Rôles pour l’authentification déléguée

  • Last update on August 29th, 2025

Pour exécuter Configuration Manager avec Authentification déléguée, la Sync doit s’authentifier avec un utilisateur Entra ID non invité. Cet utilisateur peut se voir attribuer n’importe quel rôle. Les rôles attribués à cet utilisateur détermineront l’accès de Configuration Manager aux configurations dans le tenant :

  • Si vous souhaitez synchroniser toutes les configurations dans le tenant, le compte utilisateur utilisé pour l’Authentification déléguée doit avoir le rôle d’Administrateur général et le rôle d’Administrateur Exchange Online (avec les autorisations pour les listes d’adresses).
  • Si vous préférez ne pas utiliser un Administrateur général avec Configuration Manager, vous pouvez synchroniser la plupart des configurations dans le tenant en attribuant les rôles minimaux suivants :

Rôles minimum requis pour synchroniser toutes les configurations sans Administrateur général :

  • Administrateur d’applications
    • Requis pour gérer les enregistrements d’applications et les principaux de service.
  • Administrateur de la conformité
    • Requis pour gérer le centre de conformité de la sécurité.
  • Administrateur de la politique d’authentification
    • Requis pour gérer les paramètres de politique d’authentification.
  • Administrateur de la sécurité
    • Requis pour gérer les configurations dans Azure AD.
  • Administrateur des appareils cloud
    • Requis pour lire/écrire la politique d’inscription des appareils.
  • Administrateur des groupes
    • Requis pour gérer les groupes.
  • Administrateur des utilisateurs
    • Requis pour créer des utilisateurs et des groupes.
  • Administrateur Exchange
    • Requis pour gérer les paramètres Exchange Online.
  • Administrateur Intune
    • Requis pour gérer Intune/Endpoint.
  • Administrateur SharePoint
    • Requis pour lire/écrire les paramètres SharePoint.
  • Administrateur Teams
    • Requis pour gérer les paramètres Teams.
  • Attribuer un rôle d’Administrateur Exchange Online avec les autorisations suivantes :
    • Listes d’adresses
      • Requis pour les paramètres Exchange Online.

Sans le rôle d’Administrateur général, vous pouvez lire mais ne pouvez pas appliquer de modifications aux paramètres utilisateurs Azure Active Directory.

 

Instructions pour les autorisations en lecture seule

Pour un accès dédié à la sauvegarde, le compte utilisateur doit avoir les autorisations suivantes :

  • Lecteur général : ce rôle permet aux utilisateurs de visualiser toutes les ressources et paramètres au sein de l’organisation sans pouvoir effectuer de modifications.
  • Lecteur de rapports : ce rôle permet aux utilisateurs de visualiser les rapports et analyses sans aucune capacité de modification.

En attribuant à la fois les rôles Lecteur général et Lecteur de rapports, les utilisateurs disposeront d’un accès suffisant pour remplir leurs tâches de sauvegarde tout en préservant l’intégrité du système.