Office 365 Identity & Access: Gérer les utilisateurs et les autorisations

Tutoriels

Office 365 Identity & Access: Gérer les utilisateurs et les autorisations. Cet article montre comment gérer les comptes d’utilisateurs et les autorisations dans Office 365 en utilisant les outils de gestion de l’identité et de gestion des accès.

Nous commençons par explorer un aperçu des solutions de gestion de l’identité et des accès d’Office 365. Dans cette section, nous discutons de la création de différents types d’utilisateurs et de leur octroi d’accès aux ressources dans la gestion de l’identité et des accès d’Office 365. 

En particulier, cette section se concentre sur la création d’utilisateurs internes et externes avec Microsoft 365, le portail Azure AD, ou Azure AD PowerShell. De plus, nous montrons comment utiliser ces trois outils pour accorder aux utilisateurs l’accès aux ressources nécessaires.

De plus, l’administration des comptes utilisateurs et des autorisations implique la réinitialisation des mots de passe des utilisateurs . Ainsi, cet article traite de la manière de réinitialiser les mots de passe des utilisateurs d’Office 365 en utilisant les trois méthodes.

Lire aussi Protection contre les attaques de phishing dans Office 365

Aperçu de la gestion de l’identité et de l’accès à Office 365

L’outil de gestion de l’identité et de l’accès (IAM) d’Office 365 Identity permet aux administrateurs de gérer les comptes utilisateur et les autorisations. Microsoft 365 propose 2 types d’utilisateurs : internes et externes. 

Les utilisateurs internes font partie de l’organisation, tandis que les utilisateurs externes appartiennent à une autre organisation ajoutée au locataire Office 365 à des fins de collaboration.

Une fois que vous avez créé un utilisateur interne ou externe, vous lui accordez l’accès aux ressources via des rôles ou des groupes . Pour accorder l’accès via des rôles, ajoutez l’utilisateur au rôle.

Lorsque vous accordez aux utilisateurs l’accès à des ressources via l’appartenance à un groupe, il est recommandé d’ajouter les utilisateurs au groupe. Ensuite, vous ajoutez le groupe au rôle Azure AD approprié.

Cette approche garantit que les utilisateurs héritent des autorisations attribuées au groupe.

Notez que vous devez d’abord activer l’attribution de rôles lors de la création du groupe pour ajouter des groupes aux rôles. Cependant, une fois cette option activée, elle est permanente pour le groupe.

Alternativement, vous accordez à un groupe pouvant recevoir des rôles l’accès à un rôle intégré, puis ajoutez des utilisateurs au groupe.

Lire aussi Comment mettre en œuvre le contrôle d’accès basé sur les rôles dans Office 365

Méthode 1:

Utiliser le portail M365 pour gérer les comptes utilisateur et les autorisations avec la gestion des identités et des accès Office 365

De plus, nous fournissons des instructions étape par étape sur la création d’un groupe Microsoft 365 groupe, l’ajout d’utilisateurs au groupe et l’attribution d’un utilisateur ou d’un groupe à un rôle.

Étape 1 Option 2: Créer des utilisateurs internes Office 365 dans le portail Microsoft 365

Pour commencer à gérer les utilisateurs et les autorisations dans Microsoft 365, accédez à admin.microsoft.com avec un compte qui a les autorisations appropriées.

Ensuite, accédez à la page Utilisateurs actifs. Cliquez sur l’icône du menu de navigation (si elle n’est pas déjà étendue) et sélectionnez « Utilisateurs actifs » dans le nœud Utilisateurs.

Sur la page « Utilisateurs actifs », cliquez sur « Ajouter des utilisateurs » pour lancer le flux de création de nouveaux utilisateurs. Cela vous guide à travers le processus d’ajout des détails utilisateur nécessaires et, si nécessaire, d’attribution de licences et de rôles.

Lire aussi Comment surveiller les journaux d’activité Office 365 pour une sécurité améliorée

Option 2 de l’étape 1 : Créer des utilisateurs externes Office 365 dans le portail Microsoft 365

Pour garantir que d’autres utilisateurs peuvent ajouter le calendrier de l’utilisateur externe à leur propre calendrier, il est recommandé d’ajouter d’abord l’utilisateur en tant que contact de messagerie pour l’utilisateur dans Exchange Online avant de créer un utilisateur externe dans Microsoft 365.

Dans mon expérience, si vous sautez cette étape, d’autres utilisateurs peuvent rencontrer des problèmes pour ajouter le calendrier de l’utilisateur externe au leur.

Cependant, si les utilisateurs internes n’ont pas besoin d’ajouter l’utilisateur externe à leurs calendriers, vous pouvez sauter cette étape et passer à l’étape 2 ci-dessous :Étape 1 : ajouter un contact de messagerie pour l’utilisateur dans Exchange Online (facultatif).

Étape 1 : ajouter un contact par e-mail pour l’utilisateur dans Exchange Online (facultatif).

Pour ouvrir la page Contacts d’Exchange Online, connectez-vous à admin.exchange.microsoft.com en utilisant vos informations d’administrateur. Une fois connecté, accédez à la page Destinataires -> Contacts.

Enfin, cliquez sur « Ajouter un contact par e-mail » et suivez les étapes. J’ai ajouté mon compte Gmail pour une démo.

Étape 2 : ajouter le contact par e-mail en tant qu’utilisateur invité.

Connectez-vous à admin.microsoft.com et accédez à la section « Utilisateurs invités » dans l’onglet Utilisateurs. Ensuite, cliquez sur « Ajouter un utilisateur invité » pour commencer à ajouter un nouvel utilisateur invité.

Cette action ouvre la page « Nouvel utilisateur » d’Azure AD dans un nouvel onglet du navigateur. Sur la page Azure AD, sélectionnez l’option Inviter l’utilisateur, ajoutez les informations requises et cliquez sur le bouton Inviter.

Pour activer leur compte, l’utilisateur externe doit consulter son e-mail de Microsoft et suivre le lien fourni dans le message.

Lire aussi Utiliser des stratégies d’accès conditionnel pour renforcer la sécurité d’Office 365

Étape 2 Option 1 : Accorder des autorisations aux comptes utilisateurs via les rôles dans le portail Office 365

Pour attribuer des rôles aux utilisateurs dans Office 365, accédez au portail Microsoft 365 et suivez les instructions ci-dessous.

Attribuer des rôles Microsoft 365 à des utilisateurs internes et externes. 

1. Dans le menu, développez Rôles et cliquez sur Affectations de rôle

2. Ensuite, cliquez sur le rôle Azure AD pour attribuer un utilisateur, par exemple, « Administrateur du service d’assistance ».

3. Sur le volet de rôle, cliquez sur l’onglet Affecté. Ensuite, cliquez sur « Ajouter des utilisateurs. » Enfin, sélectionnez les utilisateurs auxquels vous souhaitez attribuer le rôle et cliquez sur Ajouter

Une fois ajoutés, vérifiez l’onglet « Affecté » pour confirmer qu’ils ont été ajoutés avec succès.

Aussi à lire Découvrez les rapports d’utilisateurs Office 365

Option 2 de l’étape 2: Accorder des autorisations aux comptes d’utilisateurs via des groupes dans le portail Microsoft 365

Pour attribuer l’accès aux utilisateurs via des groupes, suivez un processus en 2 étapes.

Tout d’abord, ajoutez les utilisateurs au groupe. Ensuite, attribuez le groupe à un rôle en utilisant l’interface de gestion des rôles.

Comme mentionné précédemment, la sélection de l’option d’attribution des rôles aux groupes doit être effectuée lors de la création du groupe. Par conséquent, pour utiliser des groupes pour attribuer des rôles d’utilisateur, créez un groupe et activez la fonction d’attribution des rôles pendant le processus de création.

1. Pour ce faire, dans le portail Microsoft 365, développez « Équipes et groupes », puis sélectionnez « Équipes et groupes actifs ».

2. Ensuite, pour ouvrir le flux de travail « Ajouter un groupe », cliquez sur Ajouter un groupe.

Lors de la création d’un nouveau groupe, vous pouvez ajouter des utilisateurs au groupe dans la section « Membres » du flux de travail. De plus, vous pouvez cocher la case « autoriser l’attribution du rôle d’administrateur à ce groupe » dans la section « Paramètres ».

Référez-vous à la deuxième capture d’écran ci-dessous pour la configuration.

3. Pour attribuer des rôles à un groupe, naviguez dans le menu, développez Rôles, et cliquez sur Attributions de rôle.

4. Après avoir cliqué sur Attributions de rôle, sélectionnez le rôle Azure AD que vous souhaitez attribuer au groupe, tel que « Administrateur du service d’assistance ».

5. Ensuite, sur le volet de rôle, cliquez sur l’onglet Attribué. Ensuite, cliquez sur « Ajouter des groupes. »

6. Enfin, sélectionnez les groupes auxquels vous souhaitez attribuer le rôle et cliquez sur Ajouter.

Une fois que vous avez ajouté des groupes au rôle, vérifiez l’onglet « Assigné » pour confirmer qu’ils ont été ajoutés avec succès.

Lire aussi Top 10 des meilleurs outils IAM – Gestion des accès et des identités (avantages inconvénients)

Réinitialiser le mot de passe utilisateur Office 365 dans le portail Microsoft 365

1. Pour réinitialiser un mot de passe utilisateur dans le portail Microsoft 365, développez le menu « Utilisateurs » dans le panneau de navigation. Ensuite, sélectionnez « Utilisateurs actifs » et survolez le compte utilisateur qui nécessite la réinitialisation du mot de passe.

2. Cliquez sur le symbole de clé qui apparaît en survolant le compte. Cela lance le processus de réinitialisation du mot de passe.

3. Enfin, sélectionnez les options souhaitées sur le volet « Réinitialiser le mot de passe » et cliquez sur « Réinitialiser le mot de passe ». Le portail Microsoft 365 affiche un message de confirmation avec le nouveau mot de passe.

Également lire Vérifier les journaux d’audit Azure AD pour les connexions d’utilisateurs (succès échecs)

Méthode 2:

Utiliser le portail Azure AD pour gérer les comptes d’utilisateurs et les autorisations avec Office 365 IAM

 Ce portail offre une gamme de fonctionnalités et d’outils qui permettent aux administrateurs de gérer les comptes d’utilisateurs, y compris la configuration des autorisations et plus encore. Cette section explore les étapes critiques pour gérer les comptes d’utilisateurs dans le portail Azure AD.

Étape 1 Option 1: Créer des utilisateurs internes Office 365 dans le portail Azure AD

1. Tout d’abord, connectez-vous à portal.azure.com et accédez à l’option Utilisateurs dans le menu. 

2. Ensuite, cliquez sur « +Ajouter » et sélectionnez Utilisateur. Enfin, choisissez le modèle Créer utilisateur, fournissez les détails requis et cliquez sur Créer.

Également lire New-MgGroupMemberByRef – Ajouter des utilisateurs à un groupe Azure AD à l’aide de Powershell

Étape 1 Option 2: Créer des utilisateurs externes Office 365 dans le portail Azure AD

Plus tôt, j’ai recommandé d’ajouter un contact de messagerie pour l’utilisateur avant de créer un utilisateur externe. C’est recommandé si vos utilisateurs internes ont besoin d’ajouter le calendrier de l’utilisateur externe à leur propre calendrier.

Pour créer un contact de messagerie, connectez-vous à la page des contacts Exchange Online à admin.exchange.microsoft.com. Après vous être connecté, allez sur la page Destinataires -> Contacts. Ensuite, cliquez sur « Ajouter un contact de messagerie » et complétez les étapes requises.

Pour envoyer une invitation à un utilisateur externe dans Azure AD après avoir effectué l’étape facultative ci-dessus, suivez ces étapes:

1. Tout d’abord, suivez le « Étape 1 sur 2 » jusqu’à atteindre la deuxième étape.

2. Ensuite, sélectionnez le modèle Inviter l’utilisateur. Enfin, fournissez les informations requises et cliquez sur Inviter.

Une fois que vous avez terminé les étapes ci-dessus, l’utilisateur reçoit un courriel de Microsoft.

Il contient un lien pour finaliser leur inscription à Azure AD. L’utilisateur doit cliquer sur le lien pour terminer le processus.

Également lu Get-MgUser – Trouver des utilisateurs Azure AD et filtrer à l’aide d’un script PowerShell

Étape 2 Option 1 : Accorder des autorisations aux comptes d’utilisateurs via des rôles dans le portail Azure AD

1. Une fois que vous avez créé un utilisateur, utilisez le portail Azure AD pour attribuer des rôles à l’utilisateur. Cliquez sur « Rôles et administrateurs » dans le menu Azure Active Directory pour accomplir cette tâche. 

2. Ensuite, choisissez le rôle que vous souhaitez attribuer à l’utilisateur. Utilisez la fonction de recherche, si nécessaire. 

3. Ensuite, cliquez sur « + Ajouter des attributions » pour finaliser le processus.

Également lu Comment activer le retour de mot de passe sur Azure AD Connect

Étape 2 Option 2 : Accorder des autorisations aux comptes d’utilisateurs via des groupes dans le portail Azure AD

Dans l’étape 3 ci-dessus, nous avons démontré comment attribuer des autorisations aux utilisateurs via Azure AD rôles. Cependant, une méthode potentiellement meilleure consiste à attribuer des rôles d’utilisateur en fonction de l’appartenance à un groupe .

Suivez ces étapes pour accomplir les tâches dans Azure AD :

Tout d’abord, créez un groupe et activez-le pour qu’il puisse se voir attribuer des rôles AD. Deuxièmement, ajoutez les utilisateurs en tant que membres du nouveau groupe.

Enfin, attribuez les rôles que vous souhaitez assigner aux utilisateurs en attribuant les rôles au groupe Azure AD.

Voici les étapes pratiques :

1. Cliquez sur « Groupes » dans le menu, puis sur « Nouveau groupe ».



2. Activez « Les rôles Azure AD sont attribués au groupe », sélectionnez les options dans la capture d’écran ci-dessous, et cliquez sur « Créer » pour terminer la création du groupe.


Ensuite, suivez les étapes ci-dessous pour ajouter des utilisateurs au groupe et lui attribuer un rôle :

3. Cliquez sur le groupe dans le nœud Groupes, puis cliquez sur « Membres » sur la page du groupe. Ensuite, cliquez sur « + Ajouter des membres » pour ajouter des utilisateurs au groupe Azure AD.

4. Pour attribuer le groupe aux rôles Azure Active Directory, cliquez sur « Rôles et administrateurs » dans le menu Azure Active Directory. Ensuite, sélectionnez le rôle que vous souhaitez attribuer au groupe. Enfin, cliquez sur « + Ajouter des attributions ».


Lire aussi Comment se connecter à Office 365 en utilisant Powershell

Réinitialiser le mot de passe utilisateur Office 365 dans le portail Azure AD

Les administrateurs doivent pouvoir réinitialiser les mots de passe pour gérer les comptes utilisateurs et les autorisations en utilisant les solutions de gestion des identités et des accès Office 365. Il est donc bon de savoir que les mots de passe des utilisateurs peuvent être réinitialisés dans le portail Azure AD.

1. Cliquez sur le nœud Utilisateurs pour réinitialiser le compte d’un utilisateur dans le portail Azure Active Directory.

2. Utilisez la fonction de recherche pour sélectionner l’utilisateur. Ensuite, complétez le processus en cliquant sur « Réinitialiser le mot de passe » situé au-dessus des détails de l’utilisateur.

Lire aussi Comment Vérifier si l’authentification multifacteur est activée dans Office 365 pour les utilisateurs

Méthode 3:

Utiliser PowerShell pour gérer les comptes utilisateurs et les autorisations avec Office 365 Identity and Access Management

Maintenant, passons à la troisième et dernière méthode, qui consiste à utiliser PowerShell pour accomplir la même tâche.

Tout d’abord, nous devons installer les modules PowerShell requis pour les tâches à accomplir.

Étape 1: Installer les Modules Requis: AzureAD, ExchangePowerShell, Az.Accounts et Az.Resources

1. Ouvrez PowerShell en tant qu’administrateur. Recherchez PowerShell, puis cliquez sur « Exécuter en tant qu’administrateur. »

2. Pour ouvrir une nouvelle instance exécutant des commandes à partir de modules téléchargés, exécutez la commande suivante après avoir ouvert PowerShell en tant qu’administrateur.

powershell.exe -ExecutionPolicy "RemoteSigned"

3. Ensuite, pour installer les modules PowerShell nécessaires, exécutez les commandes suivantes. La première commande installe les modules, tandis que la deuxième les importe dans votre session PowerShell actuelle.

Install-Module AzureAD, ExchangeOnlineManagement, Az.Accounts, Az.Resources
Import-Module AzureAD, ExchangeOnlineManagement, Az.Resources, Az.Accounts

Lire aussi Obtenir les membres du groupe Active Directory et les exporter vers un fichier CSV à l’aide de PowerShell

Étape 2 Option 1 : Créer des utilisateurs internes Office 365 dans PowerShell

1. Connectez-vous à votre locataire Azure AD en exécutant cette commande. Cela incite PowerShell à demander vos détails de connexion. 

Connect-AzureAD

2. Une fois connecté, exécutez les commandes suivantes pour créer un nouvel utilisateur Office 365.  

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "enter password here"
New-AzureADUser -DisplayName "M365 PowerShell" -PasswordProfile $PasswordProfile -UserPrincipalName "[email protected]" -AccountEnabled $true -MailNickName "M365PowerShell"

Lire aussi Get-AzureADAuditSignInLogs – Rechercher les journaux de connexion des 30 derniers jours avec PowerShell

Étape 2 Option 2 : Créer des utilisateurs externes Office 365 dans PowerShell

Comme mentionné dans les deux méthodes précédentes, un utilisateur externe peut être ajouté en les créant d’abord en tant que contact mail, ce qui est une étape facultative.

Si vos utilisateurs internes ont besoin d’ajouter le calendrier de l’utilisateur externe au leur, suivez les étapes 1 à 2 pour ajouter un contact mail en utilisant PowerShell. Sinon, passez à l’étape 3.

1. Pour vous connecter à Exchange Online sur la console PowerShell qui a été ouverte à l’étape 2 Option 1, exécutez la commande ci-dessous et saisissez vos informations de connexion lorsque demandé par PowerShell.  

Connect-ExchangeOnline

2. Ajoutez un contact mail pour l’utilisateur externe que vous souhaitez inviter en utilisant cette commande. Modifiez les parties de la commande selon vos besoins. 

New-MailContact -Name "Victor Gmaail PowerShell" -ExternalEmailAddress "enter user's email here"

3. Ensuite, envoyez l’invitation en exécutant la commande fournie : modifiez les paramètres avant d’exécuter la commande. 

New-AzureADMSInvitation -InvitedUserEmailAddress email@externaldomain.com -SendInvitationMessage $True -InviteRedirectUrl "http://myapps.microsoft.com"

Lire aussi Qu’est-ce que 0xc000006a – Connexion utilisateur mal orthographiée ou mauvais mot de passe

Étape 3 Option 1 : Accorder des autorisations aux comptes utilisateurs via des rôles dans PowerShell

Exécutez les commandes suivantes pour attribuer un rôle à un utilisateur. Modifiez les commandes pour répondre à vos besoins. 

I have included comments in the script to explain each command. 

#step 1: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: Get the ID of the role you want to assign the user
$roleDefinitionid = (Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'").Id
#step 3: assign the user the role
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $userid

#étape 1: obtenir l’ID de l’utilisateur que vous souhaitez ajouter à un rôle:

#étape 2: Obtenez l’ID du rôle que vous souhaitez attribuer à l’utilisateur

#step 1: Create a role-assignable group in Azure Active Directory - skip this step if you have an existing role assignable group
$group = New-AzureADMSGroup -DisplayName "InfraSOS_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "InfraSOShelpdeskadministrators" -IsAssignableToRole $true
#step 2: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 3: add the user to the AAD group
Add-AzureADGroupMember -ObjectId $group.id -RefObjectId $userid
#step 4: add azure AD group to an azure AD role
New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $group.id

#étape 3: attribuer le rôle à l’utilisateur

Étape 3 Option 2 : Accorder des autorisations aux comptes utilisateur via des groupes dans PowerShell

Pour attribuer un rôle à un utilisateur via son appartenance à un groupe, exécutez les commandes dans le script ci-dessous.

#step 1: get the ID of the user you want to reset its password:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: set a new password for the user
#step 3: reset the passord.
Set-AzureADUserPassword -ObjectId  $userid -Password $password -ForceChangePasswordNextLogin $true

#étape 1: Créer un groupe attribuable à un rôle dans Azure Active Directory ignorez cette étape si vous disposez déjà d’un groupe attribuable à un rôle

#étape 2: obtenir l’ID de l’utilisateur que vous souhaitez ajouter à un rôle:

#étape 3: ajouter l’utilisateur au groupe AAD

#étape 4: ajouter le groupe Azure AD à un rôle Azure AD

Also Read SSPR: Enable Azure Active Directory Self-Service Password Reset

Réinitialiser le mot de passe utilisateur Office 365 dans PowerShell

Source:
https://infrasos.com/office-365-identity-access-manage-user-accounts-permissions/