Attribuer des rôles d'administrateur spécifiques

Si vous ne souhaitez pas accorder à un utilisateur un accès complet à la console d'administration Google, vous pouvez lui laisser effectuer une partie des tâches d'administration. Pour ce faire, attribuez-lui un rôle d'administrateur. Vous pouvez attribuer plusieurs rôles d'administrateur à un même utilisateur.

Vous pouvez également attribuer un rôle d'administrateur à un groupe ou à un compte de service plutôt qu'à un utilisateur. Par exemple, vous pouvez charger un administrateur de compte de service de créer et mettre à jour des groupes et des abonnements à des groupes pour des applications en dehors de la console d'administration à l'aide de l'API Cloud Identity Groups.

Fonctionnement des rôles d'administrateur

Dans la console d'administration, les administrateurs peuvent uniquement afficher les informations et effectuer les tâches autorisées par les droits associés à leur rôle. Par exemple, une personne dotée d'un rôle prédéfini d'administrateur de gestion des utilisateurs peut voir et modifier uniquement des paramètres spécifiques d'utilisateurs n'ayant pas de rôle d'administrateur.

Fonctionnement des limites d'attribution de rôle

Vous pouvez définir n'importe quel rôle à appliquer à toutes vos unités organisationnelles. Pour ces rôles, vous pouvez effectuer jusqu'à 1 000 attributions au total, quel que soit le nombre de rôles. Par exemple, vous pouvez attribuer un rôle à 300 utilisateurs et un autre à 700 utilisateurs.

Sinon, vous pouvez appliquer certains rôles à des unités organisationnelles. Pour ces rôles, vous pouvez effectuer jusqu'à 1 000 attributions par unité organisationnelle et ce, quel que soit le nombre de rôles. Pour savoir si vous pouvez appliquer un rôle à des unités organisationnelles, accédez à la page d'attribution de rôles de l'utilisateur et à côté de "Toutes les unités organisationnelles", recherchez Modifier . Par exemple, il peut s'agir du rôle prédéfini d'Administrateur des comptes utilisateur ou d'un rôle personnalisé disposant d'au moins un droit d'utilisateur. 

Si vous devez encore attribuer plus de 1 000 rôles, vous pouvez ajouter plusieurs membres à un groupe et attribuer un rôle au groupe. Une attribution de rôle à un groupe est comptabilisée comme une seule attribution, quel que soit le nombre de membres.

Avant de commencer

Étape 1 : Examinez les rôles prédéfinis ou personnalisés déjà utilisés

Pour ce faire, vous devez être connecté en tant que super-administrateur.
  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Compte puis Rôles d'administrateur.
  3. Placez le curseur sur le rôle, puis cliquez sur Afficher les droits ou Afficher les administrateurs pour voir les administrateurs associés au rôle.

Étape 2 : Choisissez le type de rôle

Décidez si vous souhaitez :

Attribuer des rôles

Ouvrir la section  |  Tout réduire et revenir en haut de la page

Pour ce faire, vous devez être connecté en tant que super-administrateur.

Vous pouvez attribuer un rôle à des utilisateurs et à des groupes en même temps en suivant la procédure permettant d'attribuer un rôle à plusieurs utilisateurs ou à un groupe.

Attribuer des rôles à un seul utilisateur

Pour attribuer à un utilisateur le rôle "Lecteur de groupes" ou "Éditeur de groupes" en accordant des droits limités aux groupes de sécurité ou non, suivez plutôt les étapes ci-dessous dans Attribuer un rôle à plusieurs utilisateurs à la fois.

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Annuaire puis Utilisateurs.
  3. Recherchez l'utilisateur concerné dans la liste.

    Pour obtenir des conseils, consultez Rechercher un compte utilisateur.

  4. Cliquez sur le nom d'un utilisateur pour ouvrir la page de son compte.
  5. Faites défiler la page vers le bas, puis cliquez sur Rôles et droits d'administrateur.
  6. À côté du rôle prédéfini ou personnalisé, cliquez sur Activer .

    Si vous ne voyez pas l'option Activer , cliquez à n'importe quel endroit sous "Rôles" pour afficher le bouton.

  7. (Facultatif) Pour limiter le rôle de l'administrateur à une unité organisationnelle spécifique, à côté de Toutes les unités organisationnelles, cliquez sur "Modifier" , sélectionnez les unités organisationnelles, puis cliquez sur OK.

    Si l'option Modifier  ne s'affiche pas, vous ne pouvez pas attribuer le rôle à des unités organisationnelles.

  8. Cliquez sur Enregistrer.

Conseils :

  • Dans la section Droits, vous pouvez consulter tous les droits liés à l'ensemble des rôles d'administrateur attribués à l'utilisateur.
  • Pour revenir à la page du compte utilisateur, cliquez sur la flèche vers le haut située en haut à droite.
Attribuer un rôle à plusieurs utilisateurs simultanément
  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Compte puis Rôles d'administrateur.
  3. Placez le curseur sur le rôle que vous souhaitez attribuer et cliquez sur Attribuer un rôle d'administrateur à droite.

    Conseil : Vous pouvez basculer entre les administrateurs auxquels vous attribuez le rôle et les droits. En haut de la page, cliquez sur Administrateurs ou sur Droits.

  4. Cliquez sur Attribuer aux membres.
  5. (Bêta, facultatif) Pour le rôle "Lecteur de groupes" ou "Éditeur de groupes", vous pouvez accorder des droits d'administrateur uniquement aux groupes de sécurité ou non. Pour limiter les droits :
    1. Cliquez sur Définir des conditions.
    2. Sélectionnez une option pour n'accorder que les droits d'administrateur aux :
      • Groupes de sécurité : sélectionnez Libellé contenant "Sécurité".
      • Groupes autres que de sécurité : sélectionnez Le libellé ne contient pas "Sécurité".
    3. Cliquez sur Enregistrer.
  6. Saisissez les premières lettres de l'adresse e-mail de l'utilisateur (et non du nom d'utilisateur), puis sélectionnez-la dans les options.

    Vous pouvez attribuer un rôle à un maximum de 20 utilisateurs et groupes à la fois.

  7. Cliquez sur Attribuer un rôle.
  8. (Facultatif) Pour limiter le rôle de l'administrateur à une unité organisationnelle spécifique, à côté de Toutes les unités organisationnelles, cliquez sur "Modifier" , sélectionnez les unités organisationnelles, puis cliquez sur OK.

    Si l'option Modifier  ne s'affiche pas, vous ne pouvez pas appliquer le rôle à des unités organisationnelles.

Attribuer un rôle à un groupe

L'attribution de rôles à des groupes vous permet d'attribuer des droits à un grand nombre d'utilisateurs.

Vous pouvez gérer les groupes auxquels des rôles ont été attribués de la même manière que les autres groupes. Pour en savoir plus, consultez la page Groupes.

Limites de l'attribution des rôles à un groupe

  • Vous pouvez attribuer n'importe quel rôle, sauf celui de super-administrateur ou d'administrateur revendeur.
  • Le groupe doit être un groupe de sécurité de votre organisation qui n'est pas également un groupe dynamique. Pour en savoir plus sur les groupes de sécurité, consultez Contrôler l'accès aux données sensibles à l'aide de groupes de sécurité.
    Pour savoir si un groupe est dynamique, dans la console d'administration, cliquez sur Groupes puis nom du groupe. Accédez à Membres. Si vous voyez Membres dynamiques ou Modifier la requête d'appartenance, c'est qu'il s'agit d'un groupe dynamique.
  • L'attribution d'un rôle à un groupe est comptabilisée comme une seule attribution dans votre limite d'attribution de rôle.
  • Vous pouvez attribuer des rôles à 250 groupes au total à l'échelle de l'organisation globale et de chaque unité organisationnelle.
  • Pour attribuer un rôle à de nombreux groupes et rester en dessous de la limite, désignez un groupe qui a besoin du rôle comme le groupe parent, puis ajoutez les autres groupes qui ont besoin du rôle en tant que membres du groupe parent. Attribuez ensuite un rôle au groupe parent. Cette attribution est comptabilisée comme une seule attribution de rôle tout en permettant à tous les groupes enfants d'hériter du rôle. Pour en savoir plus, consultez Ajouter un groupe à un autre groupe.
  • Il peut arriver que les membres d'un groupe ne disposent pas de tous les droits associés à un rôle. Par exemple, si vous attribuez à un groupe un rôle incluant le droit "Gérer le matériel et les agendas Google Meet", les membres du groupe risquent de ne pas disposer de toutes les fonctionnalités associées à ce droit. Les membres disposent bien de tous les autres droits associés au rôle.
  • Si vous attribuez le rôle "Administrateur revendeur" à un groupe, les membres du groupe disposent des droits associés à ce rôle uniquement dans l'organisation du revendeur. Ils n'ont de droits sur aucun des clients du revendeur.
  • Nous vous recommandons de limiter l'adhésion aux groupes aux utilisateurs de votre organisation. Vous pouvez ajouter des utilisateurs extérieurs à votre organisation ou des utilisateurs grand public, mais ils risquent de ne pas obtenir les droits associés au rôle. Pour en savoir plus, consultez Restreindre les adhésions à un groupe.
  • Les limites standards d'adhésion à un groupe s'appliquent. Pour en savoir plus, consultez Adhésion.

Attribuez un rôle

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Compte puis Rôles d'administrateur.
  3. Placez le curseur sur le rôle que vous souhaitez attribuer et cliquez sur Attribuer un rôle d'administrateur à droite.

    Conseil : Vous pouvez basculer entre les administrateurs auxquels vous attribuez le rôle et les droits. En haut de la page, cliquez sur Administrateurs ou sur Droits.

  4. Cliquez sur Attribuer aux membres.
  5. (Bêta, facultatif) Pour le rôle "Lecteur de groupes" ou "Éditeur de groupes", vous pouvez accorder des droits d'administrateur uniquement aux groupes de sécurité ou non. Pour limiter les droits :
    1. Cliquez sur Définir des conditions.
    2. Sélectionnez une option pour n'accorder que les droits d'administrateur aux :
      • Groupes de sécurité : sélectionnez Libellé contenant "Sécurité".
      • Groupes autres que de sécurité : sélectionnez Le libellé ne contient pas "Sécurité".
    3. Cliquez sur Enregistrer.
  6. Saisissez les premières lettres de l'adresse e-mail ou du nom du groupe, puis sélectionnez l'adresse parmi les options.

    Vous pouvez attribuer un rôle à 20 groupes et utilisateurs à la fois.

  7. Cliquez sur Attribuer un rôle.
  8. (Facultatif) Pour limiter le rôle de l'administrateur à une unité organisationnelle spécifique, à côté de Toutes les unités organisationnelles, cliquez sur "Modifier" , sélectionnez les unités organisationnelles, puis cliquez sur OK.

    Si l'option Modifier  ne s'affiche pas, vous ne pouvez pas appliquer le rôle à des unités organisationnelles.

Attribuer un rôle à un compte de service

Vous pouvez attribuer à un compte de service n'importe quel rôle prédéfini ou personnalisé, à l'exception du rôle de super-administrateur. L'attribution d'un rôle à un compte de service est comptabilisée dans votre limite d'attribution des rôles.

Avant de commencer : configurez un compte de service dans Google Cloud en suivant la procédure décrite dans Créer et gérer des comptes de service.

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Compte puis Rôles d'administrateur.
  3. Placez le curseur sur le rôle que vous souhaitez attribuer puis et cliquez sur Attribuer un rôle Administrateur.
  4. Cliquez sur Attribuer aux comptes de service.
  5. (Bêta, facultatif) Pour le rôle "Lecteur de groupes" ou "Éditeur de groupes", vous pouvez accorder des droits d'administrateur uniquement aux groupes de sécurité ou non. Pour limiter les droits :
    1. Cliquez sur Définir des conditions.
    2. Sélectionnez une option pour n'accorder que les droits d'administrateur aux :
      • Groupes de sécurité : sélectionnez Libellé contenant "Sécurité".
      • Groupes autres que de sécurité : sélectionnez Le libellé ne contient pas "Sécurité".
    3. Cliquez sur Enregistrer.
  6. Saisissez l'adresse e-mail du compte de service.

    Pour trouver l'adresse e-mail, ouvrez la console Google Cloud et cliquez sur "Menu  puis IAM et administration puis Comptes de service.

  7. Cliquez sur AjouterpuisAttribuer un rôle.

Et ensuite ?

Dans le journal d'audit de la console d'administration, vous pouvez voir à quel moment un rôle d'administrateur a été appliqué à un compte de service et consulter les actions effectuées par les administrateurs de ce compte. Pour en savoir plus, consultez Événements du journal d'administration

Si vous avez appliqué le rôle prédéfini "Administrateur des groupes" à un compte de service, vous pouvez également consulter les actions dans le journal d'audit des groupes Enterprise. Le nom de l'administrateur du compte de service peut s'afficher sous Description de l'événement ou Utilisateur. Pour en savoir plus, consultez Événements de journaux Groupes Enterprise.

Article associé

Lorsqu'un utilisateur auquel vous avez attribué un rôle se connecte ensuite à son compte, il accède à la page d'accueil de la console d'administration. Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus

Annuler l'attribution des rôles

Ouvrir la section  |  Tout réduire et revenir en haut de la page

Vous ne pouvez pas annuler l'attribution d'un rôle à votre propre compte.

Annuler l'attribution d'un rôle

Pour retirer un rôle à un utilisateur, suivez toutes les étapes ci-dessus dans Attribuer des rôles à un seul utilisateur. À l'étape 6, au lieu d'activer le rôle, cliquez sur Désactiver .

Annuler plusieurs attributions d'un rôle

Annulez l'attribution d'un rôle à plusieurs utilisateurs ou à un compte de service sur la page "Rôles d'administrateur".

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Compte puis Rôles d'administrateur.
  3. Placez le curseur sur le rôle dont vous souhaitez annuler l'attribution et cliquez sur Attribuer un rôle d'administrateur à droite.
  4. Sélectionnez une option :
    • Cochez la case à côté de chaque utilisateur ou compte de service souhaité.
    • Pour annuler l'attribution du rôle à tous les utilisateurs et comptes de service, cochez la case à côté de l'en-tête de la colonne Administration.
  5. Cliquez sur Annuler l'attribution d'un rôle puisAnnuler l'attribution du rôle pour confirmer.

Étapes suivantes

Les administrateurs peuvent ajouter des options de récupération à leur compte.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
17362113544259882681
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false