Utilisateurs et groupes
Types de comptes dans Entra ID
Entra ID distingue plusieurs catégories de comptes. Chaque type a des droits et des contraintes différents dans le tenant.
Comptes membres (Member)
Les comptes membres sont les comptes internes à votre organisation. Ils sont créés directement dans votre tenant Entra ID ou synchronisés depuis un Active Directory on-premises. Ces comptes ont accès à l'ensemble des ressources autorisées par les politiques de l'organisation.
- Identifiés par un UPN du domaine de l'organisation (
alice@contoso.com) - Peuvent se voir attribuer des rôles Entra ID et des licences Microsoft 365
- Visibles dans le répertoire par tous les membres (par défaut)
Comptes invités B2B (Guest)
Les comptes invités permettent de collaborer avec des personnes extérieures à l'organisation : partenaires, prestataires, clients. C'est le scénario Azure AD B2B (Business-to-Business).
- L'invité s'authentifie avec son propre compte (Microsoft, Google, email OTP…)
- Accès limité aux ressources explicitement partagées
- Visibilité réduite dans le répertoire (ne voient pas tous les utilisateurs par défaut)
- Identifiés par le suffixe
#EXT#dans leur UPN interne
B2B vs B2C : Azure AD B2B concerne la collaboration inter-entreprises (invités dans votre tenant). Azure AD B2C est un service séparé destiné aux applications grand public, avec des millions de comptes clients externes gérés indépendamment.
Comptes de service
Certains comptes ne correspondent pas à une personne physique mais à une application ou un processus automatisé. Entra ID propose deux approches pour ces cas :
- Service Principal — identité d'une application enregistrée dans Entra ID
- Managed Identity — identité gérée automatiquement par Azure, sans secret à gérer manuellement (recommandé pour les ressources Azure)
Propriétés clés d'un utilisateur
Chaque compte utilisateur dans Entra ID possède un ensemble d'attributs importants pour son identification et sa gestion.
UPN (User Principal Name)
Le UPN est l'identifiant de connexion principal, au format utilisateur@domaine.com. Il doit être unique dans le tenant. Pour les comptes synchronisés depuis l'Active Directory on-premises, le UPN correspond généralement au UPN AD.
Nom d'affichage et alias e-mail
Le Display Name est le nom visible dans les interfaces Microsoft 365 (Outlook, Teams…). L'alias e-mail peut différer du UPN si l'organisation utilise plusieurs domaines vérifiés.
Rôles assignés
Les rôles Entra ID (Administrateur global, Administrateur utilisateur, Lecteur, etc.) accordent des permissions sur la gestion du tenant lui-même. Ils sont distincts des rôles Azure RBAC qui portent sur les ressources Azure.
Licences
Les licences Microsoft 365 / Entra ID (P1, P2…) débloquent des fonctionnalités comme la réinitialisation de mot de passe en libre-service, l'accès conditionnel ou la protection d'identité. Elles peuvent être attribuées directement à un utilisateur ou via un groupe.
Créer un utilisateur
Via le portail Entra ID
- Ouvrir portal.azure.com et naviguer vers Microsoft Entra ID > Utilisateurs
- Cliquer sur Nouvel utilisateur > Créer un utilisateur
- Renseigner le UPN, le nom d'affichage et choisir un mot de passe (généré ou personnalisé)
- Optionnel : attribuer des propriétés (poste, département, numéro de téléphone) et des groupes
- Cliquer sur Créer
Via Azure CLI
# Connexion à Azure
az login
# Créer un utilisateur dans Entra ID
az ad user create \
--display-name "Alice Martin" \
--user-principal-name alice@contoso.com \
--password "MotDePasseTemp123!" \
--force-change-password-next-sign-in true
# Lister les utilisateurs du tenant
az ad user list --output tableVia PowerShell (module Microsoft.Graph)
# Installer le module si nécessaire
Install-Module Microsoft.Graph -Scope CurrentUser
# Se connecter avec les droits requis
Connect-MgGraph -Scopes "User.ReadWrite.All"
# Créer un utilisateur
$passwordProfile = @{
Password = "MotDePasseTemp123!"
ForceChangePasswordNextSignIn = $true
}
New-MgUser `
-DisplayName "Alice Martin" `
-UserPrincipalName "alice@contoso.com" `
-PasswordProfile $passwordProfile `
-AccountEnabled `
-MailNickname "alice"
# Récupérer un utilisateur par UPN
Get-MgUser -UserId "alice@contoso.com" | Select-Object DisplayName, Id, UserPrincipalNamePour créer des utilisateurs, votre compte doit avoir le rôle Administrateur utilisateur (ou supérieur). Le rôle Administrateur global n'est pas nécessaire — appliquez le principe du moindre privilège.
Groupes de sécurité vs groupes Microsoft 365
Entra ID propose deux grandes familles de groupes, avec des usages bien distincts.
Groupes de sécurité
Les groupes de sécurité sont utilisés pour contrôler l'accès aux ressources :
- Attribuer des permissions sur des applications, des sites SharePoint ou des ressources Azure (RBAC)
- Appliquer des politiques d'accès conditionnel à un ensemble d'utilisateurs
- Distribuer des licences Microsoft 365 via l'attribution basée sur les groupes
Ils peuvent contenir des utilisateurs, d'autres groupes (groupes imbriqués), des appareils et des service principals.
Groupes Microsoft 365
Les groupes Microsoft 365 (anciennement "groupes Office 365") sont orientés collaboration :
- Ils créent automatiquement une boîte aux lettres partagée, un site SharePoint, un espace Teams et un Planner
- Chaque groupe a des propriétaires et des membres
- Utilisés pour les équipes projet, les espaces de travail collaboratifs
- Ne peuvent pas être imbriqués (pas de groupe dans un groupe)
| Critère | Groupe de sécurité | Groupe Microsoft 365 |
|---|---|---|
| Usage principal | Contrôle d'accès | Collaboration |
| Boîte mail partagée | Non (optionnel avec messagerie) | Oui, automatique |
| Site SharePoint | Non | Oui, automatique |
| Groupes imbriqués | Oui | Non |
| Appareils membres | Oui | Non |
Adhésion statique vs dynamique
Adhésion statique (Assigned)
En adhésion statique, un administrateur ajoute et retire manuellement chaque membre du groupe. Simple à comprendre, mais difficile à maintenir à grande échelle (turnover, changements de poste…).
Adhésion dynamique (Dynamic)
En adhésion dynamique, Entra ID évalue automatiquement une règle basée sur les attributs de l'utilisateur ou de l'appareil. La composition du groupe se met à jour en temps quasi-réel dès qu'un attribut change.
# Tous les utilisateurs du département "Marketing"
user.department -eq "Marketing"
# Tous les utilisateurs dont le titre contient "Manager"
user.jobTitle -contains "Manager"
# Combinaison : département IT ET basé en France
user.department -eq "IT" -and user.country -eq "France"
# Tous les appareils Windows (pour un groupe d'appareils)
device.deviceOSType -eq "Windows"L'adhésion dynamique requiert une licence Entra ID P1 au minimum. La mise à jour des membres après un changement d'attribut peut prendre quelques minutes à quelques heures selon la taille du tenant.
Créer un groupe via Azure CLI
# Créer un groupe de sécurité statique
az ad group create \
--display-name "Equipe-IT" \
--mail-nickname "Equipe-IT"
# Ajouter un membre au groupe
az ad group member add \
--group "Equipe-IT" \
--member-id "$(az ad user show --id alice@contoso.com --query id -o tsv)"
# Lister les membres d'un groupe
az ad group member list --group "Equipe-IT" --output tableUnités administratives
Les unités administratives (AU) permettent de découper le tenant en sous-ensembles pour déléguer la gestion. Par exemple, une université peut créer une AU par campus, et donner à chaque responsable IT les droits d'administrer uniquement les utilisateurs de son campus.
- Une AU regroupe des utilisateurs, des groupes ou des appareils
- On assigne un rôle Entra ID (ex. : Administrateur utilisateur) dans le périmètre de l'AU
- L'administrateur de l'AU ne voit et ne gère que les objets de son périmètre
- Les unités administratives nécessitent une licence Entra ID P1
# Créer une unité administrative
New-MgDirectoryAdministrativeUnit -DisplayName "Campus Paris" -Description "Utilisateurs du campus de Paris"
# Lister les unités administratives
Get-MgDirectoryAdministrativeUnit | Select-Object DisplayName, IdSynchronisation avec Active Directory on-premises
Si votre organisation dispose d'un Active Directory on-premises (Windows Server AD), vous pouvez synchroniser les comptes vers Entra ID grâce à Microsoft Entra Connect (anciennement Azure AD Connect).
Microsoft Entra Connect
Entra Connect est un agent installé sur un serveur Windows joint au domaine AD. Il synchronise de façon unidirectionnelle (on-premises → cloud) les objets suivants :
- Utilisateurs
- Groupes
- Contacts
- Appareils (avec Hybrid Azure AD Join)
Modes d'authentification
- Synchronisation de hachage de mot de passe (PHS) — le hash du mot de passe AD est répliqué dans Entra ID. Simple et résilient (fonctionne même si la connexion au DC est coupée). Recommandé par Microsoft.
- Authentification directe (PTA) — Entra ID délègue la vérification du mot de passe à un agent on-premises en temps réel. Le hash ne quitte jamais les locaux.
- Fédération (AD FS) — toute l'authentification est gérée par un service de fédération on-premises. Plus complexe à opérer, réservé aux cas nécessitant des contrôles d'authentification très fins.
# Sur le serveur Entra Connect — module ADSync
Import-Module ADSync
# Voir l'état de la dernière synchronisation
Get-ADSyncScheduler
# Forcer une synchronisation delta (uniquement les changements)
Start-ADSyncSyncCycle -PolicyType Delta
# Forcer une synchronisation complète
Start-ADSyncSyncCycle -PolicyType Initial- Comptes membres = internes à l'organisation ; comptes invités (B2B) = externes, authentifiés avec leur propre identité
- L'UPN est l'identifiant de connexion unique, au format
user@domaine.com - Groupe de sécurité = contrôle d'accès et RBAC ; groupe Microsoft 365 = collaboration (Teams, SharePoint, Outlook)
- L'adhésion dynamique automatise la composition des groupes via des règles sur attributs (requiert licence P1)
- Les unités administratives permettent de déléguer la gestion à un sous-ensemble du tenant
- Entra Connect synchronise les comptes AD on-premises vers le cloud (recommandation Microsoft : mode PHS)