Quelles sont les autorisations d’utilisateur par défaut dans Microsoft Entra ID ?

Dans Microsoft Entra ID, tous les utilisateurs se voient attribuer un ensemble d’autorisations par défaut. L’accès d’un utilisateur se compose du type d’utilisateur, de ses attributions de rôles et de sa propriété d’objets individuels.

Cet article décrit ces autorisations par défaut et compare les valeurs par défaut des utilisateurs membres et invités. Les autorisations par défaut ne peuvent être modifiées que dans les paramètres utilisateur de Microsoft Entra ID.

Utilisateurs membres et utilisateurs invités

Le jeu d’autorisations par défaut varie selon que l’utilisateur est un membre natif du locataire (utilisateur membre) ou qu’il provient d’un autre annuaire, par exemple en tant qu’invité de collaboration B2B (Business-to-Business) (utilisateur invité). Pour plus d’informations sur l’ajout d’utilisateurs invités, consultez Qu’est-ce que la collaboration B2B de Microsoft Entra. Voici les fonctionnalités des autorisations par défaut :

Les utilisateurs membres peuvent inscrire des applications, gérer leur propre photo de profil et numéro de téléphone mobile, modifier leur propre mot de passe et inviter des invités B2B. Ces utilisateurs peuvent également lire toutes les informations d’annuaire (à quelques exceptions près).
Les utilisateurs invités disposent d’autorisations d’annuaire restreintes. Ils peuvent gérer leur propre profil, modifier leur propre mot de passe et récupérer des informations sur d’autres utilisateurs, groupes et applications. Toutefois, ils ne peuvent pas lire toutes les informations d’annuaire.

Par exemple, les utilisateurs invités ne peuvent pas énumérer la liste de tous les utilisateurs, groupes et autres objets annuaire. Les invités peuvent être ajoutés aux rôles d’administrateur, qui leur accordent des autorisations de lecture et d’écriture complètes. Les invités peuvent également inviter d’autres invités.

Comparer les autorisations par défaut des invités et des membres

Area	Autorisations d’un utilisateur membre	Autorisations d’utilisateur invité par défaut	Autorisations d’utilisateur invité restreintes
Utilisateurs et contacts	Énumérer la liste de tous les utilisateurs et contacts Lire toutes les propriétés publiques des utilisateurs et des contacts Inviter des invités Modifier leur propre mot de passe Gérer son propre numéro de téléphone mobile Gérer leur propre photo Invalider leurs propres jetons d’actualisation	Lire leurs propres propriétés Lire le nom d’affichage, l’e-mail, le nom de connexion, la photo, le nom d’utilisateur principal et les propriétés de type d’utilisateur des autres utilisateurs et contacts Modifier leur propre mot de passe Rechercher un autre utilisateur par ID d’objet (si autorisé) Lire les informations sur le gestionnaire et le rapport direct d’autres utilisateurs	Lire leurs propres propriétés Modifier leur propre mot de passe Gérer son propre numéro de téléphone mobile
Groups	Créer des groupes de sécurité Créer des groupes Microsoft 365 Énumérer la liste de tous les groupes Lire toutes les propriétés des groupes Lire les appartenances aux groupes non masquées Lire les appartenances aux groupes Microsoft 365 masquées pour les groupes joints Gérer les propriétés, la propriété et l’appartenance des groupes détenus par l’utilisateur Ajouter des invités aux groupes acquis Gérer les paramètres d’appartenance aux groupes Supprimer des groupes acquis Restaurer les groupes Microsoft 365 détenus	Lire les propriétés des groupes non masqués, y compris l’appartenance et la propriété (même de groupes non joints) Lire les appartenances aux groupes Microsoft 365 masquées pour les groupes joints Rechercher des groupes par nom d’affichage ou ID d’objet (si autorisé)	Lire des ID d’objet pour des groupes joints Lire l’appartenance et la propriété des groupes joints dans certaines applications Microsoft 365 (si autorisé)
Applications	Inscrire (créer) de nouvelles applications Énumérer la liste de toutes les applications Lire les propriétés des applications inscrites et d’entreprise Gérer les propriétés d’application, les affectations et les informations d’identification des applications acquises Créer ou supprimer des mots de passe d’application pour les utilisateurs Supprimer des applications acquises Restaurer des applications acquises Répertorier les autorisations accordées aux applications	Lire les propriétés des applications inscrites et d’entreprise Répertorier les autorisations accordées aux applications	Lire les propriétés des applications inscrites et d’entreprise Répertorier les autorisations accordées aux applications
Devices	Énumérer la liste de tous les appareils Lire toutes les propriétés des appareils Gérer toutes les propriétés des appareils acquis	Aucune autorisation	Aucune autorisation
Organization	Lire toutes les informations de l’entreprise Lire tous les domaines Lire la configuration de l’authentification basée sur un certificat Lire tous les contrats de partenaire Lire les informations de base de l’organisation multi-locataires et les locataires actifs	Lire le nom complet de l’entreprise Lire tous les domaines Lire la configuration de l’authentification basée sur un certificat	Lire le nom complet de l’entreprise Lire tous les domaines
Rôles et étendues	Lire tous les rôles d’administrateur et toutes les appartenances Lire toutes les propriétés et l’appartenance des unités administratives	Aucune autorisation	Aucune autorisation
Subscriptions	Lire tous les abonnements de gestion des licences Activer l’appartenance à un plan de service	Aucune autorisation	Aucune autorisation
Policies	Lire toutes les propriétés des stratégies Gérer toutes les propriétés des stratégies détenues	Aucune autorisation	Aucune autorisation
Conditions d’utilisation	Lire les conditions d’utilisation qu’un utilisateur a acceptées.	Lire les conditions d’utilisation qu’un utilisateur a acceptées.	Lire les conditions d’utilisation qu’un utilisateur a acceptées.

Restreindre les autorisations par défaut des utilisateurs membres

Il est possible d’ajouter des restrictions aux autorisations par défaut des utilisateurs.

Vous pouvez restreindre les autorisations par défaut pour les utilisateurs membres des manières suivantes :

Caution

Le paramètre Restreindre l’accès au portail d’administration Microsoft Entra limite l’accès à un ensemble de pages de centre d’administration couramment visitées. Ce n’est pas une mesure de sécurité. Pour plus d’informations sur le paramètre, consultez le tableau suivant.

Permission	Explication de définition
Inscrire des applications	La définition de cette option sur Non empêche les utilisateurs de créer des inscriptions d’applications. Vous pouvez alors redonner la capacité à des personnes spécifiques en les ajoutant au rôle développeur d’applications.
Autoriser les utilisateurs à connecter un compte professionnel ou scolaire avec LinkedIn	Si vous définissez cette option sur Non , les utilisateurs ne peuvent pas connecter leur compte professionnel ou scolaire à leur compte LinkedIn. Pour plus d’informations, voir Consentement et partage de données connexions de compte LinkedIn.
Créer des groupes de sécurité	La définition de cette option sur Non empêche les utilisateurs de créer des groupes de sécurité. Les utilisateurs disposant au minimum du rôle Administrateurs d’utilisateurs peuvent néanmoins continuer à créer des groupes de sécurité. Pour savoir comment procéder, consultez Cmdlets Microsoft Entra pour la configuration des paramètres de groupe.
Créer des groupes Microsoft 365	La définition de cette option sur Non empêche les utilisateurs de créer des groupes Microsoft 365. La définition de cette option sur Some permet à un ensemble d’utilisateurs de créer des groupes Microsoft 365. Toute personne affectée au moins au rôle Administrateur d’utilisateur peut toujours créer des groupes Microsoft 365. Pour savoir comment procéder, consultez Cmdlets Microsoft Entra pour la configuration des paramètres de groupe.
Limiter l’accès au portail d’administration Microsoft Entra	Que fait ce commutateur ? La définition de cette option sur Non permet aux non-administrateurs de se connecter au Centre d’administration Microsoft Entra. La définition de cette option sur Oui ajoute une couche de friction à la navigation décontractée. Ce paramètre empêche les non-administrateurs de charger un ensemble de pages fréquemment visitées dans le centre d’administration Microsoft Entra et le portail Azure, notamment la page d’accueil, la vue d’ensemble du locataire et la liste des utilisateurs. Les non-administrateurs qui possèdent des groupes ne pourront pas utiliser le Centre d’administration Microsoft Entra ou le portail Azure pour gérer ces ressources. La plupart des pages du centre d’administration restent accessibles si l’utilisateur a un lien direct (profond). Que ne fait-il pas ? Il ne bloque pas l’accès par programmation aux données Microsoft Entra via PowerShell, l’API Microsoft Graph ou d’autres outils tels que Visual Studio. Elle ne s’applique pas aux utilisateurs disposant d’un rôle d’administration, y compris aux rôles personnalisés. Il n’empêche pas tout accès au Centre d’administration. De nombreuses zones sont toujours accessibles via d’autres chemins. Dans quelle situation dois-je utiliser ce commutateur ? Utilisez ce paramètre si vous souhaitez ajouter une couche de friction qui empêche les utilisateurs non administrateurs d’ouvrir occasionnellement le Centre d’administration Microsoft Entra. Cela peut aider à réduire l’exploration nonessentiale, mais il n’empêche pas les utilisateurs d’accéder ou de gérer leurs ressources par d’autres moyens. Dans quelle situation ne dois-je pas utiliser ce commutateur ? Ne vous fiez pas à ce paramètre en tant que contrôle de sécurité. Pour renforcer l’application, utilisez une stratégie d’accès conditionnel ciblant l’API Gestion des services Windows Azure Windows Azure pour bloquer l’accès non administrateur aux points de terminaison de gestion Azure. Comment accorder uniquement à des utilisateurs non-administrateurs spécifiques la possibilité d’utiliser le portail d’administration Microsoft Entra ? Définissez le commutateur sur Oui, puis attribuez à ces utilisateurs un rôle tel que Le Lecteur global ou un autre rôle qui accorde des autorisations appropriées. Vous souhaitez restreindre l’accès plus efficacement ? Utilisez l’accès conditionnel pour cibler l’API Gestion des services Windows Azure. Cela offre un contrôle plus large sur l’accès à toutes les expériences de gestion basées sur Azure, notamment le Centre d’administration Microsoft Entra.
Empêcher les utilisateurs non administrateurs de créer des locataires	Les utilisateurs peuvent créer des locataires dans le portail d’administration Microsoft Entra ID et Microsoft Entra, sous Gérer le locataire. La création d’un locataire est enregistrée dans le journal d’audit en tant que catégorie DirectoryManagement et activité Créer une entreprise. Par défaut, l’utilisateur qui crée un locataire Microsoft Entra est automatiquement affecté au rôle Administrateur global. Le locataire nouvellement créé n’hérite pas de paramètres ou de configurations. Que fait ce commutateur ? La définition de cette option sur Oui limite la création de locataires Microsoft Entra à toute personne affectée au moins au rôle Créateur de locataire . La définition de cette option sur Non permet aux utilisateurs non administrateurs de créer des locataires Microsoft Entra. La création de locataire continue d’être enregistrée dans le journal d’audit. Comment accorder uniquement à des utilisateurs non-administrateurs spécifiques la possibilité de créer de nouveaux locataires ? Définissez cette option sur Oui, puis attribuez-les au rôle Créateur de locataire .
Empêcher les utilisateurs de récupérer les clés BitLocker des appareils qui leur appartiennent	Ce paramètre se trouve dans le centre d’administration Microsoft Entra, sous Paramètres de l’appareil. La définition de cette option sur Oui empêche les utilisateurs de pouvoir récupérer des clés BitLocker en libre-service pour leurs appareils détenus. Ils devront alors contacter le support informatique de leur organisation pour obtenir leurs clés BitLocker. La définition de cette option sur Aucune permet aux utilisateurs de récupérer leurs clés BitLocker.
Lire d’autres utilisateurs	Ce paramètre est disponible uniquement dans Microsoft Graph et PowerShell. Définir cet indicateur sur `$false` empêche tous les utilisateurs non administrateurs de lire les informations utilisateur dans le répertoire. Cet indicateur peut empêcher la lecture des informations utilisateur dans d’autres services Microsoft, comme Microsoft Teams. Ce paramètre est destiné à des circonstances particulières, donc nous vous déconseillons de définir l’indicateur sur `$false`.

L’option Empêcher les utilisateurs non administrateurs de créer des locataires est montrée dans la capture d’écran suivante.

Restreindre les autorisations par défaut des utilisateurs invités

Vous pouvez restreindre les autorisations par défaut pour les utilisateurs invités de l’une des manières suivantes.

Note

Le paramètre de restrictions d’accès d’utilisateur invités a remplacé le paramètre Les autorisations d’utilisateurs invités sont limitées. Pour obtenir des conseils sur l’utilisation de cette fonctionnalité, consultez Restriction des autorisations d’accès invité dans Microsoft Entra ID.

Permission	Explication de définition
Restrictions d’accès des utilisateurs invités	La définition de cette option de façon à attribuer aux utilisateurs invités le même accès que celui des membres a pour effet d’accorder par défaut toutes les autorisations des utilisateurs membres aux utilisateurs invités. La définition de cette option de façon à ce que l’accès des utilisateurs invités soit limité aux propriétés et aux appartenances de leurs propres objets annuaire a pour effet de limiter par défaut l’accès des invités à leur seul propre profil utilisateur. L’accès à d’autres utilisateurs n’est plus autorisé, même lorsqu’ils recherchent par nom d’utilisateur principal, ID d’objet ou nom d’affichage. L’accès aux informations de groupe, y compris les appartenances aux groupes, n’est plus autorisé. Ce paramètre n’empêche pas l’accès aux groupes joints dans certains services Microsoft 365 tels que Microsoft Teams. Pour en savoir plus, consultez Accès invité à Microsoft Teams. Les utilisateurs invités peuvent toujours être ajoutés aux rôles d’administrateur, indépendamment de ce paramètre d’autorisation.
Les invités peuvent inviter	La définition de cette option sur Oui permet aux invités d’inviter d’autres invités. Pour plus d’informations, consultez Configurer les paramètres de collaboration externe.

Permission

Explication de définition

Restrictions d’accès des utilisateurs invités

La définition de cette option de façon à attribuer aux utilisateurs invités le même accès que celui des membres a pour effet d’accorder par défaut toutes les autorisations des utilisateurs membres aux utilisateurs invités.

La définition de cette option de façon à ce que l’accès des utilisateurs invités soit limité aux propriétés et aux appartenances de leurs propres objets annuaire a pour effet de limiter par défaut l’accès des invités à leur seul propre profil utilisateur. L’accès à d’autres utilisateurs n’est plus autorisé, même lorsqu’ils recherchent par nom d’utilisateur principal, ID d’objet ou nom d’affichage. L’accès aux informations de groupe, y compris les appartenances aux groupes, n’est plus autorisé.

Ce paramètre n’empêche pas l’accès aux groupes joints dans certains services Microsoft 365 tels que Microsoft Teams. Pour en savoir plus, consultez Accès invité à Microsoft Teams.

Les utilisateurs invités peuvent toujours être ajoutés aux rôles d’administrateur, indépendamment de ce paramètre d’autorisation.

Les invités peuvent inviter

La définition de cette option sur Oui permet aux invités d’inviter d’autres invités. Pour plus d’informations, consultez Configurer les paramètres de collaboration externe.

Propriété des objets

Autorisations des propriétaires liées à l’inscription d’une application

Lorsqu’un utilisateur inscrit une application, il est automatiquement ajouté en tant que propriétaire de l’application. En tant que propriétaire, il peut gérer les métadonnées de l’application, telles que le nom et les autorisations demandées par l’application. Il peut également gérer la configuration spécifique du locataire de l’application, telle que la configuration de l’authentification unique (SSO) et les affectations d’utilisateurs.

Un propriétaire peut également ajouter ou supprimer des propriétaires. Contrairement aux utilisateurs disposant au minimum du rôle Administrateur d’application, les propriétaires ne peuvent gérer que les applications dont ils sont propriétaires.

Autorisations de propriétaire d’applications d’entreprise

Lorsqu’un utilisateur ajoute une nouvelle application d’entreprise, il est automatiquement ajouté en tant que propriétaire. En cette qualité, il peut gérer la configuration spécifique du locataire de l’application, telle que la configuration de l’authentification unique, l’attribution et les affectations d’utilisateurs.

Autorisations de propriétaire de groupe

Lorsqu’un utilisateur crée un groupe, il est automatiquement ajouté en tant que propriétaire de ce groupe. En tant que propriétaire, il peut gérer les propriétés du groupe (par exemple, le nom) et gérer l’appartenance au groupe.

Un propriétaire peut également ajouter ou supprimer des propriétaires. Contrairement aux utilisateurs affectés au moins au rôle Administrateur de groupes, les propriétaires peuvent gérer uniquement les groupes qu’ils possèdent et ils peuvent ajouter ou supprimer des membres de groupe uniquement si le type d’appartenance du groupe est affecté.

Pour assigner un propriétaire de groupe, consultez Gestion des propriétaires d’un groupe.

Pour utiliser Privileged Access Management (PIM) afin de rendre un groupe éligible à une attribution de rôle, consultez Utiliser des groupes Microsoft Entra pour gérer les attributions de rôles.

Autorisations de propriété

Les tableaux suivants décrivent les autorisations spécifiques dans l’ID Microsoft Entra que les utilisateurs membres ont sur les objets qu’ils possèdent. Les utilisateurs disposent de ces autorisations uniquement sur les objets qu’ils possèdent.

Inscriptions d’application possédées

Les utilisateurs peuvent effectuer les actions suivantes sur des inscriptions d’application possédées :

Action	Description
microsoft.directory/applications/audience/update	Mettre à jour la propriété `applications.audience` dans Microsoft Entra ID.
microsoft.directory/applications/authentication/update	Mettre à jour la propriété `applications.authentication` dans Microsoft Entra ID.
microsoft.directory/applications/basic/update	Mettre à jour les propriétés de base des applications dans Microsoft Entra ID.
microsoft.directory/applications/credentials/update	Mettre à jour la propriété `applications.credentials` dans Microsoft Entra ID.
microsoft.directory/applications/delete	Supprimer des applications dans Microsoft Entra ID.
microsoft.directory/applications/owners/update	Mettre à jour la propriété `applications.owners` dans Microsoft Entra ID.
microsoft.directory/applications/permissions/update	Mettre à jour la propriété `applications.permissions` dans Microsoft Entra ID.
microsoft.directory/applications/policies/update	Mettre à jour la propriété `applications.policies` dans Microsoft Entra ID.
microsoft.directory/applications/restore	Restaurer des applications dans Microsoft Entra ID.

Applications d’entreprise possédées

Les utilisateurs peuvent effectuer les actions suivantes sur les applications d’entreprise qu’ils possèdent. Une application d’entreprise se compose d’un principal de service, d’une ou plusieurs stratégies d’application et parfois d’un objet d’application dans le même locataire que le principal de service.

Action	Description
microsoft.directory/auditLogs/allProperties/read	Lire toutes les propriétés (y compris les propriétés privilégiées) des journaux d’audit dans Microsoft Entra ID.
microsoft.directory/policies/basic/update	Mettre à jour les propriétés de base des stratégies dans Microsoft Entra ID.
microsoft.directory/policies/delete	Supprimer des stratégies dans Microsoft Entra ID.
microsoft.directory/policies/owners/update	Mettre à jour la propriété `policies.owners` dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Mettre à jour la propriété `servicePrincipals.appRoleAssignedTo` dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignments/update	Mettre à jour la propriété `users.appRoleAssignments` dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/audience/update	Mettre à jour la propriété `servicePrincipals.audience` dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/authentication/update	Mettre à jour la propriété `servicePrincipals.authentication` dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/basic/update	Mettre à jour les propriétés de base des principaux de service dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/credentials/update	Mettre à jour la propriété `servicePrincipals.credentials` dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/delete	Supprimer des principaux de service dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/owners/update	Mettre à jour la propriété `servicePrincipals.owners` dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/permissions/update	Mettre à jour la propriété `servicePrincipals.permissions` dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/policies/update	Mettre à jour la propriété `servicePrincipals.policies` dans Microsoft Entra ID.
microsoft.directory/signInReports/allProperties/read	Lire toutes les propriétés (y compris les propriétés privilégiées) sur les rapports de connexion dans Microsoft Entra ID.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Gérer les secrets et les informations d’identification de l’attribution des applications
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Démarrez, redémarrez et suspendez les travaux de synchronisation de l’attribution des applications
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Créez et gérez le schéma et les tâches de synchronisation de l’attribution des applications
microsoft.directory/servicePrincipals/synchronization/standard/read	Lire les paramètres d’attribution associés au principal de service

Appareils détenus

Les utilisateurs peuvent effectuer les actions suivantes sur les appareils qu’ils possèdent :

Action	Description
microsoft.directory/devices/bitLockerRecoveryKeys/read	Lire la propriété `devices.bitLockerRecoveryKeys` dans Microsoft Entra ID.
microsoft.directory/devices/disable	Désactiver des appareils dans Microsoft Entra ID.

Groupes détenus

Les utilisateurs peuvent effectuer les actions suivantes sur les groupes qu’ils possèdent.