Pour exécuter Configuration Manager avec Authentification déléguée, la synchronisation doit s’authentifier avec un utilisateur non-invité Entra ID. Cet utilisateur peut se voir attribuer n'importe quels rôles. Les rôles attribués à cet utilisateur détermineront l'accès de Configuration Manager aux configurations dans le tenant :
- Si vous souhaitez synchroniser toutes les configurations dans le tenant, le compte utilisateur utilisé pour l’authentification déléguée doit avoir le rôle Global Administrator et le rôle Exchange Online Admin (avec les autorisations pour les listes d'adresses).
- Si vous préférez ne pas utiliser un Global Administrator avec Configuration Manager, vous pouvez synchroniser la plupart des configurations dans le tenant en appliquant les rôles minimum suivants :
Rôles minimum requis pour synchroniser toutes les configurations sans Global Administrator :
- Administrateur des politiques d’authentification
- Requis pour gérer les paramètres des politiques d’authentification
- Administrateur Intune
- Requis pour gérer Intune/Endpoint
- Administrateur de la conformité
- Requis pour gérer le centre de conformité de sécurité
- Administrateur Exchange
- Requis pour gérer les paramètres Exchange Online
- Administrateur des utilisateurs
- Requis pour créer des utilisateurs et des groupes
- Administrateur Teams
- Requis pour gérer les paramètres de Teams
- Administrateur des applications
- Requis pour gérer les enregistrements d’applications et les principaux de service
- Administrateur des groupes
- Requis pour gérer les groupes
- Administrateur de la sécurité
- Requis pour gérer les configurations dans Azure AD
- Administrateur d’appareils cloud
- Requis pour lire/écrire des politiques d’enregistrement des appareils
- Administrateur SharePoint
- Requis pour lire/écrire les paramètres SharePoint
-
Attribuer un rôle Exchange Online Admin avec les autorisations suivantes :
- Listes d'adresses
- Requis pour les paramètres Exchange Online
- Listes d'adresses
Sans le rôle Global Administrator, vous pouvez lire mais ne pouvez pas appliquer de modifications aux paramètres des utilisateurs d’Azure Active Directory.
Instructions d’autorisation en lecture seule
Pour un accès de sauvegarde uniquement, le compte utilisateur doit recevoir les autorisations suivantes :
- Global reader : ce rôle permet aux utilisateurs de consulter toutes les ressources et les paramètres de l’organisation sans possibilité de modification.
- Reports reader : ce rôle permet aux utilisateurs de consulter les rapports et les analyses sans aucune capacité de modification.
En attribuant les rôles Global Reader et Reports Reader, les utilisateurs disposeront d’un accès suffisant pour effectuer leurs tâches de sauvegarde tout en maintenant l’intégrité du système.