En prévision de la dépréciation par Microsoft des modules PowerShell MSOL et Azure d'ici fin mars 2024, ce qui rendra certaines commandes inutilisables, nous avons migré de manière proactive vers Graph pour exécuter les actions de gestion.
Une action de gestion critique affectée par cette transition est « Gérer le mot de passe », qui permet la réinitialisation des mots de passe des utilisateurs non-administrateurs et des utilisateurs ayant des rôles d'administrateur.
Les autorisations par défaut attribuées à l'application Graph enregistrée dans CoreView ne sont pas suffisantes pour exécuter cette action. Pour résoudre ce problème, des rôles supplémentaires doivent être accordés à l’application Graph.
Le guide fournit les étapes d’attribution de rôles dans le centre d’administration Microsoft Entra. Pour plus d'informations, consultez l'article « Attribuer des rôles Microsoft Entra aux utilisateurs » dans la documentation officielle de Microsoft.
Veuillez noter que les procédures peuvent varier selon les mises à jour Microsoft ou votre configuration. Si vous rencontrez des doutes ou des problèmes, il est préférable de vous référer directement à la documentation de Microsoft.
Attribution de rôles à l'application Graph
Pour activer l'action de gestion « Gérer le mot de passe », vous devrez attribuer un ou plusieurs rôles à l'application Graph :
Gérer uniquement les mots de passe des utilisateurs non-administrateurs
User Administrator
Ce rôle ne permet pas la modification des profils de mot de passe des utilisateurs ayant des rôles d'administrateur. Attribuez ce rôle si vous avez l'intention de modifier les mots de passe d'un utilisateur non administrateur.
Gérer les mots de passe des utilisateurs administrateurs et non-administrateurs
Privileged Authentication Administrator
Avec ce rôle, vous pouvez également modifier les mots de passe des utilisateurs dotés de rôles d'administrateur. Attribuez ce rôle si vous devez modifier les mots de passe des utilisateurs administrateurs et non-administrateurs.
Comment attribuer des rôles
Cette section montre comment attribuer un rôle à l'application Graph. La procédure s'applique aux deux rôles.
Étape 1 : copiez l'ID client
Copiez l'ID client de l'application que vous avez enregistrée auprès de CoreView .
Étape 2 : accédez à « Rôles et administrateurs » et recherchez le rôle
- Visitez le centre d'administration Microsoft Entra.
- Dans le menu de gauche, développez la section « Identité ».
- Cliquez sur « Rôles et administrateurs ».
- Utilisez le moteur de recherche pour rechercher le rôle requis :
- « Rôle d'administrateur de l'utilisateur »
- « Administrateur d'authentification privilégié ».
- Double-cliquez sur le « Rôle » souhaité dans les résultats de la recherche.
Étape 3 : attribuer le rôle à l'application Graph
- Depuis la page de détail du rôle, cliquez sur « Ajouter des affectations ».
- Sous « Sélectionner le(s) membre(s) » , cliquez sur le lien indiquant le nombre de membres ou « Aucun membre sélectionné ».
- Une fenêtre contextuelle intitulée « Sélectionner un membre » apparaîtra.
- Collez l'ID client précédemment copié dans le moteur de recherche.
- Cochez la case à côté de l'application enregistrée dans les résultats de recherche.
- Cliquez sur le bouton « Sélectionner ».
- Remplissez les champs.
Étape 4 : vérifier
L'application que vous avez sélectionnée devrait maintenant apparaître dans les résultats « Affectations » pour ce rôle.
Une fois ces étapes terminées, l'application Graph disposera des autorisations nécessaires et vous pourrez utiliser l'action de gestion « Gérer le mot de passe » pour réinitialiser les mots de passe si nécessaire.