Analyser les autorisations de rôle Microsoft Entra
Qu’est-ce qu’une autorisation ? La définition de l’autorisation dans le dictionnaire est le consentement ou l’autorisation d’effectuer une action spécifique. Dans Microsoft Entra ID, vous disposez d'autorisations pour chacune des opérations que vous pouvez effectuer. L’autorisation peut aller de l’affichage de vos paramètres à la possibilité de modifier votre configuration. Ensuite, passez à l’octroi d’autorisations pour ajouter ou supprimer des utilisateurs, etc. Il existe deux endroits principaux où l’autorisation peut être attribuée : au niveau de l’utilisateur ou du groupe. Elle finit toutefois au final par passer par l’utilisateur. Lorsque vous gérez les utilisateurs, vous disposez à la fois d’un utilisateur membre et d’un utilisateur invité. Les autorisations par défaut pour l’utilisateur invité sont légèrement inférieures à celles d’un utilisateur membre.
Qu’est-ce qu’un exemple d’autorisations par défaut pour les utilisateurs ?
| Utilisateurs membres | Utilisateurs invités |
|---|---|
| Énumérer la liste de tous les utilisateurs et contacts | Lire ses propres propriétés |
| Inviter des utilisateurs | Inviter des utilisateurs |
| Peut créer la sécurité et les groupes Microsoft 365 | Peut rechercher des groupes non masqués par nom |
| Inscrire de nouvelles applications | Lire les propriétés des applications inscrites et d’entreprise |
Remarque
Il s’agit simplement d’un petit sous-ensemble, afin de montrer les différences. Si vous souhaitez obtenir la liste complète, consultez les autorisations utilisateur par défaut.
Contrôle des autorisations - ajouter et restreindre
| Paramètres utilisateur | Rôles et administrateurs |
|---|---|
|
|
Vous pouvez utiliser les Paramètres utilisateur dans le menu Gérer de Microsoft Entra ID pour restreindre ou contrôler les autorisations par défaut des utilisateurs par défaut. Vous pouvez également utiliser des rôles et des administrateurs pour ajouter de nouvelles autorisations à vos utilisateurs et groupes. Utilisez toujours le concept de privilège minimum et assurez-vous que les utilisateurs ont uniquement les droits dont ils ont besoin. Dans les paramètres utilisateur, vous pouvez restreindre la capacité de l’utilisateur à :
- Inscrire des applications
- Accéder au portail Azure
- Bloquer les connexions LinkedIn
- Gérer les paramètres de la collaboration externe
En ajoutant des rôles à un compte d’utilisateur ou à un groupe donné, vous pouvez ajouter des autorisations aux utilisateurs membres, aux utilisateurs invités et aux principaux de service. L’ajout de rôles donne des autorisations pour effectuer des activités spécifiques. Les actions sont limitées, ce qui autorise la règle de privilège minimum.
Exploration des autorisations disponibles
Si possible, vous souhaitez accorder uniquement les autorisations minimales dont un utilisateur a besoin. Veillez donc à savoir quelles autorisations sont accordées lorsque vous attribuez un rôle. Vous pouvez voir la liste des autorisations dans la description de chaque rôle. Pour ouvrir, lancez Microsoft Entra ID, puis ouvrez l'écran Rôles et administrateurs. Sélectionnez ensuite un rôle, puis ouvrez sa page de description dans le menu de points de suspension (...). Selon le rôle que vous avez choisi, vous verrez un grand ou petit nombre d’autorisations. Deux ensembles d’autorisations :
- Autorisations des rôles
- Autorisations de lecture de base du principal de service et de l’invité