Attribution de rôles à l’application Graph

  • Last update on December 2nd, 2025

Table of Contents

CoreView s’appuie sur Graph pour exécuter des actions de gestion. Depuis le panneau Gestion Graph, vous pouvez autoriser l’utilisation du module Microsoft Graph. Ce faisant, vous accorderez certaines autorisations permettant à CoreView d’exécuter certaines actions.

Cependant, les autorisations par défaut attribuées à l’application Graph enregistrée dans CoreView peuvent ne pas suffire à exécuter certaines actions. Pour des raisons de sécurité, CoreView n’attribue pas de rôles en votre nom. Ainsi, selon votre scénario opérationnel, vous devrez peut-être attribuer des rôles supplémentaires à l’application Graph Management.

En particulier, si les rôles ne sont pas attribués, les opérations suivantes peuvent ne pas fonctionner :

  • L’action de gestion « Gérer le mot de passe », qui permet de modifier le mot de passe pour les utilisateurs administrateurs et non-administrateurs
  • La gestion de certaines données sensibles de l’utilisateur, telles que le numéro de téléphone professionnel, le numéro de téléphone mobile et d’autres propriétés d’adresses e-mail, ne sera pas possible
  • La rotation des mots de passe pour les comptes de service ne peut pas être effectuée

Pour mieux suivre cet article, nous recommandons de lire « Travailler avec les utilisateurs dans Microsoft Graph » et les articles « Mettre à jour un utilisateur » de la documentation Microsoft.

Si vous avez besoin d’instructions sur la façon d’attribuer des rôles à l’application CoreView Graph, suivez le tutoriel dans notre documentation : Comment attribuer des rôles à une application dans Entra Admin Center.

Action de gestion « Gérer le mot de passe »

Pour activer l’action de gestion « Gérer le mot de passe », vous devez attribuer un ou plusieurs rôles à l’application Graph. Cette action permet la réinitialisation du mot de passe pour les utilisateurs non-administrateurs et administrateurs

Selon vos besoins, vous pouvez attribuer :

  • User Administrator : permet de modifier les mots de passe uniquement des utilisateurs non-administrateurs.
  • Privileged Authentication Administrator : permet de gérer les mots de passe des utilisateurs administrateurs et non-administrateurs.

Gérer les mots de passe uniquement des utilisateurs non-administrateurs

User Administrator

Ce rôle ne permet pas de modifier les profils de mot de passe des utilisateurs ayant des rôles administrateurs. Attribuez ce rôle si vous souhaitez changer les mots de passe uniquement des utilisateurs non-administrateurs.

Gérer les mots de passe des utilisateurs administrateurs et non-administrateurs

Privileged Authentication Administrator

Avec ce rôle, vous pouvez aussi modifier les mots de passe des utilisateurs ayant des rôles administrateurs. Attribuez ce rôle si vous devez changer les mots de passe des utilisateurs administrateurs et non-administrateurs.

Données sensibles de l’utilisateur

L’attribution des rôles :

  • User Administrator 
  • et Privileged Authentication Administrator 

est requise pour utiliser les actions qui modifient certaines propriétés sensibles des données utilisateur. Ces actions modifient les propriétés utilisateur, comme la mise à jour :

  • du numéro de téléphone professionnel (businessPhones)
  • du numéro de téléphone mobile (mobilePhone)
  • ou d’autres adresses e-mail de l’utilisateur (otherMails)

Rotation du mot de passe pour les comptes de service

L’attribution des rôles :

  • User Administrator 
  • et Privileged Authentication Administrator 

est requise pour la rotation du mot de passe de l’utilisateur Advanced Management (4ward365.admin@domain) et des Comptes de service (coreview.reports1@domain).

Ressources utiles de la documentation Microsoft

Il est possible que Microsoft modifie une propriété ou le rôle requis pour la gérer. Pour cette raison, nous vous recommandons de consulter la documentation pour rester à jour. En particulier, nous mettons en avant les articles suivants de la documentation Microsoft :

Dans l’article Mettre à jour un utilisateur, la documentation Microsoft précise :

Dans les scénarios uniquement applicatifs, en plus des autorisations Microsoft Graph, l’application doit se voir attribuer un rôle d’administrateur avec privilèges élevés comme indiqué dans Qui peut effectuer des actions sensibles.

Les propriétés suivantes ne peuvent pas être mises à jour par une application disposant uniquement des autorisations d’application : aboutMe, birthday, employeeHireDate, interests, mySite, pastProjects, responsibilities, schools et skills.

Dans l’article Travailler avec les utilisateurs dans Microsoft Graph, la documentation Microsoft spécifie également dans l’article quelles actions contre l’objet utilisateur sont considérées comme sensibles et qui peut effectuer des actions sensibles. Vous pouvez vous référer à ces deux derniers tableaux pour savoir quels rôles attribuer à l’application Graph dans CoreView afin d’effectuer les actions souhaitées.

Related Articles

DID THIS PAGE HELP YOU?