Je vous parlais dans un article précédent de l’option permettant de limiter l’accès à l’annuaire Azure Active Directory aux utilisateurs standards. L’activation de cette option a un impact si vous avez mis en place une délégation dans Microsoft Intune qui se base uniquement sur les droits RBAC internes à Microsoft Intune. Vous pouvez donc vous retrouver avec des utilisateurs administratifs (Help Desk, etc.) qui n’accèdent plus aux utilisateurs et aux groupes bien qu’ils aient accès aux restes des fonctionnalités Intune associés à leurs droits RBAC:
Note : Vous n’observez pas d’impacts si vous attribuez aussi des rôles Azure Active Directory aux personnes qui gèrent Microsoft Intune.
Pour contourner ce problème, vous pouvez leur associer un rôle d’annuaire Azure Active Directory. Vous avez le choix entre différents rôles en fonction des capacités que vous souhaitez donner :
- En lecture seul : Security Reader
- Action sur les utilisateurs et groupes (réinitialisation de mots de passe, etc.) : User Administrator
Pour attribuez ce rôle, ouvrez le portail Azure et naviguez dans Azure Active Directory – Users – All Users puis sélectionnez l’utilisateur et entrez dans Directory Role. Choisissez Add Assignement et sélectionnez le rôle d’annuaire souhaité.
Note : Malheureusement l’association se fait utilisateur par utilisateur et non pas via un groupe.
L’utilisateur administratif aura à nouveau accès aux espaces liés aux utilisateurs et aux groupes.