Rôles et autorisations Azure AD : attribuer et gérer les rôles pour les utilisateurs et les groupes. Êtes-vous un administrateur informatique qui souhaite en savoir plus sur les rôles Azure AD et leur importance dans l’attribution et la gestion des autorisations pour les utilisateurs et les groupes ?
Il est crucial de comprendre chaque concept pour comprendre la relation entre les rôles Azure AD, les utilisateurs, les groupes et les autorisations.
Ensuite, nous expliquons les rôles Azure AD, qui représentent le niveau suivant dans la relation « rôle utilisateur groupe autorisation ».
Pour rassembler tous les concepts, l’article aborde la manière dont les utilisateurs et les groupes héritent des autorisations lorsqu’ils leur sont attribués des rôles.
Enfin, il fournit des instructions détaillées sur la façon d’attribuer des rôles Azure AD aux utilisateurs ou aux groupes à l’aide de différentes méthodes.
Utilisateurs, groupes et appartenance à des groupes Azure AD
Le niveau de base des autorisations dans Azure AD est appelé « Identité », qui inclut tout ce qui est authentifié. Les exemples d’identités sont : les utilisateurs avec des noms d’utilisateur et des mots de passe, ainsi que les applications ou les serveurs qui nécessitent une authentification.
Cet article se concentre sur l’identité en tant qu’utilisateur authentifié.
Une fois qu’un utilisateur s’authentifie, il reçoit un accès aux ressources par le biais de l’autorisation. Par conséquent, les utilisateurs ont besoin d’autorisations pour être autorisés à accéder aux ressources.
Lors de la création d’un utilisateur, Azure AD leur accorde automatiquement les permissions par défaut.
Cependant, un administrateur attribue des permissions supplémentaires à l’utilisateur en utilisant un rôle Azure AD. Alternativement, les permissions sont attribuées aux utilisateurs en les ajoutant à un groupe.
Il est considéré comme une meilleure pratique d’attribuer des permissions aux utilisateurs via un groupe plutôt que directement à l’utilisateur.
C’est là que les groupes dans Azure Active Directory entrent en jeu. Dans Azure AD, les groupes gèrent les utilisateurs qui ont besoin d’accéder aux mêmes ressources.
Une fois qu’un groupe est créé, tous les utilisateurs qui y sont ajoutés héritent des permissions qui lui sont assignées via les rôles Azure AD.
Il est essentiel de noter qu’il existe 2 types de groupes pour gérer les permissions dans Azure AD : les groupes de sécurité et les groupes Microsoft 365.
Vous utilisez un groupe de sécurité pour attribuer des autorisations et des rôles à ses membres. Cependant, lors du processus de création du groupe, vous devez définir le groupe de sécurité comme pouvant attribuer des rôles pour lui assigner des rôles.
Une fois que vous avez créé un groupe, vous ne pouvez pas modifier ce paramètre.
En revanche, les groupes Microsoft 365 sont conçus à des fins de collaboration. Les membres d’un groupe Microsoft 365 accèdent aux boîtes aux lettres partagées, aux équipes, aux fichiers et à d’autres ressources activées pour la collaboration.
Rôles et autorisations dans Azure Active Directory
Le contrôle d’accès basé sur les rôles (RBAC) constitue la base de la sécurité Azure AD . Environ 60 rôles intégrés sont utilisés pour attribuer et gérer les autorisations.
Pour trouver une liste complète de ces rôles et de leurs permissions respectives, référez-vous à la section « Tous les rôles » sur la page des rôles intégrés d’Azure AD.
De plus, chaque rôle a un ensemble prédéfini de permissions. Pour attribuer des permissions associées à un rôle Azure AD à un objet, tel qu’un utilisateur ou un groupe, vous devez attribuer le rôle à l’objet.
Effectuez cette attribution soit sur la page « Rôle et administrateurs » dans le portail Azure Active Directory, soit via le nœud « Rôles attribués » d’un objet Azure AD.
Les rôles peuvent être directement attribués à des utilisateurs ou des groupes. Cependant, les groupes dynamiques permettent d’attribuer automatiquement des rôles en fonction de conditions définies.
Relations entre les rôles Azure AD et les permissions de groupe
Les groupes gèrent plusieurs utilisateurs qui nécessitent l’accès aux mêmes ressources Azure AD. Cependant, les groupes ont des fonctionnalités qui vont au-delà de cela.
Par exemple, les groupes sont utilisés pour attribuer des licences et déployer des applications à leurs membres. De plus, ces groupes délèguent des rôles d’administrateur, à l’exception de l’administrateur général Azure AD.
Consultez une liste des rôles d’administrateur que vous déléguez en utilisant des groupes.
De plus, utilisez des groupes pour attribuer des autorisations à des sites SharePoint ou des applications SaaS externes.
N’oubliez pas que l’attribution de rôles à des groupes nécessite une licence Azure AD Premium P1. De plus, l’exécution de la tâche nécessite également le rôle « Administrateur de rôle privilégié« .
De plus, Azure propose des groupes dynamiques qui sont utilisés pour les attributions de rôles.
Les groupes dynamiques attribuent automatiquement des appartenances aux groupes aux utilisateurs qui répondent aux critères de recherche dynamique définis pour le groupe. Ce processus automatisé permet d’économiser un temps d’administration considérable pour les grandes organisations par rapport aux affectations de groupes manuelles.
Comment attribuer des rôles Azure AD aux utilisateurs et aux groupes
Suivez l’une des méthodes ci-dessous pour attribuer des rôles Azure AD aux utilisateurs ou aux groupes.
Tout d’abord, connectez-vous au portail Azure via portal.azure.com. Recherchez et ouvrez « Azure Active Directory ».
Méthode 1 sur 3 : Attribuer des rôles aux utilisateurs ou aux groupes à partir de l’interface « Rôles et administrateurs »
La façon la plus pratique d’attribuer des rôles Azure AD est via l’interface « Rôles et administrateurs » dans le portail Azure Active Directory.
Suivez ces étapes :
1. Dans le menu Azure Active Directory, cliquez sur « Rôles et administrateurs ».
2. Ensuite, une fois la page « Rôles et administrateurs » ouverte, cliquez sur le rôle Azure AD que vous souhaitez attribuer et accorder des autorisations à l’annuaire actif et aux groupes. Pour trouver plus rapidement un rôle, effectuez une recherche.
3. Cliquez sur « Ajouter des affectations » sur la page des affectations du rôle. Cette page répertorie également tous les utilisateurs et groupes actuellement attribués à ce rôle.
4. Une fois la page « Ajouter des affectations » ouverte, cliquez sur le lien « Aucun membre sélectionné ». Enfin, sur « Sélectionner un membre », choisissez tous les utilisateurs et groupes auxquels vous souhaitez attribuer le rôle et cliquez sur Sélectionner.
Notez que le volet latéral n’affiche que les groupes éligibles à l’attribution de rôles.
Utilisez la fonctionnalité de recherche pour trouver des utilisateurs et des groupes et éviter de faire défiler.
Méthode 2 sur 3 : Attribuer des rôles Azure AD depuis l’interface utilisateurs
Une autre méthode pour attribuer des rôles Azure AD aux utilisateurs consiste à ouvrir la page du portail Azure Active Directory de l’utilisateur. Voici les étapes :
1. Cliquez sur le menu « Utilisateurs » sur le portail Azure Active Directory. Ensuite, sélectionnez un utilisateur en cliquant dessus.
2. Une fois l’utilisateur ouvert, cliquez sur « Rôles attribués ». Ensuite, cliquez sur « + Ajouter une affectation ».
3. Ensuite, sélectionnez le rôle Azure AD dont vous souhaitez que l’utilisateur hérite ses autorisations dans le menu déroulant « Sélectionner un rôle ». Après avoir sélectionné le rôle, cliquez sur Suivant.
4. Enfin, si vous disposez d’une licence de Gestion des identités privilégiées (PIM), la page finale affiche l’option « Type d’attribution ». L’option « Durée d’éligibilité maximale autorisée » est également disponible pour PIM.
Sélectionnez vos paramètres et cliquez sur Attribuer.
Méthode 2 sur 3 : Attribuer des rôles Azure AD depuis l’interface de groupe
Pour attribuer des rôles Azure AD aux groupes pouvant recevoir des rôles, suivez les étapes ci-dessous :
1. Cliquez sur « Groupes » sur le portail Azure Active Directory.
2. Azure AD répertorie tous les groupes. Cependant, vous ne pouvez attribuer des rôles qu’aux groupes pour lesquels cette fonctionnalité a été activée.
Par conséquent, pour voir les groupes activés pour l’attribution de rôles, cliquez sur « Afficher la gestion » et sélectionnez « Modifier les colonnes ».
3. Cochez la case « Autorisations d’attribution de rôles » dans le volet des colonnes et cliquez sur Enregistrer. Vous pouvez également décocher « ID d’objet », « Type de membre », « E-mail » et « Source » pour réduire le nombre de colonnes.
Ces colonnes sont cochées par défaut. Cependant, la colonne « Autorisations d’attribution de rôles » n’est pas cochée par défaut.
4. Après avoir activé l’affichage de la capacité d’attribution de rôles pour un groupe, sélectionnez le bon groupe.
N’oubliez pas que si vous ouvrez un groupe pour lequel cette fonctionnalité n’était pas activée lors de sa création, les rôles Azure AD ne seront pas affichés.
5. Une fois le groupe ouvert, cliquez sur « Rôles attribués » dans le menu, puis sur « Ajouter des attributions ».
6. Choisissez un rôle dans la liste déroulante « Sélectionner un rôle » et cliquez sur Suivant. Enfin, sélectionnez les options d’attribution de rôle et cliquez sur Attribuer.
Attribuer des rôles Azure AD via des groupes dynamiques
De plus, Azure AD permet l’utilisation de groupes dynamiques pour attribuer automatiquement des rôles Azure AD aux utilisateurs.
Voici les étapes pour créer un groupe Azure AD dynamique qui attribue automatiquement des rôles à ses membres.
1. Sur la page Groupes du portail Azure Active Directory, cliquez sur « Nouveau groupe ».
2. Lorsque la page « Nouveau groupe » s’ouvre, nommez le groupe et sélectionnez le type d’attribution dynamique dans le menu déroulant « Type de membre ». Sélectionner « Utilisateur dynamique » ou « Appareil dynamique » affiche le lien « Ajouter une requête dynamique ».
Assurez-vous d’activer le commutateur « Les rôles Azure AD peuvent être attribués ».
3. Cliquez sur le lien « Ajouter une requête dynamique » pour créer une requête dynamique qui ajoute automatiquement des utilisateurs au groupe.
4. Une fois que la page « Règles de membre dynamique » s’ouvre, cliquez sur « Modifier », puis créez votre requête. Apprenez à créer des requêtes dynamiques pour les appartenances de groupe.
5. Sur le volet « Syntaxe de la règle de modification », saisissez votre règle et cliquez sur OK. Ensuite, sur la page de requête de membre dynamique, cliquez sur Enregistrer.
I built a simple rule that adds users to my group by user’s department.
6. Enfin, vérifiez les paramètres sur la page « Nouveau groupe » et cliquez sur Créer.
Pour vérifier que votre règle dynamique fonctionne, ouvrez le groupe et cliquez sur le menu « Membres ». Si votre règle est correcte et que certains utilisateurs répondent aux critères, ils devraient être ajoutés dynamiquement en tant que membres du groupe.
Après avoir créé le groupe dynamique, attribuez des rôles Azure AD au groupe. Après ces étapes, tous les utilisateurs ajoutés dynamiquement au groupe héritent automatiquement des autorisations des rôles attribués au groupe.
Rôles et autorisations Azure AD : Attribuer et gérer des rôles pour les utilisateurs et les groupes Conclusion
En conclusion, cet article a exploré les aspects essentiels des rôles et des autorisations Azure AD. Plus précisément, il met l’accent sur la manière d’attribuer et de gérer les rôles pour les utilisateurs et groupes.
Nous avons expliqué les concepts des utilisateurs, des groupes et des appartenances aux groupes dans Azure AD, mettant en évidence leur importance dans les attributions de rôles. Nous avons également examiné le cadre des rôles et des autorisations dans Azure Active Directory.
L’article met l’accent sur les relations entre les rôles Azure AD et les autorisations de groupe.
De plus, il a présenté 3 méthodes pour attribuer des rôles Azure AD aux utilisateurs et aux groupes. La méthode 1 consistait à utiliser l’interface « Rôles et administrateurs », tandis que la méthode 2 couvrait l’attribution de rôles à partir des interfaces des utilisateurs et des groupes.
Nous avons également envisagé d’utiliser la méthode 3 pour attribuer des rôles Azure AD aux utilisateurs en utilisant l’appartenance à des groupes dynamiques.
En comprenant ces méthodes et en tirant parti de la puissance d’Azure AD, les administrateurs attribuent et gèrent efficacement les rôles pour garantir un accès et des autorisations appropriés pour les utilisateurs et les groupes au sein de leurs organisations.
Source:
https://infrasos.com/azure-ad-roles-and-permissions-assign-manage-roles-for-users-groups/