Attribuer des rôles d'administrateur spécifiques

Si vous ne souhaitez pas accorder à un utilisateur un accès complet à la console d'administration Google, vous pouvez lui laisser effectuer une partie des tâches d'administration. Pour ce faire, attribuez-lui un rôle d'administrateur. Vous pouvez attribuer plusieurs rôles d'administrateur à un même utilisateur.

Vous pouvez également attribuer un rôle d'administrateur à un groupe ou à un compte de service plutôt qu'à un utilisateur. Par exemple, vous pouvez charger un administrateur de compte de service de créer et mettre à jour des groupes et des abonnements à des groupes pour des applications en dehors de la console d'administration à l'aide de l'API Cloud Identity Groups. 

Fonctionnement des rôles d'administrateur

Dans la console d'administration, les administrateurs ne peuvent afficher que les informations et effectuer que les tâches autorisées par les droits associés à leur rôle. Par exemple, une personne dotée d'un rôle prédéfini d'administrateur de gestion des utilisateurs peut voir et modifier uniquement des paramètres spécifiques d'utilisateurs n'ayant pas de rôle d'administrateur.

Fonctionnement des limites d'attribution de rôle

Vous pouvez définir n'importe quel rôle à appliquer à toutes vos unités organisationnelles. Pour ces rôles, vous pouvez effectuer jusqu'à 1 000 attributions au total, quel que soit le nombre de rôles. Par exemple, vous pouvez attribuer un rôle à 300 utilisateurs et un autre à 700 utilisateurs.

Sinon, vous pouvez appliquer certains rôles à des unités organisationnelles. Pour ces rôles, vous pouvez effectuer jusqu'à 1 000 attributions par unité organisationnelle, quel que soit le nombre de rôles. Pour savoir si vous pouvez appliquer un rôle à des unités organisationnelles, accédez à la page d'attribution de rôles de l'utilisateur et à côté de "Toutes les unités organisationnelles", recherchez Modifier  . Par exemple, il peut s'agir du rôle prédéfini d'administrateur des comptes utilisateur ou d'un rôle personnalisé disposant d'au moins un droit d'utilisateur. 

Si vous devez encore attribuer plus de 1 000 rôles, vous pouvez ajouter plusieurs membres à un groupe et attribuer un rôle au groupe. Une attribution de rôle à un groupe est comptabilisée comme une seule attribution, quel que soit le nombre de membres.

Avant de commencer

Étape 1 : Examinez les rôles prédéfinis ou personnalisés déjà utilisés

Pour cette tâche, vous devez être connecté en tant que super-administrateur.

  1. Dans la console d'administration Google, accédez à Menu  puis Compte puisRôles d'administrateur.

    Pour cette tâche, vous devez être connecté en tant que super-administrateur.

  2. Pointez sur le rôle, puis cliquez sur Afficher les droits ou Afficher les administrateurs pour voir les administrateurs associés au rôle.

Étape 2 : Choisissez le type de rôle

Décidez si vous souhaitez :

Attribuer des rôles

Pour cette tâche, vous devez être connecté en tant que super-administrateur.

Vous pouvez attribuer un rôle à des utilisateurs et à des groupes en même temps en suivant la procédure permettant d'attribuer un rôle à plusieurs utilisateurs ou à un groupe.

Attribuer des rôles à un seul utilisateur

Pour attribuer à un utilisateur le rôle "Lecteur de groupes" ou "Éditeur de groupes" en accordant des droits limités aux groupes de sécurité ou autres, ou aux groupes verrouillés ou déverrouillés, consultez Attribuer un rôle à plusieurs utilisateurs à la fois.

  1. Dans la console d'administration Google, accédez à Menu  puis Annuaire  puis Utilisateurs.

    Vous devez disposer du droit de gestion des utilisateurs approprié. Sans quoi, vous n'aurez pas accès à toutes les commandes requises.

  2. Ouvrez la page du compte de l'utilisateur : cliquez sur son nom. Vous pouvez également saisir le nom de l'utilisateur dans le champ de recherche en haut de la page, puis ouvrir la page de son compte. Pour connaître les autres options disponibles, consultez Rechercher un compte utilisateur
  3. Faites défiler la page vers le bas, puis cliquez sur Rôles et droits d'administrateur.
  4. À côté du rôle prédéfini ou personnalisé, cliquez sur Attribué  .

    Si vous ne voyez pas l'option Attribué  , cliquez à n'importe quel endroit sous "Rôles" pour afficher le bouton.

  5. (Facultatif) Pour limiter le rôle de l'administrateur à une unité organisationnelle spécifique, à côté de Toutes les unités organisationnelles, cliquez sur Modifier  , sélectionnez les unités organisationnelles, puis cliquez sur OK.

    Si l'option Modifier  ne s'affiche pas, vous ne pouvez pas appliquer le rôle à des unités organisationnelles.

  6. Cliquez sur Enregistrer.

Remarques :

  • Dans la section Droits, vous pouvez consulter tous les droits liés à l'ensemble des rôles d'administrateur attribués à l'utilisateur.
  • Pour revenir à la page du compte utilisateur, cliquez sur la flèche vers le haut  située en haut à droite .

Attribuer un rôle à plusieurs utilisateurs simultanément

  1. Dans la console d'administration Google, accédez à Menu  puis Compte puisRôles d'administrateur.

    Pour cette tâche, vous devez être connecté en tant que super-administrateur.

  2. Pointez sur le rôle que vous souhaitez attribuer, puis cliquez sur Attribuer un rôle Administrateur à droite.

    Conseil : Vous pouvez basculer entre les administrateurs auxquels vous attribuez le rôle et les droits. En haut de la page, cliquez sur Administrateurs ou sur Droits.

  3. Cliquez sur Attribuer aux membres.
  4. (Facultatif) Pour le rôle "Lecteur de groupes" ou "Éditeur de groupes", vous ne pouvez accorder des droits d'administrateur qu'aux groupes de sécurité ou autres, ou qu'aux groupes verrouillés ou déverrouillés. Pour limiter les droits :
    1. Cliquez sur Définir des conditions.
    2. Sélectionnez une option pour n'accorder que les droits d'administrateur aux :
      • Groupes de sécurité : sélectionnez Le libellé contient "Sécurité".
      • Groupes autres que de sécurité : sélectionnez Le libellé ne contient pas "Sécurité".
      • Groupes déverrouillés : sélectionnez Le libellé ne contient pas "Verrouillé".
    3. Cliquez sur Enregistrer.
  5. Saisissez les premières lettres de l'adresse e-mail de l'utilisateur (et non du nom d'utilisateur), puis sélectionnez-la dans les options.

    Vous pouvez attribuer un rôle à un maximum de 20 utilisateurs et groupes à la fois.

  6. Cliquez sur Attribuer un rôle.
  7. (Facultatif) Pour limiter le rôle de l'administrateur à une unité organisationnelle spécifique, à côté de Toutes les unités organisationnelles, cliquez sur Modifier  , sélectionnez les unités organisationnelles, puis cliquez sur OK.

    Si l'option Modifier  ne s'affiche pas, vous ne pouvez pas appliquer le rôle à des unités organisationnelles.

Attribuer un rôle à un groupe

L'attribution de rôles à des groupes vous permet d'attribuer des droits à un grand nombre d'utilisateurs.

Vous pouvez gérer les groupes auxquels des rôles ont été attribués de la même manière que les autres groupes. Pour en savoir plus, consultez Groupes.

Limites de l'attribution des rôles à un groupe

  • Vous pouvez attribuer n'importe quel rôle, sauf celui de super-administrateur ou d'administrateur revendeur.
  • Le groupe doit être un groupe de sécurité de votre organisation qui n'est pas également un groupe dynamique. Pour en savoir plus sur les groupes de sécurité, consultez Contrôler l'accès aux données sensibles à l'aide de groupes de sécurité.
     Pour savoir si un groupe est dynamique, dans la console d'administration, cliquez sur Groupes puis nom du groupe. Accédez à Membres. Si vous voyez Membres dynamiques ou Modifier la requête d'appartenance, c'est qu'il s'agit d'un groupe dynamique.
  • L'attribution d'un rôle à un groupe est comptabilisée comme une seule attribution dans votre limite d'attribution de rôle.
  • Vous pouvez attribuer des rôles à 250 groupes au total à l'échelle de l'organisation globale et de chaque unité organisationnelle.
  • Pour attribuer un rôle à de nombreux groupes et rester en dessous de la limite, désignez un groupe qui a besoin du rôle comme le groupe parent, puis ajoutez les autres groupes qui ont besoin du rôle en tant que membres du groupe parent. Attribuez ensuite un rôle au groupe parent. Cette attribution est comptabilisée comme une seule attribution de rôle tout en permettant à tous les groupes enfants d'hériter du rôle. Pour en savoir plus, consultez Ajouter un groupe à un autre groupe.
  • Si vous attribuez à un groupe un rôle incluant le droit Gérer les agendas, les membres du groupe ne disposeront pas de toutes les fonctionnalités associées à ce droit.
  • Si vous attribuez le rôle "Administrateur revendeur" à un groupe, les membres du groupe disposent des droits associés à ce rôle uniquement dans l'organisation du revendeur. Ils n'ont de droits sur aucun des clients du revendeur.
  • Nous vous recommandons de limiter l'adhésion aux groupes aux utilisateurs de votre organisation. Vous pouvez ajouter des utilisateurs extérieurs à votre organisation ou des utilisateurs grand public, mais ils risquent de ne pas obtenir les droits associés au rôle. Pour en savoir plus, consultez Restreindre les adhésions à un groupe.
  • Les limites standards d'adhésion à un groupe s'appliquent. Pour en savoir plus, consultez Adhésion.

Attribuez un rôle

  1. Dans la console d'administration Google, accédez à Menu  puis Compte puisRôles d'administrateur.

    Pour cette tâche, vous devez être connecté en tant que super-administrateur.

  2. Pointez sur le rôle que vous souhaitez attribuer, puis cliquez sur Attribuer un rôle Administrateur à droite.

    Conseil : Vous pouvez basculer entre les administrateurs auxquels vous attribuez le rôle et les droits. En haut de la page, cliquez sur Administrateurs ou sur Droits.

  3. Cliquez sur Attribuer aux membres.
  4. (Facultatif) Pour le rôle "Lecteur de groupes" ou "Éditeur de groupes", vous ne pouvez accorder des droits d'administrateur qu'aux groupes de sécurité ou autres, ou qu'aux groupes verrouillés ou déverrouillés. Pour limiter les droits :
    1. Cliquez sur Définir des conditions.
    2. Sélectionnez une option pour n'accorder que les droits d'administrateur aux :
      • Groupes de sécurité : sélectionnez Le libellé contient "Sécurité".
      • Groupes autres que de sécurité : sélectionnez Le libellé ne contient pas "Sécurité".
      • Groupes déverrouillés : sélectionnez Le libellé ne contient pas "Verrouillé".
    3. Cliquez sur Enregistrer.
  5. Saisissez les premières lettres de l'adresse e-mail ou du nom du groupe, puis sélectionnez l'adresse parmi les options.

    Vous pouvez attribuer un rôle à 20 groupes et utilisateurs à la fois.

  6. Cliquez sur Attribuer un rôle.
  7. (Facultatif) Pour limiter le rôle de l'administrateur à une unité organisationnelle spécifique, à côté de Toutes les unités organisationnelles, cliquez sur Modifier  , sélectionnez les unités organisationnelles, puis cliquez sur OK.

    Si l'option Modifier  ne s'affiche pas, vous ne pouvez pas appliquer le rôle à des unités organisationnelles.

Attribuer un rôle à un compte de service

Vous pouvez attribuer à un compte de service n'importe quel rôle prédéfini ou personnalisé, à l'exception du rôle de super-administrateur. L'attribution d'un rôle à un compte de service est comptabilisée dans votre limite d'attribution des rôles.

Avant de commencer : configurez un compte de service dans Google Cloud. Consultez Créer et gérer des comptes de service.

  1. Dans la console d'administration Google, accédez à Menu  puis Compte puisRôles d'administrateur.

    Pour cette tâche, vous devez être connecté en tant que super-administrateur.

  2. Pointez sur le rôle que vous souhaitez attribuer puiscliquez sur Attribuer un rôle Administrateur.
  3. Cliquez sur Attribuer des comptes de service.
  4. (Facultatif) Pour le rôle "Lecteur de groupes" ou "Éditeur de groupes", vous ne pouvez accorder des droits d'administrateur qu'aux groupes de sécurité ou autres, ou qu'aux groupes verrouillés ou déverrouillés. Pour limiter les droits :
    1. Cliquez sur Définir des conditions.
    2. Sélectionnez une option pour n'accorder que les droits d'administrateur aux :
      • Groupes de sécurité : sélectionnez Le libellé contient "Sécurité".
      • Groupes autres que de sécurité : sélectionnez Le libellé ne contient pas "Sécurité".
      • Groupes déverrouillés : sélectionnez Le libellé ne contient pas "Verrouillé".
    3. Cliquez sur Enregistrer.
  5. Saisissez l'adresse e-mail du compte de service.

    Pour trouver l'adresse e-mail, ouvrez la console Google Cloud, puis cliquez sur Menu  puisIAM et administration puisComptes de service.

  6. Cliquez sur Ajouter puisAttribuer un rôle.

Et ensuite ? 

Dans le journal d'audit de la console d'administration, vous pouvez voir à quel moment un rôle d'administrateur a été appliqué à un compte de service et consulter les actions effectuées par les administrateurs de ce compte. Pour en savoir plus, consultez Événements du journal d'administration

Si vous avez appliqué le rôle prédéfini "Administrateur des groupes" à un compte de service, vous pouvez également consulter les actions dans le journal d'audit des groupes Enterprise. Le nom de l'administrateur du compte de service peut s'afficher sous Description de l'événement ou Utilisateur. Pour en savoir plus, consultez Événements de journaux Groupes Enterprise.

Article associé

Lorsqu'un utilisateur auquel vous avez attribué un rôle se connecte ensuite à son compte, il accède à la page d'accueil de la console d'administration.  L'application des modifications peut prendre jusqu'à 24 heures, mais cela va généralement plus vite. En savoir plus

Annuler l'attribution de rôles

Vous ne pouvez pas annuler l'attribution d'un rôle à votre propre compte.

Annuler l'attribution d'un rôle à un utilisateur

Pour retirer un rôle à un utilisateur, suivez toutes les étapes ci-dessus dans Attribuer des rôles à un seul utilisateur. À l'étape 6, au lieu d'activer le rôle, cliquez sur Désactiver .

Annuler plusieurs attributions d'un rôle

Annulez l'attribution d'un rôle à plusieurs utilisateurs ou à un compte de service sur la page "Rôles d'administrateur".

  1. Dans la console d'administration Google, accédez à Menu  puis Compte puisRôles d'administrateur.

    Pour cette tâche, vous devez être connecté en tant que super-administrateur.

  2. Pointez sur le rôle dont vous souhaitez annuler l'attribution, puis cliquez sur Attribuer un rôle Administrateur à droite.
  3. Sélectionnez l'une des options suivantes :
    • Cochez la case à côté de chaque utilisateur ou compte de service souhaité.
    • Pour annuler l'attribution du rôle à tous les utilisateurs et comptes de service, cochez la case à côté de l'en-tête de la colonne Administration.
  4. Cliquez sur Annuler l'attribution du rôle puisAnnuler l'attribution du rôle pour confirmer.

Étapes suivantes

Les administrateurs peuvent ajouter des options de récupération à leur compte.