Qu’est-ce que la gestion des utilisateurs d’entreprise ?

Cet article présente à l’administrateur Microsoft Entra ID, qui fait partie de Microsoft Entra, la relation entre les principales tâches de gestion des identités pour les utilisateurs en ce qui concerne leurs groupes, licences, applications d’entreprise déployées et rôles d’administrateur. À mesure que votre organisation se développe, vous pouvez utiliser des groupes et rôles Administrateur Microsoft Entra pour :

  • Attribuez des licences à des groupes au lieu d’utilisateurs individuels.
  • Accordez des autorisations pour déléguer le travail de gestion de Microsoft Entra au personnel dans des rôles moins privilégiés.
  • Attribuez l’accès aux applications d’entreprise à des groupes.

Assigner des utilisateurs à des groupes

Vous pouvez utiliser des groupes dans Microsoft Entra ID pour attribuer des licences ou des applications d’entreprise déployées à un grand nombre d’utilisateurs. Vous pouvez utiliser des groupes pour attribuer tous les rôles Administrateur, à l’exception du rôle Administrateur général Microsoft Entra, ou vous pouvez accorder l’accès à des ressources externes, comme des applications SaaS ou des sites SharePoint.

Vous pouvez utiliser des groupes dynamiques dans Microsoft Entra ID pour étendre et réduire automatiquement l’appartenance à un groupe. Les groupes dynamiques vous offrent une plus grande flexibilité et réduisent le travail de gestion des appartenances aux groupes.

Remarque

Vous avez besoin d’une licence Microsoft Entra ID Premium P1 pour chaque utilisateur unique membre d’un ou de plusieurs groupes dynamiques.

Assigner des licences à des groupes

La gestion des attributions de licences utilisateur individuellement prend du temps et peut faire l’objet d’erreurs. Si, au lieu de cela, vous assignez des licences à des groupes, vous pouvez simplifier votre gestion des licences à grande échelle.

Les utilisateurs Microsoft Entra qui rejoignent un groupe sous licence se voient automatiquement attribuer les licences appropriées. Lorsque des utilisateurs quittent le groupe, Microsoft Entra ID supprime leurs attributions de licence. Sans groupes Microsoft Entra, vous devriez écrire un script PowerShell ou utiliser l’API Graph pour ajouter ou supprimer en bloc des licences utilisateur pour les utilisateurs intégrant ou quittant l’organisation.

Si le nombre de licences disponibles est insuffisant, ou si un problème se produit, comme des plans de services ne pouvant pas être attribués simultanément, vous pouvez voir l’état d’un quelconque problème de licence pour le groupe dans le Portail Azure.

Déléguer des rôles d’administrateur

Nombre de grandes entreprises souhaitent disposer d’options permettant à leurs utilisateurs d’obtenir les autorisations suffisantes pour réaliser leurs tâches professionnelles sans pour autant assigner le rôle Administrateur général, par exemple, aux utilisateurs devant inscrire des applications. Voici un exemple de nouveaux rôles d’administrateur Microsoft Entra qui vous aide à répartir de manière plus précise le travail de gestion des applications :

Nom de rôle Résumé des autorisations
Administrateur d’application Peut ajouter et gérer les applications d’entreprise et les inscriptions d’application, et configurer les paramètres de proxy d’application. Les administrateurs d’application peuvent consulter les stratégies d’accès conditionnel et les appareils, mais ne peuvent pas les gérer.
Administrateur d’application cloud Peut ajouter et gérer les applications d’entreprise et les inscriptions d’applications d’entreprise. Ce rôle dispose de toutes les autorisations de l’administrateur d’application, à l’exception près qu’il ne peut pas gérer les paramètres de proxy d’application.
Développeur d’applications Peut ajouter et mettre à jour les inscriptions d’applications d’entreprise, mais ne peut pas gérer les applications d’entreprise ou configurer un proxy d’application.

De nouveaux rôles Administrateur Microsoft Entra sont ajoutés. Consultez le Portail Azure ou la référence d’autorisation de rôle d’administrateur pour les rôles disponibles actuels.

Assigner l’accès aux applications

Vous pouvez utiliser Microsoft Entra ID pour attribuer l’accès à des groupes aux applications d’entreprise déployées dans votre organisation Microsoft Entra. Si vous combinez des groupes dynamiques avec affectation de groupe aux applications, vous pouvez automatiser les affectations d’accès utilisateur aux applications à mesure que votre entreprise se développe. Vous aurez besoin d’une licence Microsoft Entra ID P1 ou Premium P2 pour attribuer l’accès aux applications d’entreprise.

Microsoft Entra ID vous permet également de contrôler plus spécifiquement les données qui transitent entre l’application et les groupes auxquels vous attribuez l’accès. Dans Applications d’entreprise, ouvrez une application et sélectionnez Provisioning (Approvisionnement) pour :

  • Configurer l’approvisionnement automatique pour les applications qui le prennent en charge
  • Fournir des informations d’identification pour se connecter à l’API de gestion des utilisateurs de l’application
  • Configurer les mappages qui contrôlent les attributs utilisateur qui transitent entre Microsoft Entra ID et l’application lorsque des comptes d’utilisateurs sont attribués ou mis à jour
  • Démarrer et arrêter le service d’attribution Microsoft Entra pour une application, effacer le cache d’attribution ou redémarrer le service
  • Afficher le rapport d’activités d’attribution qui fournit un journal de tous les utilisateurs et groupes créés, mis à jour et supprimés entre Microsoft Entra ID et l’application, et le rapport d’erreurs d’attribution qui fournit des messages d’erreur plus détaillés

Étapes suivantes

Si vous êtes un administrateur Microsoft Entra débutant, consultez les informations de base dans la section Principes fondamentaux de Microsoft Entra.

Vous pouvez également commencer à créer des groupes, assigner des licences, assigner l’accès aux applications ou assigner des rôles d’administrateur.