour les propriétés de base pour les stratégies d’accès conditionnel
microsoft.directory/conditionalAccessPolicies/owners/update Mettre à jour les propriétaires des stratégies d’accès conditionnel
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Mettre à jour le locataire par défaut pour les stratégies d’accès conditionnelles
microsoft.directory/crossTenantAccessPolicies/create Créer des stratégies d’accès inter-locataires
microsoft.directory/crossTenantAccessPolicies/delete Supprimer des stratégies d’accès inter-locataires
microsoft.directory/crossTenantAccessPolicies/standard/read Lire les propriétés de base des stratégies d’accès inter-locataires
microsoft.directory/crossTenantAccessPolicies/owners/read Lire les propriétaires de stratégies d’accès inter-locataires
microsoft.directory/crossTenantAccessPolicies/policyAppliedTo/read Lire la propriété policyAppliedTo des stratégies d’accès inter-locataires
microsoft.directory/crossTenantAccessPolicies/basic/update Mettre à jour les propriétés de base des stratégies d’accès inter-locataires
microsoft.directory/crossTenantAccessPolicies/owners/update Mettre à jour les propriétaires de stratégies d’accès inter-locataires
microsoft.directory/crossTenantAccessPolicies/tenantDefault/update Mettre à jour le locataire par défaut pour les stratégies d’accès inter-locataires

Approbateur d’accès à Customer LockBox

Gère les requêtes Customer Lockbox dans votre organisation. Il reçoit par e-mail des notifications ayant trait aux requêtes Customer Lockbox, et peut approuver ou refuser ces requêtes depuis le centre d'administration Microsoft 365. Il peut activer ou désactiver la fonctionnalité Customer Lockbox. Seuls les administrateurs généraux peuvent réinitialiser les mots de passe des personnes dotées de ce rôle.

Actions Description
microsoft.office365.lockbox/allEntities/allTasks Gérer tous les aspects de Customer Lockbox
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur Desktop Analytics

Les utilisateurs ayant ce rôle peuvent gérer le service Desktop Analytics. Ils ont notamment la possibilité d’afficher l’inventaire des ressources, de créer des plans de déploiement et de visualiser l’état du déploiement et de l’intégrité.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.desktopAnalytics/allEntities/allTasks Gérer tous les aspects de Desktop Analytics

Lecteurs de répertoires

Les utilisateurs de ce rôle peuvent lire des informations de base relatives aux répertoires. Ce rôle doit être utilisé pour :

  • Accorder à un ensemble spécifique d’utilisateurs invités un accès en lecture au lieu de l’accorder à tous les utilisateurs invités.
  • Accorder à un ensemble spécifique d’utilisateurs non-administrateurs l’accès au portail Azure quand l’option « Restreindre l’accès au portail Azure AD aux seuls administrateurs » a la valeur « Oui ».
  • Accorder un accès aux principaux de service au répertoire quand Directory.Read.All n’est pas possible.
Actions Description
microsoft.directory/administrativeUnits/standard/read Lire les propriétés de base sur les unités administratives
microsoft.directory/administrativeUnits/members/read Lire les membres des unités administratives
microsoft.directory/applications/standard/read Lire les propriétés standard des applications
microsoft.directory/applications/owners/read Lire les propriétaires d’applications
microsoft.directory/applications/policies/read Lire les stratégies d’applications
microsoft.directory/contacts/standard/read Lire des propriétés de base sur les contacts dans Azure AD
microsoft.directory/contacts/memberOf/read Lire l’appartenance à un groupe pour tous les contacts dans Azure AD
microsoft.directory/contracts/standard/read Lire les propriétés de base sur les contrats de partenaire
microsoft.directory/devices/standard/read Lire les propriétés de base sur les appareils
microsoft.directory/devices/memberOf/read Lire les appartenances aux appareils
microsoft.directory/devices/registeredOwners/read Lire les propriétaires inscrits d’appareils
microsoft.directory/devices/registeredUsers/read Lire les utilisateurs inscrits d’appareils
microsoft.directory/directoryRoles/standard/read Mettre à jour les propriétés de base dans les rôles Azure AD
microsoft.directory/directoryRoles/eligibleMembers/read Lire les membres éligibles des rôles Azure AD
microsoft.directory/directoryRoles/members/read Lire tous les membres des rôles Azure AD
microsoft.directory/domains/standard/read Lire les propriétés de base sur les domaines
microsoft.directory/groups/standard/read Lire les propriétés de base sur les groupes
microsoft.directory/groups/appRoleAssignments/read Lire les attributions de rôles d’application des groupes
microsoft.directory/groups/memberOf/read Lire les groupes dont un groupe est membre dans Azure AD
microsoft.directory/groups/members/read Lire les membres des groupes
microsoft.directory/groups/owners/read Gérer les propriétaires des groupes
microsoft.directory/groups/settings/read Lire les paramètres des groupes
microsoft.directory/groupSettings/standard/read Lire les propriétés de base sur des paramètres de groupe
microsoft.directory/groupSettingTemplates/standard/read Lire les propriétés de base sur des modèles de paramètres de groupe
microsoft.directory/oAuth2PermissionGrants/standard/read Lire les propriétés de base sur les octrois d’autorisations OAuth 2.0
microsoft.directory/organization/standard/read Lire les propriétés de base sur une organisation
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Lire les autorités de certification approuvées pour l’authentification par mot de passe
microsoft.directory/applicationPolicies/standard/read Lire les propriétés standard des stratégies d’application
microsoft.directory/roleAssignments/standard/read Lire les propriétés de base sur les attributions de rôles
microsoft.directory/roleDefinitions/standard/read Lire les propriétés de base sur les définitions de rôles
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Lire les attributions de rôles des principaux de service
microsoft.directory/servicePrincipals/appRoleAssignments/read Lire les attributions de rôles affectées aux principaux de service
microsoft.directory/servicePrincipals/standard/read Lire toutes les propriétés des principaux du service
microsoft.directory/servicePrincipals/memberOf/read Lire les appartenances aux groupes sur les principaux de service
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Lire les octrois d’autorisations déléguées sur les principaux de service
microsoft.directory/servicePrincipals/owners/read Lire les propriétaires des principaux de service
microsoft.directory/servicePrincipals/ownedObjects/read Lire les objets détenus des principaux de service
microsoft.directory/servicePrincipals/policies/read Lire les stratégies des principaux de service
microsoft.directory/subscribedSkus/standard/read Lire les propriétés de base sur les abonnements
microsoft.directory/users/standard/read Lire les propriétés de base sur les utilisateurs
microsoft.directory/users/appRoleAssignments/read Lire les attributions de rôle d’application des utilisateurs
microsoft.directory/users/directReports/read Lire les collaborateurs directs des utilisateurs
microsoft.directory/users/manager/read Lire les gestionnaires d’utilisateurs
microsoft.directory/users/memberOf/read Lire les appartenances aux groupes des utilisateurs
microsoft.directory/users/oAuth2PermissionGrants/read Lire les octrois d’autorisations déléguées sur les utilisateurs
microsoft.directory/users/ownedDevices/read Lire les appareils détenus des utilisateurs
microsoft.directory/users/ownedObjects/read Lire les objets détenus des utilisateurs
microsoft.directory/users/registeredDevices/read Lire les appareils inscrits des utilisateurs

Comptes de synchronisation d’annuaires

Ne pas utiliser. Ce rôle est automatiquement attribué au service Azure AD Connect et n’est pas prévu ni pris en charge pour une autre utilisation.

Actions Description
microsoft.directory/applications/create Créer tous les types d’applications
microsoft.directory/applications/delete Supprimer tous les types d’applications
microsoft.directory/applications/appRoles/update Mettre à jour la propriété appRoles sur tous les types d’applications
microsoft.directory/applications/audience/update Mettre à jour la propriété audience pour les applications
microsoft.directory/applications/authentication/update Mettre à jour l’authentification sur tous les types d’applications
microsoft.directory/applications/basic/update Mettre à jour les propriétés de base pour les applications
microsoft.directory/applications/credentials/update Mettre à jour les informations d’identification d’application
microsoft.directory/applications/owners/update Mettre à jour les propriétaires d’applications
microsoft.directory/applications/permissions/update Mettre à jour les autorisations exposées et les autorisations requises sur tous les types d’applications
microsoft.directory/applications/policies/update Mettre à jour les stratégies d’applications
microsoft.directory/organization/dirSync/update Mettre à jour la propriété de synchronisation d’annuaire d’organisation
microsoft.directory/policies/create Créer des stratégies dans Azure AD
microsoft.directory/policies/delete Supprimer des stratégies Azure AD
microsoft.directory/policies/standard/read Lire les propriétés de base sur les stratégies
microsoft.directory/policies/owners/read Lire les propriétaires de stratégies
microsoft.directory/policies/policyAppliedTo/read Lire la propriété policies.policyAppliedTo
microsoft.directory/policies/basic/update Mettre à jour les propriétés de base sur les stratégies
microsoft.directory/policies/owners/update Mettre à jour les propriétaires de stratégies
microsoft.directory/policies/tenantDefault/update Mettre à jour les stratégies d’organisation par défaut
microsoft.directory/servicePrincipals/create Créer des principaux de service
microsoft.directory/servicePrincipals/delete Supprimer des principaux de service
microsoft.directory/servicePrincipals/enable Activer des principaux de service
microsoft.directory/servicePrincipals/disable Désactiver des principaux de service
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Gérer les informations d’identification de l’authentification unique par mot de passe sur les principaux de service
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Lire les informations d’identification de l’authentification unique par mot de passe sur les principaux de service
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Lire les attributions de rôles des principaux de service
microsoft.directory/servicePrincipals/appRoleAssignments/read Lire les attributions de rôles affectées aux principaux de service
microsoft.directory/servicePrincipals/standard/read Lire toutes les propriétés des principaux du service
microsoft.directory/servicePrincipals/memberOf/read Lire les appartenances aux groupes sur les principaux de service
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Lire les octrois d’autorisations déléguées sur les principaux de service
microsoft.directory/servicePrincipals/owners/read Lire les propriétaires des principaux de service
microsoft.directory/servicePrincipals/ownedObjects/read Lire les objets détenus des principaux de service
microsoft.directory/servicePrincipals/policies/read Lire les stratégies des principaux de service
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Mettre à jour les attributions de rôles des principaux de service
microsoft.directory/servicePrincipals/audience/update Mettre à jour les propriétés d’audience sur les principaux de service
microsoft.directory/servicePrincipals/authentication/update Mettre à jour les propriétés d’authentification sur les principaux de service
microsoft.directory/servicePrincipals/basic/update Mettre à jour les propriétés de base sur les principaux de service
microsoft.directory/servicePrincipals/credentials/update Mettre à jour informations d’identification des principaux de service
microsoft.directory/servicePrincipals/owners/update Mettre à jour les propriétaires de principaux de service
microsoft.directory/servicePrincipals/permissions/update Mettre à jour les autorisations des principaux de service
microsoft.directory/servicePrincipals/policies/update Mettre à jour les stratégies des principaux de service
microsoft.directory/servicePrincipals/tag/update Mettre à jour la propriété Tag pour les principaux de service

Enregistreurs de répertoire

Les utilisateurs de ce rôle peuvent lire et mettre à jour les informations de base des utilisateurs, des groupes et des principaux de service. Attribuez ce rôle uniquement aux applications qui ne prennent pas en charge l’infrastructure de consentement. Vous ne devez pas l’affecter à tous les utilisateurs.

Actions Description
microsoft.directory/groups/assignLicense Attribuer des licences de produits à des groupes pour la gestion des licences basée sur un groupe
microsoft.directory/groups/create Supprimer des groupes, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups/reprocessLicenseAssignment Retraiter les attributions de licence pour la gestion des licences basée sur un groupe
microsoft.directory/groups/basic/update Mettre à jour des propriétés de base sur des groupes, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups/classification/update Mettre à jour la propriété de classification des groupes, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups/dynamicMembershipRule/update Mettre à jour la règle d’appartenance dynamique des groupes, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups/groupType/update Mettre à jour la propriété groupType pour un groupe
microsoft.directory/groups/members/update Mettre à jour les membres de groupes, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups/onPremWriteBack/update Mettre à jour les groupes Azure Active Directory pour être réécrits en local avec Azure AD Connect
microsoft.directory/groups/owners/update Mettre à jour les propriétaires des groupes, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/settings/update Mettre à jour les paramètres des groupes
microsoft.directory/groups/visibility/update Mettre à jour la propriété de visibilité des groupes
microsoft.directory/groupSettings/create Créer des paramètres de groupe
microsoft.directory/groupSettings/delete Supprimer des paramètres de groupe
microsoft.directory/groupSettings/basic/update Mettre à jour les propriétés de base sur les paramètres de groupe
microsoft.directory/oAuth2PermissionGrants/create Créer des octrois d’autorisations OAuth 2.0
microsoft.directory/oAuth2PermissionGrants/basic/update Mettre à jour les octrois d’autorisations OAuth 2.0
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gérer les secrets et les informations d’identification de l’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronizationJobs/manage Démarrer, redémarrer et suspendre les travaux de synchronisation d’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronizationSchema/manage Créer et gérer le schéma et les tâches de synchronisation de l’approvisionnement des applications
microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions Accorder à un principal de service l’accès direct aux données d’un groupe
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Mettre à jour les attributions de rôles des principaux de service
microsoft.directory/users/assignLicense Gérer les licences utilisateur
microsoft.directory/users/create Ajouter des utilisateurs
microsoft.directory/users/disable Désactiver des utilisateurs
microsoft.directory/users/enable Activer des utilisateurs
microsoft.directory/users/invalidateAllRefreshTokens Forcer la déconnexion en invalidant les jetons d’actualisation de l’utilisateur
microsoft.directory/users/reprocessLicenseAssignment Retraiter les attributions de licence pour les utilisateurs
microsoft.directory/users/basic/update Mettre à jour les propriétés de base sur les utilisateurs
microsoft.directory/users/manager/update Mettre à jour le gestionnaire pour les utilisateurs
microsoft.directory/users/userPrincipalName/update Mettre à jour le nom d’utilisateur principal des utilisateurs

Administrateur de nom de domaine

Les utilisateurs disposant de ce rôle peuvent gérer (lire, ajouter, vérifier, mettre à jour et supprimer) des noms de domaine. Ils peuvent également lire les informations du répertoire sur les utilisateurs, les groupes et les applications, car ces objets possèdent des dépendances de domaine. Pour les environnements locaux, les utilisateurs disposant de ce rôle peuvent configurer des noms de domaine pour la fédération afin que les utilisateurs associés soient toujours authentifiés localement. Ces utilisateurs peuvent ensuite se connecter à des services Azure AD avec leurs mots de passe locaux par le biais de l’authentification unique. Les paramètres de fédération doivent être synchronisés via Azure AD Connect, afin que les utilisateurs disposent également des autorisations nécessaires pour gérer Azure AD Connect.

Actions Description
microsoft.directory/domains/allProperties/allTasks Créer et supprimer des domaines, ainsi que lire et mettre à jour toutes les propriétés
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365

Administrateur Dynamics 365

Les utilisateurs auxquels ce rôle est assigné disposent d’autorisations générales dans Microsoft Dynamics 365 Online, lorsque le service est présent. Ils ont aussi la possibilité de gérer les tickets de support et de surveiller l’intégrité du service. Pour plus d’informations, consultez la page Utiliser le rôle d’administrateur de service pour gérer votre organisation Azure AD.

Notes

Dans l’API Microsoft Graph et Azure AD PowerShell, ce rôle est identifié comme « Administrateur de service Dynamics 365 ». Il est appelé « Administrateur Dynamics 365 » dans le portail Azure.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.dynamics365/allEntities/allTasks Gérez tous les aspects de Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur Exchange

Les utilisateurs avec ce rôle ont des autorisations générales dans Microsoft Exchange Online, quand le service est présent. Ils ont aussi la possibilité de créer et de gérer tous les groupes Microsoft 365, de gérer les tickets de support et de surveiller l’état d’intégrité des services. Plus d’informations sur les Rôles d’administrateur dans Microsoft 365.

Notes

Dans l’API Microsoft Graph et Azure AD PowerShell, ce rôle est identifié comme « Administrateur de service Exchange ». Il est appelé « Administrateur Exchange » dans le portail Azure. Il est « Administrateur Exchange en ligne » dans le centre d’administration Exchange.

Actions Description
microsoft.directory/groups/hiddenMembers/read Lire les membres masqués d’un groupe
microsoft.directory/groups.unified/create Créer des groupes Microsoft 365, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.unified/delete Supprimer des groupes Microsoft 365, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.unified/restore Restaurer des groupes Microsoft 365
microsoft.directory/groups.unified/basic/update Mettre à jour les propriétés de base sur les groupes Microsoft 365, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.unified/members/update Mettre à jour les membres de groupes Microsoft 365, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.unified/owners/update Mettre à jour les propriétaires de groupes Microsoft 365, à l’exclusion des groupes assignables à un rôle
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.exchange/allEntities/basic/allTasks Gérez tous les aspects d’Exchange Online
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur des destinataires Exchange

Les utilisateurs dotés de ce rôle disposent d’un accès en lecture aux destinataires et d’un accès en écriture aux attributs de ces destinataires dans Exchange Online. Plus d’informations sur les destinataires Exchange.

Actions Description
microsoft.office365.exchange/allRecipients/allProperties/allTasks Créez et supprimez tous les destinataires, et lisez et mettez à jour toutes les propriétés des destinataires dans Exchange Online
microsoft.office365.exchange/messageTracking/allProperties/allTasks Gérez toutes les tâches pour le suivi des messages dans Exchange Online
microsoft.office365.exchange/migration/allProperties/allTasks Gérez toutes les tâches liées à la migration des destinataires dans Exchange Online

Administrateur de flux d’utilisateurs ID externe

Les utilisateurs dotés de ce rôle peuvent créer et gérer des flux d’utilisateurs (également appelés stratégies « intégrées ») sur le Portail Azure. Ces utilisateurs peuvent personnaliser le contenu HTML/CSS/JavaScript, modifier les conditions d’authentification multifacteur, sélectionner des revendications dans le jeton, gérer les connecteurs d’API et configurer les paramètres de session pour tous les flux d’utilisateurs de l’organisation Azure AD. En revanche, ce rôle ne prévoit pas la possibilité de consulter les données utilisateur ni d’apporter des modifications aux attributs inclus dans le schéma de l’organisation. La modification des stratégies Identity Experience Framework (également appelées stratégies personnalisées) sort également de la portée de ce rôle.

Actions Description
microsoft.directory/b2cUserFlow/allProperties/allTasks Lire et configurer les attributs utilisateur dans Azure Active Directory B2C

Administrateur d’attribut de flux d’utilisateurs ID externe

Les utilisateurs ayant ce rôle peuvent ajouter ou supprimer des attributs personnalisés disponibles pour tous les flux d’utilisateurs dans l’organisation Azure AD.  Ainsi, ils peuvent modifier ou ajouter de nouveaux éléments au schéma d’utilisateur final, influer sur le comportement de tous les flux d’utilisateurs et entraîner indirectement des modifications des données demandées aux utilisateurs finaux et envoyées sous forme de revendications aux applications.  Ce rôle ne peut pas modifier des flux d’utilisateurs.

Actions Description
microsoft.directory/b2cUserAttribute/allProperties/allTasks Lire et configurer les stratégies personnalisées dans Azure Active Directory B2C

Administrateur de fournisseurs d’identité externes

Cet administrateur gère la fédération entre les organisations Azure AD et les fournisseurs d’identité externes.  Avec ce rôle, les utilisateurs peuvent ajouter de nouveaux fournisseurs d’identité et configurer tous les paramètres disponibles (par exemple, chemin d’authentification, ID de service, conteneurs de clés attribués).  Cet utilisateur peut permettre à l’organisation d’approuver des authentifications de fournisseurs d’identité externes.  L’impact produit sur les expériences d’utilisateur final varie selon le type d’organisation :

  • Organisations Azure AD pour les employés et les partenaires : L’ajout d’une fédération (par exemple, avec Gmail) impacte immédiatement toutes les invitations d’invités qui ne sont pas encore utilisées. Consultez Ajout de Google comme fournisseur d’identité pour les utilisateurs invités B2B.
  • Organisations Azure Active Directory B2C : L’ajout d’une fédération (par exemple, avec Facebook ou une autre organisation Azure AD) n’impacte pas immédiatement les flux d’utilisateurs finaux tant que le fournisseur d’identité n’est pas ajouté comme option dans un flux d’utilisateurs (aussi appelé stratégie intégrée). Consultez Configuration d’un compte Microsoft comme fournisseur d’identité pour obtenir un exemple.  Pour modifier des flux d’utilisateurs, le rôle limité d’« administrateur de flux d’utilisateurs B2C » est nécessaire.
Actions Description
microsoft.directory/identityProviders/allProperties/allTasks Lire et configurer les fournisseurs d’identité dans Azure Active Directory B2C

Administrateur général

Les utilisateurs avec ce rôle ont accès à toutes les fonctionnalités d’administration dans Azure Active Directory, ainsi qu’aux services qui utilisent des identités Azure Active Directory comme le centre de sécurité Microsoft 365, le centre de conformité Microsoft 365, Exchange Online, SharePoint Online et Skype Entreprise Online. Par ailleurs, les administrateurs généraux peuvent élever leur accès pour gérer tous les abonnements et groupes d’administration Azure. Ils obtiennent ainsi un accès complet à toutes les ressources Azure à l’aide du locataire Azure AD correspondant. La personne qui s’inscrit pour l’organisation Azure AD devient administrateur général. Une entreprise peut comprendre plusieurs administrateurs généraux. Les administrateurs généraux peuvent réinitialiser le mot de passe des utilisateurs et de tous les autres administrateurs.

Notes

À titre de meilleure pratique, Microsoft recommande d’attribuer le rôle Administrateur général à moins de cinq personnes dans votre organisation. Pour plus d’informations, consultez Meilleures pratiques pour les rôles Azure AD.

Actions Description
microsoft.directory/accessReviews/allProperties/allTasks Créer et supprimer des révisions d’accès, et lire et mettre à jour toutes les propriétés des révisions d’accès dans Azure AD
microsoft.directory/administrativeUnits/allProperties/allTasks Créez et gérez des unités administratives (y compris les membres).
microsoft.directory/applications/allProperties/allTasks Créer et supprimer des applications, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/applications/synchronization/standard/read Lire les paramètres de provisionnement associés à l’objet application
microsoft.directory/applicationTemplates/instantiate Instancier des applications de la galerie à partir de modèles d’application
microsoft.directory/appRoleAssignments/allProperties/allTasks Créer et supprimer des appRoleAssignments, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés dans les journaux d’audit, y compris les propriétés privilégiées
microsoft.directory/authorizationPolicy/allProperties/allTasks Gérez tous les aspects des stratégies d’autorisation
microsoft.directory/bitlockerKeys/key/read Lire les métadonnées et la clé BitLocker sur les appareils
microsoft.directory/cloudAppSecurity/allProperties/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard dans Microsoft Cloud App Security
microsoft.directory/connectors/create Créer des connecteurs de proxy d’application
microsoft.directory/connectors/allProperties/read Lire toutes les propriétés des connecteurs de proxy d’application
microsoft.directory/connectorGroups/create Créer des groupes de connecteurs de proxy d’application
microsoft.directory/connectorGroups/delete Supprimer des groupes de connecteurs de proxy d’application
microsoft.directory/connectorGroups/allProperties/read Lire toutes les propriétés des groupes de connecteurs de proxy d’application
microsoft.directory/connectorGroups/allProperties/update Mettre à jour toutes les propriétés des groupes de connecteurs de proxy d’application
microsoft.directory/contacts/allProperties/allTasks Créer et supprimer des contacts, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/contracts/allProperties/allTasks Créer et supprimer des contrats de partenaire, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/devices/allProperties/allTasks Créer et supprimer des appareils, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/deviceManagementPolicies/standard/read Lire les propriétés standard sur les stratégies d’application de gestion des appareils
microsoft.directory/deviceManagementPolicies/basic/update Mettre à jour les propriétés de base des stratégies d’application de gestion des appareils
microsoft.directory/deviceRegistrationPolicy/standard/read Lire les propriétés standard sur les stratégies d’inscription des appareils
microsoft.directory/deviceRegistrationPolicy/basic/update Mettre à jour les propriétés de base des stratégies d’inscription d’appareil
microsoft.directory/directoryRoles/allProperties/allTasks Créer et supprimer des rôles d’annuaire, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Créer et supprimer des définitions de rôle Azure AD, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/domains/allProperties/allTasks Créer et supprimer des domaines, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/entitlementManagement/allProperties/allTasks Créer et supprimer des ressources, ainsi que lire et mettre à jour toutes les propriétés dans la gestion des droits d’utilisation Azure AD
microsoft.directory/groups/allProperties/allTasks Créer et supprimer des groupes, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/groupsAssignableToRoles/create Créer des groupes pouvant se voir attribuer des rôles
microsoft.directory/groupsAssignableToRoles/delete Supprimer des groupes assignables à un rôle
microsoft.directory/groupsAssignableToRoles/restore Restaurer des groupes assignables à un rôle
microsoft.directory/groupsAssignableToRoles/allProperties/update Mettre à jour des groupes assignables à un rôle
microsoft.directory/groupSettings/allProperties/allTasks Créer et supprimer des paramètres de groupe, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/groupSettingTemplates/allProperties/allTasks Créer et supprimer des modèles de paramètre de groupe, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/identityProtection/allProperties/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard dans Azure AD Identity Protection
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Créer et supprimer loginTenantBranding, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Créer et supprimer des octrois d’autorisations OAuth 2.0, et lire et mettre à jour toutes les propriétés
microsoft.directory/organization/allProperties/allTasks Créer et supprimer des organisations, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/policies/allProperties/allTasks Créer et supprimer des stratégies, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Mettre à jour toutes les propriétés de stratégies d’accès conditionnel
microsoft.directory/crossTenantAccessPolicies/allProperties/allTasks
microsoft.directory/privilegedIdentityManagement/allProperties/read Lire toutes les ressources dans Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lire toutes les propriétés des journaux de provisionnement.
microsoft.directory/roleAssignments/allProperties/allTasks Créer et supprimer des attributions de rôle, et lire et mettre à jour toutes les propriétés des attributions de rôle
microsoft.directory/roleDefinitions/allProperties/allTasks Créer et supprimer des définitions de rôle, et lire et mettre à jour toutes les propriétés
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Créer et supprimer des scopedRoleMemberships, et lire et mettre à jour toutes les propriétés
microsoft.directory/serviceAction/activateService Effectuer l’action « activer le service » pour un service
microsoft.directory/serviceAction/disableDirectoryFeature Effectuer l’action de service « désactiver la fonctionnalité d’annuaire »
microsoft.directory/serviceAction/enableDirectoryFeature Effectuer l’action de service « activer la fonctionnalité d’annuaire »
microsoft.directory/serviceAction/getAvailableExtentionProperties Effectuer l’action de service getAvailableExtentionProperties
microsoft.directory/servicePrincipals/allProperties/allTasks Créer et supprimer des principaux de service, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Consentir à toute autorisation sur toute application
microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions Accorder à un principal de service l’accès direct aux données d’un groupe
microsoft.directory/servicePrincipals/synchronization/standard/read Lire les paramètres de provisionnement associés au principal de service
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.directory/subscribedSkus/allProperties/allTasks Acheter et gérer des abonnements, ainsi que supprimer des abonnements
microsoft.directory/users/allProperties/allTasks Créer et supprimer des utilisateurs, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/permissionGrantPolicies/create Créer des stratégies d’octroi d’autorisation
microsoft.directory/permissionGrantPolicies/delete Supprimer les stratégies d’octroi d’autorisation
microsoft.directory/permissionGrantPolicies/standard/read Lire les propriétés standard des stratégies d’octroi d’autorisation
microsoft.directory/permissionGrantPolicies/basic/update Mettre à jour les propriétés de base des stratégies d’octroi d’autorisation
microsoft.directory/servicePrincipalCreationPolicies/create Créer des stratégies de création de principal de service
microsoft.directory/servicePrincipalCreationPolicies/delete Supprimer des stratégies de création de principal de service
microsoft.directory/servicePrincipalCreationPolicies/standard/read Lire les propriétés standard de stratégies de création de principal de service
microsoft.directory/servicePrincipalCreationPolicies/basic/update Mettre à jour les propriétés de base de stratégies de création de principal de service
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Lire une carte de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Révoquer une carte de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/create Créer un contrat de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Lire un contrat de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Mettre à jour un contrat de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/create Créer la configuration requise pour créer et gérer des justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/delete Supprimer la configuration requise pour créer et gérer des justificatifs vérifiables et supprimer tous ses justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/allProperties/read Lire la configuration requise pour créer et gérer des justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/allProperties/update Mettre à jour la configuration requise pour créer et gérer des justificatifs vérifiables
microsoft.azure.advancedThreatProtection/allEntities/allTasks Gérer tous les aspects d’Azure Advanced Threat Protection
microsoft.azure.informationProtection/allEntities/allTasks Gérer tous les aspects d’Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.commerce.billing/allEntities/allTasks Gérer tous les aspects de la facturation Office 365
microsoft.dynamics365/allEntities/allTasks Gérez tous les aspects de Dynamics 365
microsoft.flow/allEntities/allTasks Gérez tous les aspects de Microsoft Power Automate
microsoft.intune/allEntities/allTasks Gérez tous les aspects de Microsoft Intune
microsoft.office365.complianceManager/allEntities/allTasks Gérez tous les aspects d’Office 365 Compliance Manager
microsoft.office365.desktopAnalytics/allEntities/allTasks Gérer tous les aspects de Desktop Analytics
microsoft.office365.exchange/allEntities/basic/allTasks Gérer tous les aspects d’Exchange Online
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Lire et mettre jour toutes les propriétés de la compréhension du contenu dans le centre d’administration Microsoft 365
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Lire les rapports analytiques de la compréhension du contenu dans le Centre d'administration Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Lire et mettre jour toutes les propriétés du réseau de connaissances dans le centre d’administration Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Gérer la visibilité des rubriques du réseau de connaissances dans le Centre d'administration Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Gérer les sources d'apprentissage et toutes leurs propriétés dans l'application d'apprentissage
microsoft.office365.lockbox/allEntities/allTasks Gérer tous les aspects de Customer Lockbox
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.messageCenter/securityMessages/read Lire les messages de sécurité dans le Centre de messages du Centre d’administration Microsoft 365
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Gérer tous les aspects des centres de sécurité et de conformité
microsoft.office365.search/content/manage Créer et supprimer du contenu, ainsi que lire et mettre à jour toutes les propriétés dans Recherche Microsoft
microsoft.office365.securityComplianceCenter/allEntities/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard dans le Centre de sécurité et conformité Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard SharePoint
microsoft.office365.skypeForBusiness/allEntities/allTasks Gérez tous les aspects de Skype Entreprise Online
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.userCommunication/allEntities/allTasks Lire et mettre à jour la visibilité des messages Nouveautés
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.powerApps/allEntities/allTasks Gérez tous les aspects de Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks Gérez tous les aspects de Power BI
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Gérer tous les aspects de Microsoft Defender pour point de terminaison

Lecteur général

Les utilisateurs affectés à ce rôle peuvent lire les paramètres et les informations d’administration entre les services Microsoft 365, mais ne peuvent pas entreprendre d’actions de gestion. Le lecteur général est l’équivalent en lecture seule de l’administrateur général. Affectez un rôle de lecteur général plutôt qu’administrateur général pour la planification, les audits ou les investigations. Utilisez le lecteur global conjointement avec d’autres rôles d’administrateur limités comme celui de l’administrateur Exchange pour faciliter le travail sans affecter le rôle d’administrateur général. Le lecteur général fonctionne avec le centre d’administration Microsoft 365, le centre d’administration Exchange, le centre d’administration SharePoint, le centre d’administration Teams, le centre de sécurité, le centre de conformité, le centre d’administration Azure AD et le centre d’administration de gestion des appareils.

Notes

Le rôle de lecteur général comporte des restrictions pour le moment.

Ces fonctionnalités sont actuellement en cours de développement.

Actions Description
microsoft.directory/applications/applicationProxy/read Lire toutes les propriétés du proxy d’application
microsoft.directory/applications/synchronization/standard/read Lire les paramètres de provisionnement associés à l’objet application
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés dans les journaux d’audit, y compris les propriétés privilégiées
microsoft.directory/bitlockerKeys/key/read Lire les métadonnées et la clé BitLocker sur les appareils
microsoft.directory/connectors/allProperties/read Lire toutes les propriétés des connecteurs de proxy d’application
microsoft.directory/connectorGroups/allProperties/read Lire toutes les propriétés des groupes de connecteurs de proxy d’application
microsoft.directory/entitlementManagement/allProperties/read Lire toutes les propriétés dans la fonctionnalité de gestion des droits d’utilisation Azure AD
microsoft.directory/deviceManagementPolicies/standard/read Lire les propriétés standard sur les stratégies d’application de gestion des appareils
microsoft.directory/deviceRegistrationPolicy/standard/read Lire les propriétés standard sur les stratégies d’inscription des appareils
microsoft.directory/groups/hiddenMembers/read Lire les membres masqués d’un groupe
microsoft.directory/organization/strongAuthentication/read Lire la propriété d'authentification forte pour une organisation
microsoft.directory/policies/standard/read Lire les propriétés de base sur les stratégies
microsoft.directory/policies/owners/read Lire les propriétaires de stratégies
microsoft.directory/policies/policyAppliedTo/read Lire la propriété policies.policyAppliedTo
microsoft.directory/conditionalAccessPolicies/standard/read Accès conditionnel en lecture pour les stratégies
microsoft.directory/conditionalAccessPolicies/owners/read Lire les propriétaires des stratégies d’accès conditionnel
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Lire la propriété « appliqué à » pour les stratégies d’accès conditionnel
microsoft.directory/provisioningLogs/allProperties/read Lire toutes les propriétés des journaux de provisionnement.
microsoft.directory/servicePrincipals/authentication/read Mettre à jour les propriétés d’authentification sur les principaux de service
microsoft.directory/servicePrincipals/synchronization/standard/read Lire les paramètres de provisionnement associés au principal de service
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.directory/users/strongAuthentication/read Lire la propriété d’authentification forte pour les utilisateurs
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Lire une carte de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Lire un contrat de justificatifs vérifiables
microsoft.directory/verifiableCredentials/configuration/allProperties/read Lire la configuration requise pour créer et gérer des justificatifs vérifiables
microsoft.commerce.billing/allEntities/read Lire toutes les ressources de la facturation d’Office 365
microsoft.office365.exchange/allEntities/standard/read Lire toutes les ressources d’Exchange Online
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.messageCenter/securityMessages/read Lire les messages de sécurité dans le Centre de messages du Centre d’administration Microsoft 365
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/read Lire toutes les propriétés dans les centres de sécurité et de conformité
microsoft.office365.securityComplianceCenter/allEntities/read Lire les propriétés standard dans le Centre de conformité et de sécurité Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de groupes

Les utilisateurs de ce rôle peuvent créer/gérer des groupes et ses paramètres, comme les stratégies d’attribution de noms et d’expiration. Il est important de comprendre que l’affectation d’un utilisateur à ce rôle lui donne la possibilité de gérer tous les groupes au sein de l’organisation dans diverses charges de travail telles que Teams, SharePoint et Yammer en plus d’Outlook. De même, l’utilisateur peut gérer les différents paramètres des groupes à travers divers portails d’administration, comme le centre d’administration Microsoft, le portail Azure, ainsi que des charges de travail spécifiques telles que Teams et les centres d’administration SharePoint.

Actions Description
microsoft.directory/groups/assignLicense Attribuer des licences de produits à des groupes pour la gestion des licences basée sur un groupe
microsoft.directory/groups/create Supprimer des groupes, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups/delete Supprimer des groupes, à l’exception du groupe à attribution de rôle
microsoft.directory/groups/hiddenMembers/read Lire les membres masqués d’un groupe
microsoft.directory/groups/reprocessLicenseAssignment Retraiter les attributions de licence pour la gestion des licences basée sur un groupe
microsoft.directory/groups/restore Restauration de groupes supprimés
microsoft.directory/groups/basic/update Mettre à jour des propriétés de base sur des groupes, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups/classification/update Mettre à jour la propriété de classification des groupes, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups/dynamicMembershipRule/update Mettre à jour la règle d’appartenance dynamique des groupes, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups/groupType/update Mettre à jour la propriété groupType pour un groupe
microsoft.directory/groups/members/update Mettre à jour les membres de groupes, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups/onPremWriteBack/update Mettre à jour les groupes Azure Active Directory pour être réécrits en local avec Azure AD Connect
microsoft.directory/groups/owners/update Mettre à jour les propriétaires des groupes, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/settings/update Mettre à jour les paramètres des groupes
microsoft.directory/groups/visibility/update Mettre à jour la propriété de visibilité des groupes
microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions Accorder à un principal de service l’accès direct aux données d’un groupe
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Inviteur

les utilisateurs auxquels ce rôle est assigné peuvent gérer les invitations d’utilisateurs invités Azure Active Directory B2B lorsque le paramètre utilisateur Les membres peuvent inviter est défini sur Non. Pour plus d’informations sur B2B Collaboration, consultez la page À propos d’Azure AD B2B Collaboration. Il n’inclut pas d’autres autorisations.

Actions Description
microsoft.directory/users/inviteGuest Inviter des utilisateurs
microsoft.directory/users/standard/read Lire les propriétés de base sur les utilisateurs
microsoft.directory/users/appRoleAssignments/read Lire les attributions de rôle d’application des utilisateurs
microsoft.directory/users/directReports/read Lire les collaborateurs directs des utilisateurs
microsoft.directory/users/manager/read Lire les gestionnaires d’utilisateurs
microsoft.directory/users/memberOf/read Lire les appartenances aux groupes des utilisateurs
microsoft.directory/users/oAuth2PermissionGrants/read Lire les octrois d’autorisations déléguées sur les utilisateurs
microsoft.directory/users/ownedDevices/read Lire les appareils détenus des utilisateurs
microsoft.directory/users/ownedObjects/read Lire les objets détenus des utilisateurs
microsoft.directory/users/registeredDevices/read Lire les appareils inscrits des utilisateurs

Administrateur du support technique

Les utilisateurs avec ce rôle peuvent changer des mots de passe, rendre non valides les jetons d’actualisation, gérer les demandes de service et superviser l’intégrité du service. L’invalidation d’un jeton d’actualisation oblige l’utilisateur à se reconnecter. Le rôle attribué à un utilisateur détermine si un administrateur du support technique peut réinitialiser le mot de passe de l’utilisateur et invalider les jetons d’actualisation. Pour obtenir la liste des rôles pour lesquels un administrateur du support technique peut réinitialiser les mots de passe et invalider les jetons d’actualisation, consultez Autorisations de réinitialisation de mot de passe.

Important

Les utilisateurs auxquels ce rôle est assigné peuvent changer les mots de passe des personnes susceptibles d’avoir accès à des informations sensibles ou privées ou à des configurations critiques à l’intérieur et à l’extérieur d’Azure Active Directory. Changer le mot de passe d’un utilisateur peut signifier la capacité d’assumer l’identité et les autorisations de cet utilisateur. Par exemple :

  • Les propriétaires d’inscription d’application et d’application d’entreprise, qui peuvent gérer les informations d’identification des applications qu’ils possèdent. Ces applications peuvent disposer d’autorisations privilégiées dans Azure AD et ailleurs qui ne sont pas accordées aux administrateurs du support technique. Grâce à ce chemin d’accès, un administrateur de support technique peut être en mesure d’assumer l’identité d’un propriétaire d’application, puis d’assumer l’identité d’une application privilégiée en mettant à jour les identifiants de celle-ci.
  • Propriétaires d’abonnement Azure, qui peuvent avoir accès à des informations confidentielles ou privées ou à une configuration critique dans Azure.
  • Propriétaires de groupe de sécurité et de groupe Microsoft 365, qui peuvent gérer l’appartenance à un groupe. Ces groupes peuvent accorder l’accès à des informations sensibles ou privées ou à une configuration critique dans Azure AD et ailleurs.
  • Administrateurs d’autres services en dehors d’Azure AD, tels qu’Exchange Online, le Centre de sécurité et de conformité Office et les systèmes de ressources humaines.
  • Les non-administrateurs comme les cadres supérieurs, les conseillers juridiques et les employés des ressources humaines qui peuvent avoir accès à des informations sensibles ou privées.

La délégation d’autorisations administratives à des sous-ensembles d’utilisateurs et l’application de stratégies à un sous-ensemble d’utilisateurs sont possibles avec des unités administratives.

Ce rôle était auparavant appelé « administrateur de mot de passe » dans le portail Azure. Le nom « Administrateur du support » dans Azure AD correspond maintenant à celui utilisé dans Azure AD PowerShell et l’API Microsoft Graph.

Actions Description
microsoft.directory/bitlockerKeys/key/read Lire les métadonnées et la clé BitLocker sur les appareils
microsoft.directory/users/invalidateAllRefreshTokens Forcer la déconnexion en invalidant les jetons d’actualisation de l’utilisateur
microsoft.directory/users/password/update Réinitialiser les mots de passe de tous les utilisateurs
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur d’identité hybride

Les utilisateurs de ce rôle peuvent créer, gérer et déployer la configuration de l’approvisionnement d’AD vers Azure AD via le cloud, ainsi que gérer Azure AD Connect et les paramètres de fédération. Les utilisateurs peuvent également dépanner et superviser les journaux à l’aide de ce rôle.

Actions Description
microsoft.directory/applications/create Créer tous les types d’applications
microsoft.directory/applications/delete Supprimer tous les types d’applications
microsoft.directory/applications/appRoles/update Mettre à jour la propriété appRoles sur tous les types d’applications
microsoft.directory/applications/audience/update Mettre à jour la propriété audience pour les applications
microsoft.directory/applications/authentication/update Mettre à jour l’authentification sur tous les types d’applications
microsoft.directory/applications/basic/update Mettre à jour les propriétés de base pour les applications
microsoft.directory/applications/credentials/update Mettre à jour les informations d’identification d’application
microsoft.directory/applications/owners/update Mettre à jour les propriétaires d’applications
microsoft.directory/applications/permissions/update Mettre à jour les autorisations exposées et les autorisations requises sur tous les types d’applications
microsoft.directory/applications/policies/update Mettre à jour les stratégies d’applications
microsoft.directory/applications/synchronization/standard/read Lire les paramètres de provisionnement associés à l’objet application
microsoft.directory/applicationTemplates/instantiate Instancier des applications de la galerie à partir de modèles d’application
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés dans les journaux d’audit, y compris les propriétés privilégiées
microsoft.directory/cloudProvisioning/allProperties/allTasks Lisez et configurez toutes les propriétés du service d’approvisionnement cloud Azure AD.
microsoft.directory/domains/allProperties/read Lire toutes les propriétés des domaines
microsoft.directory/domains/federation/update Mettre à jour la propriété de fédération des domaines
microsoft.directory/organization/dirSync/update Mettre à jour la propriété de synchronisation d’annuaire d’organisation
microsoft.directory/provisioningLogs/allProperties/read Lire toutes les propriétés des journaux de provisionnement.
microsoft.directory/servicePrincipals/create Créer des principaux de service
microsoft.directory/servicePrincipals/delete Supprimer des principaux de service
microsoft.directory/servicePrincipals/disable Désactiver des principaux de service
microsoft.directory/servicePrincipals/enable Activer des principaux de service
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gérer les secrets et les informations d’identification de l’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronizationJobs/manage Démarrer, redémarrer et suspendre les travaux de synchronisation d’approvisionnement des applications
microsoft.directory/servicePrincipals/synchronizationSchema/manage Créer et gérer le schéma et les tâches de synchronisation de l’approvisionnement des applications
microsoft.directory/servicePrincipals/audience/update Mettre à jour les propriétés d’audience sur les principaux de service
microsoft.directory/servicePrincipals/authentication/update Mettre à jour les propriétés d’authentification sur les principaux de service
microsoft.directory/servicePrincipals/basic/update Mettre à jour les propriétés de base sur les principaux de service
microsoft.directory/servicePrincipals/credentials/update Mettre à jour informations d’identification des principaux de service
microsoft.directory/servicePrincipals/owners/update Mettre à jour les propriétaires de principaux de service
microsoft.directory/servicePrincipals/permissions/update Mettre à jour les autorisations des principaux de service
microsoft.directory/servicePrincipals/policies/update Mettre à jour les stratégies des principaux de service
microsoft.directory/servicePrincipals/tag/update Mettre à jour la propriété Tag pour les principaux de service
microsoft.directory/servicePrincipals/synchronization/standard/read Lire les paramètres de provisionnement associés au principal de service
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur Insights

Les utilisateurs ayant ce rôle peuvent accéder à l’ensemble des fonctionnalités d’administration de l’application M365 Insights. Ce rôle permet de lire les informations d’annuaire, de superviser l’intégrité du service, de soumettre des tickets de support et d’accéder aux paramètres d’administration Insights.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.insights/allEntities/allTasks Gérer tous les aspects de l’application Insights
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Leader d’entreprise Insights

Les utilisateurs ayant ce rôle peuvent accéder à un ensemble de tableaux de bord et d’insights par le biais de l’application M365 Insights. Ceci inclut l’accès total à tous les tableaux de bord et aux insights présentés et la fonctionnalité d’exploration de données. Les utilisateurs ayant ce rôle n’ont pas accès aux paramètres de configuration du produit. Cet accès est réservé au rôle Administrateur Insights.

Actions Description
microsoft.insights/reports/read Visualiser les rapports et le tableau de bord dans l’application Insights
microsoft.insights/programs/update Déployer et gérer des programmes dans l’application Insights

Administrateur Intune

Les utilisateurs avec ce rôle ont des autorisations générales dans Microsoft Intune Online, quand le service est présent. Ce rôle donne aussi la possibilité de gérer les utilisateurs et les appareils afin d’associer la stratégie, ainsi que de créer et de gérer des groupes. Pour plus d’informations, consultez la page Contrôle d’accès en fonction du rôle (RBAC) avec Microsoft Intune.

Ce rôle peut créer et gérer tous les groupes de sécurité. Cependant, l’administrateur Intune ne dispose pas de droits d’administrateur pour les groupes Office. Cela signifie que l’administrateur ne peut pas mettre à jour les propriétaires ou les membres de tous les groupes Office au sein de l’organisation. Cependant, il peut gérer le groupe Office qu’il crée, ce qui fait partie de ses privilèges d’utilisateur final. Ainsi, tout groupe Office (et non un groupe de sécurité) qu’il crée doit être comptabilisé au titre de son quota de 250.

Notes

Dans l’API Microsoft Graph et Azure AD PowerShell, ce rôle est identifié comme « Administrateur de service Intune ». Il est « Administrateur Intune » dans le portail Azure.

Actions Description
microsoft.directory/bitlockerKeys/key/read Lire les métadonnées et la clé BitLocker sur les appareils
microsoft.directory/contacts/create Créer des contacts
microsoft.directory/contacts/delete Supprimer des contacts
microsoft.directory/contacts/basic/update Mettre à jour les propriétés de base sur les contacts
microsoft.directory/devices/create Créer des appareils (inscrire dans Azure AD)
microsoft.directory/devices/delete Supprimer des appareils d’Azure AD
microsoft.directory/devices/disable Désactiver des appareils dans Azure AD
microsoft.directory/devices/enable Activer des appareils dans Azure AD
microsoft.directory/devices/basic/update Mettre à jour les propriétés de base sur les appareils
microsoft.directory/devices/extensionAttributes/update Mettre à jour toutes les valeurs de la propriété devices.extensionAttributes
microsoft.directory/devices/registeredOwners/update Mettre à jour les propriétaires inscrits d’appareils
microsoft.directory/devices/registeredUsers/update Mettre à jour les utilisateurs inscrits d’appareils
microsoft.directory/deviceManagementPolicies/standard/read Lire les propriétés standard sur les stratégies d’application de gestion des appareils
microsoft.directory/deviceRegistrationPolicy/standard/read Lire les propriétés standard sur les stratégies d’inscription des appareils
microsoft.directory/groups/hiddenMembers/read Lire les membres masqués d’un groupe
microsoft.directory/groups.security/create Créer des groupes de sécurité, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.security/delete Créer des groupes de sécurité, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.security/basic/update Mettre à jour les propriétés de base sur des groupes de sécurité, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.security/classification/update Mettre à jour la propriété classification sur les groupes de sécurité à l’exclusion des groupes à attribution de rôle
microsoft.directory/groups.security/dynamicMembershipRule/update Mettre à jour la règle d'adhésion dynamique des groupes de sécurité, à l'exclusion des groupes attribuables à un rôle
microsoft.directory/groups.security/members/update Mettre à jour les membres de groupes de sécurité, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.security/owners/update Mettre à jour les propriétaires de groupes de sécurité, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.security/visibility/update Mettre à jour la propriété de visibilité sur les groupes de sécurité à l’exclusion des groupes à attribution de rôle
microsoft.directory/users/basic/update Mettre à jour les propriétés de base sur les utilisateurs
microsoft.directory/users/manager/update Mettre à jour le gestionnaire pour les utilisateurs
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.intune/allEntities/allTasks Gérez tous les aspects de Microsoft Intune
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur Kaizala

Les utilisateurs dotés de ce rôle ont des autorisations générales de gérer des paramètres au sein de Microsoft Kaizala, quand le service est présent, et ils peuvent gérer les tickets de support et superviser l’intégrité du service. De plus, l’utilisateur peut accéder à des rapports liés à l’adoption et à l’utilisation de Kaizala par les membres de l’organisation, ainsi qu’à des rapports d’entreprise générés avec les actions Kaizala.

Actions Description
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur des connaissances

Les utilisateurs dotés de ce rôle disposent d’un accès total à tous les paramètres de connaissances, d’apprentissage et de fonctionnalités intelligentes disponibles dans le centre d’administration Microsoft 365. Ils ont une compréhension générale de la suite de produits et des détails des licences et ont la responsabilité de contrôler l’accès. L’administrateur des connaissances peut créer et gérer du contenu, comme des rubriques, des acronymes et des ressources d’apprentissage. De plus, ces utilisateurs peuvent créer des centres de contenu, superviser l’intégrité du service et créer des demandes de service.

Actions Description
microsoft.directory/groups.security/create Créer des groupes de sécurité, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.security/createAsOwner Créer des groupes de sécurité, à l’exclusion des groupes assignables à un rôle, et le créateur est ajouté en tant que premier propriétaire
microsoft.directory/groups.security/delete Créer des groupes de sécurité, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.security/basic/update Mettre à jour les propriétés de base sur des groupes de sécurité, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.security/members/update Mettre à jour les membres de groupes de sécurité, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.security/owners/update Mettre à jour les propriétaires de groupes de sécurité, à l’exclusion des groupes assignables à un rôle
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Lire et mettre jour toutes les propriétés de la compréhension du contenu dans le centre d’administration Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Lire et mettre jour toutes les propriétés du réseau de connaissances dans le centre d’administration Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Gérer les sources d'apprentissage et toutes leurs propriétés dans l'application d'apprentissage
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Lire toutes les propriétés des étiquettes de sensibilité dans le Centre de sécurité et conformité
microsoft.office365.sharePoint/allEntities/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Gestionnaire des connaissances

Les utilisateurs qui disposent de ce rôle peuvent créer et gérer du contenu, comme des rubriques, des acronymes et du contenu d'apprentissage. Ces utilisateurs sont principalement responsables de la qualité et de la structure des connaissances. Cet utilisateur dispose de tous les droits sur les actions de gestion des rubriques pour confirmer une rubrique, approuver des modifications ou supprimer une rubrique. Ce rôle peut également gérer les taxonomies dans le cadre de l'outil de gestion du magasin de termes et créer des centres de contenu.

Actions Description
microsoft.directory/groups.security/create Créer des groupes de sécurité, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.security/createAsOwner Créer des groupes de sécurité, à l’exclusion des groupes assignables à un rôle, et le créateur est ajouté en tant que premier propriétaire
microsoft.directory/groups.security/delete Créer des groupes de sécurité, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.security/basic/update Mettre à jour les propriétés de base sur des groupes de sécurité, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.security/members/update Mettre à jour les membres de groupes de sécurité, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.security/owners/update Mettre à jour les propriétaires de groupes de sécurité, à l’exclusion des groupes assignables à un rôle
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Lire les rapports analytiques de la compréhension du contenu dans le Centre d'administration Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Gérer la visibilité des rubriques du réseau de connaissances dans le Centre d'administration Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de licence

Les utilisateurs dans ce rôle peuvent ajouter, supprimer et mettre à jour des attributions de licence pour les utilisateurs, les groupes (à l’aide de la gestion des licences par groupe) et gérer l’emplacement d’utilisation pour les utilisateurs. Le rôle ne permet pas d’acheter ou de gérer des abonnements, de créer ou de gérer des groupes, ni de créer ou de gérer les utilisateurs au-delà de leur emplacement d’utilisation. Ce rôle n’a pas d'accès pour afficher, créer ou gérer des tickets de support.

Actions Description
microsoft.directory/groups/assignLicense Attribuer des licences de produits à des groupes pour la gestion des licences basée sur un groupe
microsoft.directory/groups/reprocessLicenseAssignment Retraiter les attributions de licence pour la gestion des licences basée sur un groupe
microsoft.directory/users/assignLicense Gérer les licences utilisateur
microsoft.directory/users/reprocessLicenseAssignment Retraiter les attributions de licence pour les utilisateurs
microsoft.directory/users/usageLocation/update Mettre à jour l’emplacement d’utilisation des utilisateurs
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Lecteur de confidentialité du Centre de messages

Les utilisateurs dotés de ce rôle peuvent superviser toutes les notifications dans le Centre de messages, notamment les messages de confidentialité des données. Les lecteurs de confidentialité du Centre de messages reçoivent des notifications par e-mail, notamment celles liées à la confidentialité des données, et ils peuvent se désabonner à l’aide des préférences du Centre de messages. Seuls l’administrateur général et le lecteur de confidentialité du Centre de messages peuvent lire les messages de confidentialité des données. De plus, ce rôle permet de voir les groupes, les domaines et les abonnements. Il n’est pas autorisé à voir, créer ou gérer des demandes de service.

Actions Description
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.messageCenter/securityMessages/read Lire les messages de sécurité dans le Centre de messages du Centre d’administration Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Lecteur du Centre de messages

Les utilisateurs titulaires de ce rôle peuvent superviser les notifications et les mises à jour d’avis d’intégrité dans le Centre de messages pour leur organisation sur les services configurés comme Exchange, Intune et Microsoft Teams. Les lecteurs du Centre de messages reçoivent par e-mail des résumés hebdomadaires des publications, des mises à jour, et peuvent partager les messages publiés sur le Centre de messages dans Microsoft 365. Dans Azure AD, les utilisateurs affectés à ce rôle disposeront d’un accès en lecture seule aux services Azure AD comme les utilisateurs et les groupes. Ce rôle n’a pas d'accès pour afficher, créer ou gérer des tickets de support.

Actions Description
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Utilisateur de Commerce moderne

Ne pas utiliser. Ce rôle est attribué automatiquement à partir de Commerce, et n’est ni prévu, ni pris en charge pour toute autre utilisation. Consultez les détails ci-dessous.

Le rôle Utilisateur de Commerce moderne donne à certains utilisateurs l’autorisation d’accéder au centre d’administration Microsoft 365 et de consulter les entrées de navigation de gauche pour Hébergement, Facturation et Support. Le contenu disponible dans ces zones est contrôlé par des rôles spécifiques du commerce attribués aux utilisateurs pour gérer des produits qu’ils ont achetés pour eux-mêmes ou votre organisation. Cela peut inclure des tâches telles que le paiement de factures, ou l’accès à des comptes de facturation et à des profils de facturation.

Les utilisateurs ayant le rôle Utilisateur de Commerce moderne disposent généralement d’autorisations d’administration dans d’autres systèmes d’achat Microsoft, mais ne disposent pas des rôles Administrateur général ou Administrateur de facturation utilisés pour accéder au centre d’administration.

Quand le rôle Utilisateur de Commerce moderne est-il attribué ?

  • Achat en libre-service dans le Centre d’administration Microsoft 365 : l’achat en libre-service permet aux utilisateurs de tester de nouveaux produits en les achetant ou en s’y inscrivant eux-mêmes. Ces produits sont gérés dans le Centre d’administration. Les utilisateurs qui effectuent un achat en libre-service se voient attribuer un rôle dans le système Commerce et le rôle Utilisateur de Commerce moderne afin de pouvoir gérer leurs achats dans le centre d’administration. Les administrateurs peuvent bloquer les achats en libre-service (pour Power BI, Power Apps, Power automate) via PowerShell. Pour plus d’informations, consultez FAQ sur l’achat en libre-service.
  • Achats sur la Place de marché commerciale de Microsoft : comme pour l’achat en libre-service, quand un utilisateur achète un produit ou un service sur Microsoft AppSource ou la Place de Marché Azure, le rôle Utilisateur de Commerce moderne lui est attribué s’il n’a pas le rôle Administrateur général ou Administrateur de facturation. Dans certains cas, il peut arriver que des utilisateurs soient empêchés d’effectuer ces achats. Pour plus d’informations, consultez Place de marché commerciale de Microsoft.
  • Propositions de Microsoft : une proposition est une offre formelle de Microsoft à votre organisation pour l’achat de produits et services Microsoft. Quand la personne qui accepte la proposition n’a pas de rôle Administrateur général ou Administrateur de facturation dans Azure AD, elle se voit attribuer un rôle spécifique du commerce pour compléter la proposition et le rôle Utilisateur de Commerce moderne pour accéder au centre d’administration. Quand elle accède au Centre d’administration, elle ne peut utiliser que des fonctionnalités autorisées par son rôle spécifique du commerce.
  • Rôles spécifiques du commerce : certains utilisateurs se voient attribuer des rôles spécifiques du commerce. Si un utilisateur n’est pas Administrateur général ou Administrateur de facturation, il obtient le rôle Utilisateur de Commerce moderne qui lui permet d’accéder au centre d’administration.

En cas de suppression de l’attribution du rôle Utilisateur de Commerce moderne à un utilisateur, celui-ci perd son accès au centre d’administration Microsoft 365. S’il gérait des produits pour lui-même ou pour votre organisation, ils ne peut plus les gérer. Cette gestion peut inclure l’attribution de licences, la modification de modes de paiement, le paiement de factures ou d’autres tâches d’administration des abonnements.

Actions Description
microsoft.commerce.billing/partners/read Lire la propriété partenaire de la facturation Microsoft 365
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Gérer tous les aspects du Centre de services de licences en volume
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/basic/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur réseau

Les utilisateurs de ce rôle peuvent passer en revue les recommandations de Microsoft relatives à l’architecture du périmètre réseau basées sur la télémétrie du réseau à partir de leur emplacement utilisateur. Les performances réseau pour Microsoft 365 s’appuient sur une architecture de périmètre de réseau client entreprise soigneuse, qui est généralement propre à la localisation de l’utilisateur. Ce rôle permet de modifier les emplacements utilisateur découverts et la configuration des paramètres réseau pour ces emplacements afin de faciliter les mesures de télémétrie et les suggestions de conception améliorées

Actions Description
microsoft.office365.network/locations/allProperties/allTasks Gérer tous les aspects des emplacements réseau
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur d’applications Office

Les utilisateurs titulaires de ce rôle peuvent gérer les paramètres cloud des applications Microsoft 365. Cela comprend la gestion des stratégies cloud, la gestion du téléchargement en libre-service et la possibilité d’afficher des rapports relatifs aux applications Office. Ce rôle accorde en outre la possibilité de gérer les tickets de support et de surveiller l’intégrité du service au sein du centre d’administration principal. Les utilisateurs affectés à ce rôle peuvent également gérer la communication de nouvelles fonctionnalités dans les applications Office.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.userCommunication/allEntities/allTasks Lire et mettre à jour la visibilité des messages Nouveautés
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Prise en charge de niveau 1 de partenaire

Ne pas utiliser. Ce rôle est déconseillé et sera prochainement supprimé d’Azure AD. Il s’adresse à un petit nombre de partenaires revendeurs Microsoft et n’est pas destiné à une utilisation générale.

Important

Ce rôle peut réinitialiser les mots de passe et invalider les jetons d’actualisation uniquement pour les non-administrateurs. Ce rôle ne doit pas être utilisé, car il est déconseillé et ne sera plus réintégré dans l’API.

Actions Description
microsoft.directory/applications/appRoles/update Mettre à jour la propriété appRoles sur tous les types d’applications
microsoft.directory/applications/audience/update Mettre à jour la propriété audience pour les applications
microsoft.directory/applications/authentication/update Mettre à jour l’authentification sur tous les types d’applications
microsoft.directory/applications/basic/update Mettre à jour les propriétés de base pour les applications
microsoft.directory/applications/credentials/update Mettre à jour les informations d’identification d’application
microsoft.directory/applications/owners/update Mettre à jour les propriétaires d’applications
microsoft.directory/applications/permissions/update Mettre à jour les autorisations exposées et les autorisations requises sur tous les types d’applications
microsoft.directory/applications/policies/update Mettre à jour les stratégies d’applications
microsoft.directory/contacts/create Créer des contacts
microsoft.directory/contacts/delete Supprimer des contacts
microsoft.directory/contacts/basic/update Mettre à jour les propriétés de base sur les contacts
microsoft.directory/groups/create Supprimer des groupes, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups/delete Supprimer des groupes, à l’exception du groupe à attribution de rôle
microsoft.directory/groups/restore Restauration de groupes supprimés
microsoft.directory/groups/members/update Mettre à jour les membres de groupes, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups/owners/update Mettre à jour les propriétaires des groupes, à l’exception des groupes à attribution de rôle
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Créer et supprimer des octrois d’autorisations OAuth 2.0, et lire et mettre à jour toutes les propriétés
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Mettre à jour les attributions de rôles des principaux de service
microsoft.directory/users/assignLicense Gérer les licences utilisateur
microsoft.directory/users/create Ajouter des utilisateurs
microsoft.directory/users/delete Suppression d’utilisateurs
microsoft.directory/users/disable Désactiver des utilisateurs
microsoft.directory/users/enable Activer des utilisateurs
microsoft.directory/users/invalidateAllRefreshTokens Forcer la déconnexion en invalidant les jetons d’actualisation de l’utilisateur
microsoft.directory/users/restore Restaurer des utilisateurs supprimés
microsoft.directory/users/basic/update Mettre à jour les propriétés de base sur les utilisateurs
microsoft.directory/users/manager/update Mettre à jour le gestionnaire pour les utilisateurs
microsoft.directory/users/password/update Réinitialiser les mots de passe de tous les utilisateurs
microsoft.directory/users/userPrincipalName/update Mettre à jour le nom d’utilisateur principal des utilisateurs
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Prise en charge de niveau 2 de partenaire

Ne pas utiliser. Ce rôle est déconseillé et sera prochainement supprimé d’Azure AD. Il s’adresse à un petit nombre de partenaires revendeurs Microsoft et n’est pas destiné à une utilisation générale.

Important

Ce rôle peut réinitialiser les mots de passe et invalider les jetons d’actualisation pour l’ensemble des non-administrateurs et des administrateurs (y compris les administrateurs généraux). Ce rôle ne doit pas être utilisé, car il est déconseillé et ne sera plus réintégré dans l’API.

Actions Description
microsoft.directory/applications/appRoles/update Mettre à jour la propriété appRoles sur tous les types d’applications
microsoft.directory/applications/audience/update Mettre à jour la propriété audience pour les applications
microsoft.directory/applications/authentication/update Mettre à jour l’authentification sur tous les types d’applications
microsoft.directory/applications/basic/update Mettre à jour les propriétés de base pour les applications
microsoft.directory/applications/credentials/update Mettre à jour les informations d’identification d’application
microsoft.directory/applications/owners/update Mettre à jour les propriétaires d’applications
microsoft.directory/applications/permissions/update Mettre à jour les autorisations exposées et les autorisations requises sur tous les types d’applications
microsoft.directory/applications/policies/update Mettre à jour les stratégies d’applications
microsoft.directory/contacts/create Créer des contacts
microsoft.directory/contacts/delete Supprimer des contacts
microsoft.directory/contacts/basic/update Mettre à jour les propriétés de base sur les contacts
microsoft.directory/domains/allProperties/allTasks Créer et supprimer des domaines, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/groups/create Supprimer des groupes, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups/delete Supprimer des groupes, à l’exception du groupe à attribution de rôle
microsoft.directory/groups/restore Restauration de groupes supprimés
microsoft.directory/groups/members/update Mettre à jour les membres de groupes, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups/owners/update Mettre à jour les propriétaires des groupes, à l’exception des groupes à attribution de rôle
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Créer et supprimer des octrois d’autorisations OAuth 2.0, et lire et mettre à jour toutes les propriétés
microsoft.directory/organization/basic/update Mettre à jour des propriétés de base sur une organisation
microsoft.directory/roleAssignments/allProperties/allTasks Créer et supprimer des attributions de rôle, et lire et mettre à jour toutes les propriétés des attributions de rôle
microsoft.directory/roleDefinitions/allProperties/allTasks Créer et supprimer des définitions de rôle, et lire et mettre à jour toutes les propriétés
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Créer et supprimer des scopedRoleMemberships, et lire et mettre à jour toutes les propriétés
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Mettre à jour les attributions de rôles des principaux de service
microsoft.directory/subscribedSkus/standard/read Lire les propriétés de base sur les abonnements
microsoft.directory/users/assignLicense Gérer les licences utilisateur
microsoft.directory/users/create Ajouter des utilisateurs
microsoft.directory/users/delete Suppression d’utilisateurs
microsoft.directory/users/disable Désactiver des utilisateurs
microsoft.directory/users/enable Activer des utilisateurs
microsoft.directory/users/invalidateAllRefreshTokens Forcer la déconnexion en invalidant les jetons d’actualisation de l’utilisateur
microsoft.directory/users/restore Restaurer des utilisateurs supprimés
microsoft.directory/users/basic/update Mettre à jour les propriétés de base sur les utilisateurs
microsoft.directory/users/manager/update Mettre à jour le gestionnaire pour les utilisateurs
microsoft.directory/users/password/update Réinitialiser les mots de passe de tous les utilisateurs
microsoft.directory/users/userPrincipalName/update Mettre à jour le nom d’utilisateur principal des utilisateurs
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de mots de passe

Les utilisateurs disposant de ce rôle ont une capacité limitée à gérer les mots de passe. Ce rôle n’accorde pas la possibilité de gérer les demandes de service ou de surveiller l’intégrité du service. Le rôle attribué à un utilisateur détermine si un administrateur de mot de passe peut réinitialiser le mot de passe de l’utilisateur. Pour obtenir la liste des rôles pour lesquels un administrateur de mot de passe peut réinitialiser les mots de passe, consultez Autorisations de réinitialisation de mot de passe.

Actions Description
microsoft.directory/users/password/update Réinitialiser les mots de passe de tous les utilisateurs
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur Power BI

Les utilisateurs avec ce rôle ont des autorisations générales dans Microsoft Power BI, quand le service est présent, et peuvent gérer les tickets de support et superviser l’intégrité du service. Pour plus d’informations, consultez la page Présentation du rôle d’administrateur Power BI.

Notes

Dans l’API Microsoft Graph et Azure AD PowerShell, ce rôle est identifié comme « Administrateur de service Power BI ». Il est appelé « Administrateur Power BI » dans le portail Azure.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.powerApps.powerBI/allEntities/allTasks Gérez tous les aspects de Power BI

Administrateur de plateforme Power

Les utilisateurs de ce rôle peuvent créer et gérer tous les aspects des environnements, PowerApps, Flow et les stratégies de protection contre la perte de données. Les utilisateurs avec ce rôle sont aussi en mesure de gérer les tickets de support et de surveiller l’état des services.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.dynamics365/allEntities/allTasks Gérez tous les aspects de Dynamics 365
microsoft.flow/allEntities/allTasks Gérez tous les aspects de Microsoft Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.powerApps/allEntities/allTasks Gérez tous les aspects de Power Apps

Administrateur d’imprimantes

Les utilisateurs ayant ce rôle peuvent inscrire des imprimantes et gérer tous les aspects de toutes les configurations d’imprimante dans la solution d’impression universelle Microsoft, y compris les paramètres du connecteur d’impression universel. Ils peuvent consentir à toutes les demandes d’autorisation d’impression déléguée. Les administrateurs d’imprimantes ont également accès aux rapports d’impression.

Actions Description
microsoft.azure.print/allEntities/allProperties/allTasks Créer et supprimer des imprimantes et des connecteurs, ainsi que lire et mettre à jour toutes les propriétés dans Microsoft Print

Technicien en charge des imprimantes

Les utilisateurs ayant ce rôle peuvent inscrire des imprimantes et gérer leur état dans la solution d’impression universelle Microsoft. Ils peuvent également lire toutes les informations du connecteur. Une tâche clé qu’un technicien en charge des imprimantes ne peut pas accomplir est la définition d’autorisations utilisateur sur des imprimantes et le partage d’imprimantes.

Actions Description
microsoft.azure.print/connectors/allProperties/read Lire toutes les propriétés des connecteurs dans Microsoft Print
microsoft.azure.print/printers/allProperties/read Lire toutes les propriétés des imprimantes dans Microsoft Print
microsoft.azure.print/printers/register Inscrire des imprimantes dans Microsoft Print
microsoft.azure.print/printers/unregister Désinscrire des imprimantes dans Microsoft Print
microsoft.azure.print/printers/basic/update Mettre à jour les propriétés de base des imprimantes dans Microsoft Print

Administrateur d’authentification privilégié

Les utilisateurs disposant de ce rôle peuvent définir ou réinitialiser toute méthode d’authentification (y compris les mots de passe) pour n’importe quel utilisateur, y compris les administrateurs généraux. Les administrateurs d’authentification privilégiés peuvent forcer les utilisateurs à se réinscrire avec des informations d’identification sans mot de passe existantes (par exemple, MFA, FIDO) et à révoquer la mémorisation de l’authentification multifacteur sur l’appareil, ce qui a pour effet de demander une authentification multifacteur lors de la prochaine connexion de tous les utilisateurs.

Le rôle d' administrateur d’authentification a l’autorisation de forcer la réinscription et l’authentification multifacteur pour les utilisateurs standard et les utilisateurs avec des rôles d’administrateur.

Le rôle d’administrateur de la stratégie d’authentification dispose des autorisations nécessaires pour définir la stratégie de méthode d’authentification du locataire qui détermine les méthodes que chaque utilisateur peut inscrire et utiliser.

Role Gérer les méthodes d’authentification de l’utilisateur Gérer l’authentification multifacteur par utilisateur Gérer les paramètres de l’authentification multifacteur Gérer la stratégie de méthode d’authentification Gérer la stratégie de protection par mot de passe
Administrateur d’authentification Oui pour certains utilisateurs (voir ci-dessus) Oui pour certains utilisateurs (voir ci-dessus) Non Non Non
Administrateur d’authentification privilégié Oui pour tous les utilisateurs Oui pour tous les utilisateurs Non Non Non
Administrateur de la stratégie d’authentification Non Non Oui Oui Oui

Important

Les utilisateurs auxquels ce rôle est assigné peuvent changer les informations d’identification des personnes susceptibles d’avoir accès à des informations sensibles ou privées ou à des configurations critiques à l’intérieur et à l’extérieur d’Azure Active Directory. Changer les informations d’identification d’un utilisateur peut signifier la capacité d’assumer l’identité et les autorisations de cet utilisateur. Par exemple :

  • Les propriétaires d’inscription d’application et d’application d’entreprise, qui peuvent gérer les informations d’identification des applications qu’ils possèdent. Ces applications peuvent disposer d’autorisations privilégiées dans Azure AD et ailleurs qui ne sont pas accordées aux administrateurs d’authentification. Par ce biais, un administrateur d’authentification peut assumer l’identité d’un propriétaire d’application, puis d’assumer l’identité d’une application privilégiée en mettant à jour les identifiants de celle-ci.
  • Propriétaires d’abonnement Azure, qui peuvent avoir accès à des informations confidentielles ou privées ou à une configuration critique dans Azure.
  • Propriétaires de groupe de sécurité et de groupe Microsoft 365, qui peuvent gérer l’appartenance à un groupe. Ces groupes peuvent accorder l’accès à des informations sensibles ou privées ou à une configuration critique dans Azure AD et ailleurs.
  • Administrateurs d’autres services en dehors d’Azure AD, tels qu’Exchange Online, le Centre de sécurité et de conformité Office et les systèmes de ressources humaines.
  • Les non-administrateurs comme les cadres supérieurs, les conseillers juridiques et les employés des ressources humaines qui peuvent avoir accès à des informations sensibles ou privées.

Important

Ce rôle ne peut actuellement pas gérer l’authentification multifacteur par utilisateur dans le portail de gestion d’authentification multifacteur hérité. Les mêmes fonctions peuvent être effectuées à l’aide du module Azure AD Powershell de l’applet de commande Set-MsolUser.

Actions Description
microsoft.directory/users/invalidateAllRefreshTokens Forcer la déconnexion en invalidant les jetons d’actualisation de l’utilisateur
microsoft.directory/users/strongAuthentication/update Mettre à jour la propriété d’authentification forte pour les utilisateurs
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de rôle privilégié

Les utilisateurs avec ce rôle peuvent gérer les attributions de rôles dans Azure Active Directory et Azure AD Privileged Identity Management. Ils peuvent créer et gérer des groupes qui peuvent être affectés à des rôles Azure AD. De plus, ce rôle permet de gérer tous les aspects de Privileged Identity Management et des unités administratives.

Important

Ce rôle donne la possibilité de gérer les attributions de tous les rôles Azure AD, y compris le rôle d’administrateur général. Ce rôle n’inclut pas d’autres capacités privilégiées dans Azure AD, comme la création ou la mise à jour des utilisateurs. Toutefois, les utilisateurs affectés à ce rôle peuvent s’accorder ou accorder à d’autres des privilèges supplémentaires en leur attribuant des rôles supplémentaires.

Actions Description
microsoft.directory/administrativeUnits/allProperties/allTasks Créez et gérez des unités administratives (y compris les membres).
microsoft.directory/appRoleAssignments/allProperties/allTasks Créer et supprimer des appRoleAssignments, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/authorizationPolicy/allProperties/allTasks Gérez tous les aspects des stratégies d’autorisation
microsoft.directory/directoryRoles/allProperties/allTasks Créer et supprimer des rôles d’annuaire, ainsi que lire et mettre à jour toutes les propriétés
microsoft.directory/groupsAssignableToRoles/create Créer des groupes pouvant se voir attribuer des rôles
microsoft.directory/groupsAssignableToRoles/delete Supprimer des groupes assignables à un rôle
microsoft.directory/groupsAssignableToRoles/restore Restaurer des groupes assignables à un rôle
microsoft.directory/groupsAssignableToRoles/allProperties/update Mettre à jour des groupes assignables à un rôle
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Créer et supprimer des octrois d’autorisations OAuth 2.0, et lire et mettre à jour toutes les propriétés
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard dans Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks Créer et supprimer des attributions de rôle, et lire et mettre à jour toutes les propriétés des attributions de rôle
microsoft.directory/roleDefinitions/allProperties/allTasks Créer et supprimer des définitions de rôle, et lire et mettre à jour toutes les propriétés
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Créer et supprimer des scopedRoleMemberships, et lire et mettre à jour toutes les propriétés
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Mettre à jour les attributions de rôles des principaux de service
microsoft.directory/servicePrincipals/permissions/update Mettre à jour les autorisations des principaux de service
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Consentir à toute autorisation sur toute application
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Lecteur de rapports

Les utilisateurs avec ce rôle peuvent voir les données de rapports sur l’utilisation et le tableau de bord des rapports dans le centre d’administration Microsoft 365 et le pack du contexte d’adoption dans Power BI. En outre, ce rôle donne accès aux rapports de connexion et aux activités dans Azure AD, ainsi qu’aux données renvoyées par l’API de création de rapports Microsoft Graph. Un utilisateur disposant du rôle Lecteur de rapports peut uniquement accéder au métriques d’utilisation et d’adoption pertinentes. Il n’a pas les autorisations administrateur permettant de configurer les paramètres ou d’accéder aux centres d’administration propres au produit comme Exchange. Ce rôle n’a pas d'accès pour afficher, créer ou gérer des tickets de support.

Actions Description
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés dans les journaux d’audit, y compris les propriétés privilégiées
microsoft.directory/provisioningLogs/allProperties/read Lire toutes les propriétés des journaux de provisionnement.
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de recherche

Les utilisateurs dotés de ce rôle disposent d’un accès total à toutes les fonctionnalités de gestion de Recherche Microsoft disponibles dans le centre d’administration Microsoft 365. De plus, ces utilisateurs peuvent voir le Centre de messages, superviser l’intégrité du service et créer des demandes de service.

Actions Description
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.search/content/manage Créer et supprimer du contenu, ainsi que lire et mettre à jour toutes les propriétés dans Recherche Microsoft
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Éditeur de recherche

Les utilisateurs dotés de ce rôle peuvent créer, gérer et supprimer du contenu pour Recherche Microsoft dans le centre d’administration Microsoft 365, notamment des signets, des questions et réponses, ainsi que des emplacements.

Actions Description
microsoft.office365.messageCenter/messages/read Lire les messages dans le Centre de messages du Centre d’administration Microsoft 365, à l’exclusion des messages de sécurité
microsoft.office365.search/content/manage Créer et supprimer du contenu, ainsi que lire et mettre à jour toutes les propriétés dans Recherche Microsoft
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de sécurité

Les utilisateurs disposant de ce rôle sont autorisés à gérer les fonctionnalités liées à la sécurité dans le Centre de sécurité Microsoft 365, Azure Active Directory Identity Protection, Azure Active Directory Authentication, Azure Information Protection et le Centre de sécurité et conformité Office 365. Pour plus d’informations sur les autorisations Office 365, consultez Autorisations dans le Centre de sécurité et de conformité.

Dans Peut
Centre de sécurité Microsoft 365 Surveiller les stratégies de sécurité au sein des services Microsoft 365
Gérer les menaces et les alertes liées à la sécurité
Afficher les rapports
Identity Protection Center Toutes les autorisations du rôle lecteur de sécurité
En outre, possibilité d’effectuer toutes les opérations du centre de protection de l'identité, à l’exception de la réinitialisation des mots de passe.
Privileged Identity Management Toutes les autorisations du rôle lecteur de sécurité
Ne peut pas gérer les paramètres ou les attributions de rôle Azure AD
Centre de sécurité et conformité Office 365 Gérer les stratégies de sécurité
Afficher, examiner et répondre aux menaces de sécurité
Afficher les rapports
Azure Advanced Threat Protection Surveiller et répondre aux activités de sécurité suspectes
Windows Defender ATP et EDR Attribuer des rôles
Gérer des groupes de machines
Configurer la détection des menaces liées aux points de terminaison et leur correction automatisée
Afficher, examiner et répondre aux alertes
Intune Affiche des informations relatives à l'utilisateur, l'appareil, l'inscription, la configuration et l'application
Ne peut apporter de modifications à Intune
Cloud App Security Ajouter des administrateurs, des stratégies et des paramètres, charger des journaux d’activité et effectuer des actions de gouvernance
Centre de sécurité Azure peut afficher les stratégies de sécurité, les états de sécurité, les alertes et les recommandations, et ignorer les alertes et les recommandations
Intégrité des services Microsoft 365 Afficher l’intégrité des services Microsoft 365
Verrouillage intelligent Définissez le seuil et la durée des verrouillages lorsque des événements d’échec de connexion se produisent.
Protection par mot de passe Configurez une liste personnalisée de mots de passe interdits ou une protection par mot de passe locale.
Actions Description
microsoft.directory/applications/policies/update Mettre à jour les stratégies d’applications
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés dans les journaux d’audit, y compris les propriétés privilégiées
microsoft.directory/bitlockerKeys/key/read Lire les métadonnées et la clé BitLocker sur les appareils
microsoft.directory/entitlementManagement/allProperties/read Lire toutes les propriétés dans la fonctionnalité de gestion des droits d’utilisation Azure AD
microsoft.directory/identityProtection/allProperties/read Lire toutes les ressources dans Azure AD Identity Protection
microsoft.directory/identityProtection/allProperties/update Mettre à jour toutes les ressources dans Azure AD Identity Protection
microsoft.directory/policies/create Créer des stratégies dans Azure AD
microsoft.directory/policies/delete Supprimer des stratégies Azure AD
microsoft.directory/policies/basic/update Mettre à jour les propriétés de base sur les stratégies
microsoft.directory/policies/owners/update Mettre à jour les propriétaires de stratégies
microsoft.directory/policies/tenantDefault/update Mettre à jour les stratégies d’organisation par défaut
microsoft.directory/conditionalAccessPolicies/create Créer des stratégies d’accès conditionnel
microsoft.directory/conditionalAccessPolicies/delete Supprimer des stratégies d’accès conditionnel
microsoft.directory/conditionalAccessPolicies/standard/read Accès conditionnel en lecture pour les stratégies
microsoft.directory/conditionalAccessPolicies/owners/read Lire les propriétaires des stratégies d’accès conditionnel
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Lire la propriété « appliqué à » pour les stratégies d’accès conditionnel
microsoft.directory/conditionalAccessPolicies/basic/update Mettre à jour les propriétés de base pour les stratégies d’accès conditionnel
microsoft.directory/conditionalAccessPolicies/owners/update Mettre à jour les propriétaires des stratégies d’accès conditionnel
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Mettre à jour le locataire par défaut pour les stratégies d’accès conditionnelles
microsoft.directory/crossTenantAccessPolicies/create Créer des stratégies d’accès inter-locataires
microsoft.directory/crossTenantAccessPolicies/delete Supprimer des stratégies d’accès inter-locataires
microsoft.directory/crossTenantAccessPolicies/standard/read Lire les propriétés de base des stratégies d’accès inter-locataires
microsoft.directory/crossTenantAccessPolicies/owners/read Lire les propriétaires de stratégies d’accès inter-locataires
microsoft.directory/crossTenantAccessPolicies/policyAppliedTo/read Lire la propriété policyAppliedTo des stratégies d’accès inter-locataires
microsoft.directory/crossTenantAccessPolicies/basic/update Mettre à jour les propriétés de base des stratégies d’accès inter-locataires
microsoft.directory/crossTenantAccessPolicies/owners/update Mettre à jour les propriétaires de stratégies d’accès inter-locataires
microsoft.directory/crossTenantAccessPolicies/tenantDefault/update Mettre à jour le locataire par défaut pour les stratégies d’accès inter-locataires
microsoft.directory/privilegedIdentityManagement/allProperties/read Lire toutes les ressources dans Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lire toutes les propriétés des journaux de provisionnement.
microsoft.directory/servicePrincipals/policies/update Mettre à jour les stratégies des principaux de service
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.protectionCenter/allEntities/standard/read Lire les propriétés standard de toutes les ressources dans les centres de sécurité et de conformité
microsoft.office365.protectionCenter/allEntities/basic/update Mettre à jour les propriétés de base de toutes les ressources dans les centres de sécurité et de conformité
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Créer et gérer des charges utiles d’attaque dans le Simulateur d’attaques
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Lire les rapports de simulation d’attaque, les réponses et la formation associée
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Créer et gérer des modèles de simulation d’attaque dans le Simulateur d’attaques
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Opérateur de sécurité

Les utilisateurs dotés de ce rôle peuvent gérer les alertes et disposent d’un accès global en lecture seule aux fonctionnalités liées à la sécurité, notamment à toutes les informations disponibles dans le centre de sécurité Microsoft 365, Azure Active Directory, Identity Protection, Privileged Identity Management et le Centre de sécurité et de conformité Office 365. Pour plus d’informations sur les autorisations Office 365, consultez Autorisations dans le Centre de sécurité et de conformité.

Dans Peut
Centre de sécurité Microsoft 365 Toutes les autorisations du rôle lecteur de sécurité
Voir, examiner et répondre aux alertes sur les menaces de sécurité
Azure AD Identity Protection Toutes les autorisations du rôle lecteur de sécurité
En outre, possibilité d’effectuer toutes les opérations du centre de protection de l’identité, à l’exception de la réinitialisation des mots de passe et de la configuration des e-mails d’alerte.
Privileged Identity Management Toutes les autorisations du rôle lecteur de sécurité
Centre de sécurité et conformité Office 365 Toutes les autorisations du rôle lecteur de sécurité
Voir, examiner et répondre aux alertes de sécurité
Windows Defender ATP et EDR Toutes les autorisations du rôle lecteur de sécurité
Voir, examiner et répondre aux alertes de sécurité
Intune Toutes les autorisations du rôle lecteur de sécurité
Cloud App Security Toutes les autorisations du rôle lecteur de sécurité
Intégrité des services Microsoft 365 Afficher l’intégrité des services Microsoft 365
Actions Description
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés dans les journaux d’audit, y compris les propriétés privilégiées
microsoft.directory/cloudAppSecurity/allProperties/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard dans Microsoft Cloud App Security
microsoft.directory/identityProtection/allProperties/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard dans Azure AD Identity Protection
microsoft.directory/privilegedIdentityManagement/allProperties/read Lire toutes les ressources dans Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lire toutes les propriétés des journaux de provisionnement.
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.azure.advancedThreatProtection/allEntities/allTasks Gérer tous les aspects d’Azure Advanced Threat Protection
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.intune/allEntities/read Lire toutes les ressources dans Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard dans le Centre de sécurité et conformité Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Gérer tous les aspects de Microsoft Defender pour point de terminaison

Lecteur Sécurité

Les utilisateurs dotés de ce rôle ont un accès en lecture seule au niveau global à la fonctionnalité liée à la sécurité, notamment à toutes les informations dans le centre de sécurité Microsoft 365, Azure Active Directory, Identity Protection, Privileged Identity Management. Ils peuvent aussi lire les rapports sur les connexions Azure Active Directory et les journaux d’audit, ainsi que dans le centre de sécurité et de conformité Office 365. Pour plus d’informations sur les autorisations Office 365, consultez Autorisations dans le Centre de sécurité et de conformité.

Dans Peut
Centre de sécurité Microsoft 365 Afficher les stratégies de sécurité au sein des services Microsoft 365
Afficher les menaces et les alertes liées à la sécurité
Afficher les rapports
Identity Protection Center Lire tous les rapports de sécurité et informations de paramètres pour les fonctionnalités de sécurité
  • Anti-spam
  • Chiffrement
  • Prévention contre la perte de données
  • Anti-programme malveillant
  • Détection avancée des menaces
  • Anti-hameçonnage
  • Règles de flux courrier
Privileged Identity Management A un accès en lecture seule à toutes les informations disponibles dans Azure AD Privileged Identity Management : Stratégies et rapports pour les attributions de rôles Azure AD et révisions de sécurité.
Ne peut pas s’inscrire auprès d’Azure AD Privileged Identity Management ni y apporter des modifications. Dans le portail Privileged Identity Management ou par le biais de PowerShell, un membre ayant ce rôle peut activer des rôles supplémentaires (par exemple, un administrateur général ou un administrateur de rôle privilégié), s’il est éligible.
Centre de sécurité et conformité Office 365 Afficher les stratégies de sécurité
Afficher et examiner les menaces de sécurité
Afficher les rapports
Windows Defender ATP et EDR Afficher et examiner les alertes. Lorsque vous activez le contrôle d’accès en fonction du rôle dans Windows Defender ATP, les utilisateurs disposant d’autorisations en lecture seule, comme le rôle Lecteur Sécurité Azure AD perdent l’accès jusqu’à ce qu’ils soient affectés à un rôle Windows Defender ATP.
Intune Affiche des informations relatives à l'utilisateur, l'appareil, l'inscription, la configuration et l'application. Ne peut pas apporter de modifications à Intune.
Cloud App Security Dispose d'autorisations en lecture seule et peut gérer les alertes
Centre de sécurité Azure peut afficher les recommandations et les alertes, afficher les stratégies de sécurité, afficher les états de la sécurité, mais ne peut pas apporter des modifications
Intégrité des services Microsoft 365 Afficher l’intégrité des services Microsoft 365
Actions Description
microsoft.directory/auditLogs/allProperties/read Lire toutes les propriétés dans les journaux d’audit, y compris les propriétés privilégiées
microsoft.directory/bitlockerKeys/key/read Lire les métadonnées et la clé BitLocker sur les appareils
microsoft.directory/entitlementManagement/allProperties/read Lire toutes les propriétés dans la fonctionnalité de gestion des droits d’utilisation Azure AD
microsoft.directory/identityProtection/allProperties/read Lire toutes les ressources dans Azure AD Identity Protection
microsoft.directory/policies/standard/read Lire les propriétés de base sur les stratégies
microsoft.directory/policies/owners/read Lire les propriétaires de stratégies
microsoft.directory/policies/policyAppliedTo/read Lire la propriété policies.policyAppliedTo
microsoft.directory/conditionalAccessPolicies/standard/read Accès conditionnel en lecture pour les stratégies
microsoft.directory/conditionalAccessPolicies/owners/read Lire les propriétaires des stratégies d’accès conditionnel
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Lire la propriété « appliqué à » pour les stratégies d’accès conditionnel
microsoft.directory/privilegedIdentityManagement/allProperties/read Lire toutes les ressources dans Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lire toutes les propriétés des journaux de provisionnement.
microsoft.directory/signInReports/allProperties/read Lire toutes les propriétés dans les rapports de connexion, y compris les propriétés privilégiées
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.office365.protectionCenter/allEntities/standard/read Lire les propriétés standard de toutes les ressources dans les centres de sécurité et de conformité
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Lire toutes les propriétés des charges utiles d’attaque dans le Simulateur d’attaques
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Lire les rapports de simulation d’attaque, les réponses et la formation associée
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Lire toutes les propriétés des modèles de simulation d’attaque dans le Simulateur d’attaques
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur de support de service

Les utilisateurs titulaires de ce rôle peuvent ouvrir des demandes de support auprès de Microsoft pour les services Azure et Microsoft 365, ainsi que voir le tableau de bord des services et le Centre de messages dans le portail Azure et le centre d’administration Microsoft 365. Plus d’informations sur les Rôles d’administrateur.

Notes

Auparavant, ce rôle était nommé « Administrateur de services » dans Portail Azure et le Centre d’administration Microsoft 365. Nous l’avons renommé « Administrateur de support de service » pour l’aligner sur le nom existant dans l’API Microsoft Graph, l’API Azure AD Graph et Azure AD PowerShell.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur SharePoint

Les utilisateurs avec ce rôle ont des autorisations générales dans Microsoft SharePoint Online, quand le service est présent. Ils peuvent également créer et gérer tous les groupes Microsoft 365, gérer les tickets de support et superviser l’intégrité des services. Plus d’informations sur les Rôles d’administrateur.

Notes

Dans l’API Microsoft Graph et Azure AD PowerShell, ce rôle est identifié comme « Administrateur de service SharePoint ». Il est « Administrateur SharePoint » dans le portail Azure.

Notes

Ce rôle accorde également des autorisations délimitées à l’API Microsoft Graph pour Microsoft Intune, d’où la possibilité de gérer et de configurer des stratégies liées aux ressources SharePoint et Onedrive.

Actions Description
microsoft.directory/groups.unified/create Créer des groupes Microsoft 365, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.unified/delete Supprimer des groupes Microsoft 365, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.unified/restore Restaurer des groupes Microsoft 365
microsoft.directory/groups.unified/basic/update Mettre à jour les propriétés de base sur les groupes Microsoft 365, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.unified/members/update Mettre à jour les membres de groupes Microsoft 365, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.unified/owners/update Mettre à jour les propriétaires de groupes Microsoft 365, à l’exclusion des groupes assignables à un rôle
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Créer et supprimer toutes les ressources, ainsi que lire et mettre à jour les propriétés standard SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur Skype Entreprise

Les utilisateurs avec ce rôle ont des autorisations générales dans Microsoft Skype Entreprise, quand le service est présent. Ils peuvent également gérer les attributs utilisateur propres à Skype dans Azure Active Directory. En outre, ce rôle permet de gérer les tickets de support et de surveiller l’intégrité des services, ainsi que d’accéder au Centre d’administration Teams et Skype Entreprise. Le compte doit également disposer d’une licence Teams ; dans le cas contraire, il ne pourra pas exécuter les applets de commande PowerShell Teams. Pour plus d’informations, consultez la page About the Skype for Business admin role (À propos du rôle d’administrateur Skype Entreprise) ; pour plus d’informations sur les licences Teams, consultez l’article Licences de compléments pour Skype Entreprise et Microsoft Teams.

Notes

Dans l’API Microsoft Graph et Azure AD PowerShell, ce rôle est identifié comme « Administrateur de service SharePoint ». Il est appelé « Administrateur Skype Entreprise » dans le portail Azure.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gérez tous les aspects de Skype Entreprise Online
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur Teams

Les utilisateurs dans ce rôle peuvent gérer tous les aspects de la charge de travail Microsoft Teams via le centre d’administration Microsoft Teams et Skype Entreprise et les modules PowerShell respectifs. Cela inclut notamment tous les outils de gestion liés à la téléphonie, à la messagerie, aux réunions et aux équipes proprement dites. En outre, ce rôle permet de créer et de gérer tous les groupes Microsoft 365, de gérer les tickets de support et de surveiller l’état d’intégrité des services.

Actions Description
microsoft.directory/groups/hiddenMembers/read Lire les membres masqués d’un groupe
microsoft.directory/groups.unified/create Créer des groupes Microsoft 365, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.unified/delete Supprimer des groupes Microsoft 365, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.unified/restore Restaurer des groupes Microsoft 365
microsoft.directory/groups.unified/basic/update Mettre à jour les propriétés de base sur les groupes Microsoft 365, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.unified/members/update Mettre à jour les membres de groupes Microsoft 365, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups.unified/owners/update Mettre à jour les propriétaires de groupes Microsoft 365, à l’exclusion des groupes assignables à un rôle
microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions Accorder à un principal de service l’accès direct aux données d’un groupe
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gérez tous les aspects de Skype Entreprise Online
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.teams/allEntities/allProperties/allTasks Gérez toutes les ressources dans Teams

Administrateur des communications Teams

Les utilisateurs dans ce rôle peuvent gérer les aspects de la charge de travail Microsoft Teams liés à la voix et à la téléphonie. Cela comprend les outils de gestion pour l’attribution des numéros de téléphone, les stratégies de voix et de réunion, ainsi que l’accès total à un ensemble d’outils d’analyse des appels.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gérez tous les aspects de Skype Entreprise Online
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lire les rapports d’utilisation d’Office 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.teams/callQuality/allProperties/read Lire toutes les données du Tableau de bord de qualité des appels
microsoft.teams/meetings/allProperties/allTasks Gérer les réunions, notamment les stratégies de réunion, les configurations et les ponts de conférence
microsoft.teams/voice/allProperties/allTasks Gérer la voix, notamment les stratégies d’appel, ainsi que l’inventaire et l’attribution des numéros de téléphone

Ingénieur de support des communications Teams

Les utilisateurs dans ce rôle peuvent résoudre les problèmes de communication dans Microsoft Teams et Skype Entreprise à l’aide des outils de résolution de problèmes des appels utilisateur dans le centre d’administration Microsoft Teams et Skype Entreprise. Les utilisateurs disposant de ce rôle peuvent visualiser l’intégralité des informations d’enregistrement des appels pour l’ensemble des participants impliqués. Ce rôle n’a pas d'accès pour afficher, créer ou gérer des tickets de support.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gérez tous les aspects de Skype Entreprise Online
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.teams/callQuality/allProperties/read Lire toutes les données du Tableau de bord de qualité des appels

Spécialiste du support des communications Teams

Les utilisateurs dans ce rôle peuvent résoudre les problèmes de communication dans Microsoft Teams et Skype Entreprise à l’aide des outils de résolution de problèmes des appels utilisateur dans le centre d’administration Microsoft Teams et Skype Entreprise. Les utilisateurs disposant de ce rôle ne peuvent visualiser les détails utilisateur d’un appel que pour l’utilisateur qu’ils ont spécifiquement recherché. Ce rôle n’a pas d'accès pour afficher, créer ou gérer des tickets de support.

Actions Description
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gérez tous les aspects de Skype Entreprise Online
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.teams/callQuality/standard/read Lire les données de base du Tableau de bord de qualité des appels

Administrateur d’appareils Teams

Les utilisateurs titulaires de ce rôle peuvent gérer des appareils certifiés par Teams à partir du Centre d’administration Teams. Ce rôle permet d’afficher tous les appareils en un seul coup d’œil, avec la possibilité de rechercher et de filtrer les appareils. L’utilisateur peut vérifier les détails de chaque appareil, notamment le compte de connexion, la marque et le modèle de l’appareil. L’utilisateur peut modifier les paramètres sur l’appareil et mettre à jour les versions des logiciels. Ce rôle n’accorde pas d’autorisations pour vérifier l’activité Teams et la qualité d’appel de l’appareil.

Actions Description
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365
microsoft.teams/devices/standard/read Gérer tous les aspects des appareils certifiés Teams, notamment les stratégies de configuration

Lecteur de rapports de synthèse sur l'utilisation

Les utilisateurs disposant de ce rôle peuvent accéder aux données agrégées au niveau locataire et aux insights associés disponibles dans les rapports Utilisation et Score de productivité du Centre d'administration Microsoft 365, mais ils n'ont accès à aucune information et à aucun insight au niveau utilisateur. Dans le Centre d'administration Microsoft 365, concernant les deux rapports, nous faisons une distinction entre les données agrégées au niveau locataire et les informations au niveau utilisateur. Ce rôle offre une couche supplémentaire de protection sur les données d'identification des utilisateurs individuels, comme demandé par les clients et par les équipes juridiques.

Actions Description
microsoft.office365.network/performance/allProperties/read Lire toutes les propriétés de performances réseau dans le Centre d’administration Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Lire les rapports d’utilisation Office 365 agrégés au niveau locataire
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Administrateur d'utilisateurs

Les utilisateurs dotés de ce rôle peuvent créer des utilisateurs, gérer tous les aspects des utilisateurs avec certaines restrictions (voir le tableau) et mettre à jour les stratégies d’expiration de mot de passe. De plus, les utilisateurs dotés de ce rôle peuvent créer et gérer tous les groupes. Ce rôle inclut également la possibilité de créer et de gérer des affichages utilisateur, de gérer les tickets de support et de surveiller l’état d’intégrité des services. Les administrateurs d’utilisateurs n’ont pas l’autorisation de gérer certaines propriétés utilisateur pour les utilisateurs affectés à des rôles d’administrateur. L’utilisateur ayant ce rôle n’est pas autorisé à gérer l’authentification multifacteur. Les rôles qui sont des exceptions à cette restriction sont listés dans le tableau suivant.

Autorisation d’administrateur d’utilisateurs Notes
Créer des utilisateurs et des groupes
Créer et gérer des vues utilisateur
Gérer les tickets de support Office
Mettre à jour les stratégies d’expiration de mot de passe
Gérer les licences
Gérer toutes les propriétés de l’utilisateur, sauf le nom d’utilisateur principal
S’applique à tous les utilisateurs, notamment les administrateurs
Supprimer et restaurer
Désactiver et activer
Gérer toutes les propriétés de l’utilisateur, y compris le nom d’utilisateur principal
Mettre à jour les clés d’appareil (FIDO)
S’applique aux utilisateurs qui ne sont pas administrateurs ou qui ont l’un des rôles suivants :
  • Administrateur du support technique
  • Utilisateur sans rôle
  • Administrateur d'utilisateurs
Invalider les jetons d’actualisation
Réinitialiser le mot de passe
Pour obtenir la liste des rôles pour lesquels un administrateur d’utilisateurs peut réinitialiser les mots de passe et invalider les jetons d’actualisation, consultez Autorisations de réinitialisation de mot de passe.

Important

Les utilisateurs auxquels ce rôle est assigné peuvent changer les mots de passe des personnes susceptibles d’avoir accès à des informations sensibles ou privées ou à des configurations critiques à l’intérieur et à l’extérieur d’Azure Active Directory. Changer le mot de passe d’un utilisateur peut signifier la capacité d’assumer l’identité et les autorisations de cet utilisateur. Par exemple :

  • Les propriétaires d’inscription d’application et d’application d’entreprise, qui peuvent gérer les informations d’identification des applications qu’ils possèdent. Ces applications peuvent disposer d’autorisations privilégiées dans Azure AD et ailleurs qui ne sont pas accordées aux administrateurs utilisateurs. Grâce à ce chemin d’accès, un administrateur utilisateur peut être en mesure d’assumer l’identité d’un propriétaire d’application, puis d’assumer l’identité d’une application privilégiée en mettant à jour les identifiants de celle-ci.
  • Propriétaires d’abonnement Azure, qui peuvent avoir accès à des informations confidentielles ou privées ou à une configuration critique dans Azure.
  • Propriétaires de groupe de sécurité et de groupe Microsoft 365, qui peuvent gérer l’appartenance à un groupe. Ces groupes peuvent accorder l’accès à des informations sensibles ou privées ou à une configuration critique dans Azure AD et ailleurs.
  • Administrateurs d’autres services en dehors d’Azure AD, tels qu’Exchange Online, le Centre de sécurité et de conformité Office et les systèmes de ressources humaines.
  • Les non-administrateurs comme les cadres supérieurs, les conseillers juridiques et les employés des ressources humaines qui peuvent avoir accès à des informations sensibles ou privées.
Actions Description
microsoft.directory/appRoleAssignments/create Créer des attributions de rôle d’application
microsoft.directory/appRoleAssignments/delete Supprimer des attributions de rôle d’application
microsoft.directory/appRoleAssignments/basic/update Mettre à jour les propriétés de base des attributions de rôle d’application
microsoft.directory/contacts/create Créer des contacts
microsoft.directory/contacts/delete Supprimer des contacts
microsoft.directory/contacts/basic/update Mettre à jour les propriétés de base sur les contacts
microsoft.directory/entitlementManagement/allProperties/allTasks Créer et supprimer des ressources, ainsi que lire et mettre à jour toutes les propriétés dans la gestion des droits d’utilisation Azure AD
microsoft.directory/groups/assignLicense Attribuer des licences de produits à des groupes pour la gestion des licences basée sur un groupe
microsoft.directory/groups/create Supprimer des groupes, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups/delete Supprimer des groupes, à l’exception du groupe à attribution de rôle
microsoft.directory/groups/hiddenMembers/read Lire les membres masqués d’un groupe
microsoft.directory/groups/reprocessLicenseAssignment Retraiter les attributions de licence pour la gestion des licences basée sur un groupe
microsoft.directory/groups/restore Restauration de groupes supprimés
microsoft.directory/groups/basic/update Mettre à jour des propriétés de base sur des groupes, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups/classification/update Mettre à jour la propriété de classification des groupes, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups/dynamicMembershipRule/update Mettre à jour la règle d’appartenance dynamique des groupes, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups/groupType/update Mettre à jour la propriété groupType pour un groupe
microsoft.directory/groups/members/update Mettre à jour les membres de groupes, à l’exclusion des groupes assignables à un rôle
microsoft.directory/groups/onPremWriteBack/update Mettre à jour les groupes Azure Active Directory pour être réécrits en local avec Azure AD Connect
microsoft.directory/groups/owners/update Mettre à jour les propriétaires des groupes, à l’exception des groupes à attribution de rôle
microsoft.directory/groups/settings/update Mettre à jour les paramètres des groupes
microsoft.directory/groups/visibility/update Mettre à jour la propriété de visibilité des groupes
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Créer et supprimer des octrois d’autorisations OAuth 2.0, et lire et mettre à jour toutes les propriétés
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Mettre à jour les attributions de rôles des principaux de service
microsoft.directory/users/assignLicense Gérer les licences utilisateur
microsoft.directory/users/create Ajouter des utilisateurs
microsoft.directory/users/delete Suppression d’utilisateurs
microsoft.directory/users/disable Désactiver des utilisateurs
microsoft.directory/users/enable Activer des utilisateurs
microsoft.directory/users/inviteGuest Inviter des utilisateurs
microsoft.directory/users/invalidateAllRefreshTokens Forcer la déconnexion en invalidant les jetons d’actualisation de l’utilisateur
microsoft.directory/users/reprocessLicenseAssignment Retraiter les attributions de licence pour les utilisateurs
microsoft.directory/users/restore Restaurer des utilisateurs supprimés
microsoft.directory/users/basic/update Mettre à jour les propriétés de base sur les utilisateurs
microsoft.directory/users/manager/update Mettre à jour le gestionnaire pour les utilisateurs
microsoft.directory/users/password/update Réinitialiser les mots de passe de tous les utilisateurs
microsoft.directory/users/userPrincipalName/update Mettre à jour le nom d’utilisateur principal des utilisateurs
microsoft.azure.serviceHealth/allEntities/allTasks Lire et configurer Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Créer et gérer les tickets de support Azure
microsoft.office365.serviceHealth/allEntities/allTasks Lire et configurer Service Health dans le Centre d’administration Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Créer et gérer des demandes de service Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lire les propriétés de base sur toutes les ressources dans le Centre d’administration Microsoft 365

Comment comprendre les autorisations des rôles

Le schéma pour les autorisations suit vaguement le format REST de Microsoft Graph :

<namespace>/<entity>/<propertySet>/<action>

Par exemple :

microsoft.directory/applications/credentials/update

Élément d’autorisation Description
espace de noms Produit ou service qui expose la tâche, précédé de microsoft. Par exemple, toutes les tâches dans Azure AD utilisent l’espace de noms microsoft.directory.
entité Fonctionnalité logique ou composant exposé par le service dans Microsoft Graph. Par exemple, Azure AD expose les utilisateurs et les groupes, OneNote expose des ,notes et Exchange expose des boîtes aux lettres et des calendriers. Il existe un mot clé spécial, allEntities, pour spécifier toutes les entités dans un espace de noms. Il est souvent utilisé dans des rôles accordent l’accès à un produit entier.
propertySet Propriétés ou aspects spécifiques de l’entité pour laquelle l’accès est accordé. Par exemple, microsoft.directory/applications/authentication/read offre la possibilité de lire l’URL de réponse, l’URL de déconnexion et la propriété de flux implicite sur l’objet application dans Azure AD.
  • allProperties désigne toutes les propriétés de l’entité, y compris les propriétés privilégiées.
  • standard désigne des propriétés communes, mais exclut les propriétés privilégiées associées à l’action read. Par exemple, microsoft.directory/user/standard/read offre la possibilité de lire des propriétés standard telles que le numéro de téléphone et l’adresse e-mail public, mais pas le numéro de téléphone ou l’adresse e-mail secondaires privés utilisés pour l’authentification multifacteur.
  • basic désigne des propriétés communes, mais exclut les propriétés privilégiées associées à l’action update. L’ensemble de propriétés que vous pouvez lire peut différer de ce que vous pouvez mettre à jour. Les mots clés standard et basic permettent de refléter cela.
action Opération octroyée, généralement créer, lire, mettre à jour ou supprimer (CRUD). Il existe un mot clé spécial, allTasks, pour spécifier toutes les fonctionnalités ci-dessus (créer, lire, mettre à jour et supprimer).

Rôles déconseillés

Les rôles suivants ne doivent pas être utilisés. Ils sont déconseillés et seront prochainement supprimés d’Azure AD.

  • Administrateur de licences ad hoc
  • Jonction d’appareils
  • Gestionnaires d’appareils
  • Utilisateurs d’appareils
  • Créateur d’utilisateur vérifié par e-mail
  • Administrateur de boîte aux lettres
  • Jonction d’appareils d’espace de travail

Rôles non affichés dans le portail

Les rôles retournés par PowerShell ou l’API MS Graph ne sont pas tous visibles dans le portail Azure. Le tableau suivant organise ces différences.

Nom de l’API Nom du portail Azure Notes
Jonction d’appareils Déprécié Documentation sur les rôles déconseillés
Gestionnaires d’appareils Déprécié Documentation sur les rôles déconseillés
Utilisateurs d’appareils Déprécié Documentation sur les rôles déconseillés
Comptes de synchronisation d’annuaires Non affiché, car il ne doit pas être utilisé Documentation sur les comptes de synchronisation d’annuaires
Utilisateur invité Non affiché, car il ne peut pas être utilisé N/D
Support de niveau 1 partenaire Non affiché, car il ne doit pas être utilisé Documentation sur la prise en charge du niveau 1 de partenaire
Support de niveau 2 partenaire Non affiché, car il ne doit pas être utilisé Documentation sur la prise en charge du niveau 2 de partenaire
Utilisateur invité restreint Non affiché, car il ne peut pas être utilisé N/D
Utilisateur Non affiché, car il ne peut pas être utilisé N/D
Jonction d’appareils d’espace de travail Déprécié Documentation sur les rôles déconseillés

Autorisations de réinitialisation de mot de passe

Les en-têtes de colonne représentent les rôles qui peuvent réinitialiser les mots de passe. Les lignes du tableau contiennent les rôles dont le mot de passe peut être réinitialisé.

Le mot de passe peut être réinitialisé Administrateur de mot de passe Administrateur du support technique Administrateur d’authentification User Admin Administrateur d’authentification privilégié Administrateur général
Administrateur d’authentification     ✔️   ✔️ ✔️
Lecteurs de répertoires ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Administrateur général         ✔️ ✔️*
Administrateur de groupes       ✔️ ✔️ ✔️
Inviteur ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Administrateur du support technique   ✔️   ✔️ ✔️ ✔️
Lecteur du Centre de messages   ✔️ ✔️ ✔️ ✔️ ✔️
Administrateur de mot de passe ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Administrateur d’authentification privilégié         ✔️ ✔️
Administrateur de rôle privilégié         ✔️ ✔️
Lecteur de rapports   ✔️ ✔️ ✔️ ✔️ ✔️
Utilisateur (aucun rôle d’administrateur) ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
User Admin       ✔️ ✔️ ✔️
Lecteur de rapports de synthèse sur l'utilisation   ✔️ ✔️ ✔️ ✔️ ✔️

* Un administrateur général ne peut pas supprimer sa propre attribution d’administrateur général. Cela permet d’éviter une situation dans laquelle une organisation a 0 administrateur général.

Étapes suivantes