Dans Microsoft 365, les comptes admin peuvent créer des utilisateurs, modifier les droits, changer la sécurité, gérer la MFA ou accéder à des réglages sensibles. Pour une PME de moins de 50 utilisateurs, appliquer le moindre privilège ne veut pas dire déployer une gouvernance complexe. Il faut surtout limiter les Global Administrators, utiliser des rôles administrateur précis, protéger les accès par MFA et documenter qui peut faire quoi.
Un compte administrateur Microsoft 365 n’est pas un compte utilisateur normal. Il doit être rare, protégé et justifié.
Réponse courte :
Pour sécuriser les comptes admin Microsoft 365 en PME, limitez les Global Administrators, utilisez des rôles précis, séparez le compte quotidien du compte admin, activez une MFA forte, prévoyez deux comptes d’urgence et documentez les accès prestataire. Le but est simple : donner les droits nécessaires, pas plus.
Votre PME utilise Microsoft 365 au quotidien et vous ne savez pas clairement qui possède les droits administrateur ? Axorys peut vous aider à auditer les comptes admin, réduire les Global Administrators, appliquer le moindre privilège, protéger les accès sensibles, documenter les comptes d’urgence et clarifier les responsabilités.
Un compte administrateur Microsoft 365 peut agir sur le tenant, c’est-à-dire l’environnement Microsoft 365 de l’entreprise. Selon son rôle, il peut créer ou supprimer des comptes, réinitialiser des mots de passe, modifier des licences, changer des paramètres Exchange Online, SharePoint, Teams ou Microsoft Entra ID.
Microsoft indique que le compte utilisé pour inscrire Microsoft 365 for business est automatiquement Global Administrator, avec un contrôle très large sur les comptes utilisateurs et les paramètres du centre d’administration Microsoft 365. (Microsoft Learn)
Dans une petite entreprise sans DSI interne, le compte admin est parfois le compte du dirigeant, de l’office manager ou d’un ancien prestataire. C’est précisément ce flou qu’il faut corriger.
Les questions utiles sont simples :
Ces questions ne relèvent pas d’une architecture grand compte. Elles relèvent d’une gestion saine de Microsoft 365 pour PME.
Le moindre privilège consiste à donner à une personne uniquement les droits nécessaires pour accomplir sa mission, pendant le temps nécessaire, sans lui donner un rôle plus large par confort.
Microsoft recommande de chercher le bon rôle, de se référer aux rôles intégrés Microsoft Entra et d’utiliser le rôle le moins privilégié adapté à la tâche. (Microsoft Learn)
| Mauvaise pratique | Approche moindre privilège |
|---|---|
| Donner Global Admin à tout référent IT | Donner un rôle précis selon la tâche |
| Utiliser le compte du dirigeant pour tout | Créer un compte admin séparé |
| Partager un compte admin prestataire | Donner un accès nominatif et traçable |
| Garder les droits après un départ | Retirer les rôles dans l’offboarding |
| Ne jamais revoir les droits | Planifier une revue périodique |
| Utiliser admin au quotidien | Réserver admin aux actions d’administration |
Le moindre privilège ne ralentit pas forcément l’entreprise. Il évite surtout qu’un compte donne accès à tout alors qu’il n’en a pas besoin.
Le rôle Global Administrator, ou administrateur général, est le rôle le plus large côté tenant Microsoft 365. Il peut lire et modifier presque tous les paramètres administratifs de Microsoft Entra et Microsoft 365. Microsoft recommande de limiter le nombre de Global Administrators autant que possible. (Microsoft Learn)
Microsoft indique aussi, dans ses bonnes pratiques Microsoft Entra, qu’il est recommandé d’attribuer le rôle Global Administrator à moins de cinq personnes et de protéger ces comptes avec l’authentification multifacteur. (Microsoft Learn)
| Cas | Recommandation PME |
|---|---|
| Dirigeant Global Admin au quotidien | À éviter si ce n’est pas nécessaire |
| Office manager Global Admin | Remplacer par un rôle plus limité si possible |
| Prestataire Global Admin permanent | À cadrer, documenter et revoir |
| Ancien prestataire encore admin | À retirer après vérification |
| Deux comptes d’urgence Global Admin | À prévoir et documenter |
| Un seul Global Admin réel | Risque de blocage ou de dépendance |
Le but n’est pas d’avoir zéro Global Administrator. Il faut en garder assez pour ne pas être bloqué, mais pas assez pour créer un risque inutile.
Il n’est pas nécessaire de lister tous les rôles Microsoft Entra dans une petite structure. Le bon réflexe consiste à choisir un rôle adapté au besoin.
Microsoft Entra propose des rôles intégrés pour déléguer des permissions précises, par exemple gérer des utilisateurs, réinitialiser des mots de passe, administrer Exchange ou gérer des ressources Microsoft Entra. (Microsoft Learn)
| Besoin | Rôle possible | Pourquoi éviter Global Admin |
|---|---|---|
| Réinitialiser des mots de passe | Helpdesk Administrator / Password Administrator selon contexte | Pas besoin de gérer tout le tenant |
| Gérer les utilisateurs et groupes | User Administrator | Pas besoin d’accès global sécurité |
| Gérer Exchange Online | Exchange Administrator | Pas besoin d’administrer SharePoint ou Entra |
| Gérer SharePoint / OneDrive | SharePoint Administrator | Périmètre documentaire ciblé |
| Gérer Teams | Teams Administrator | Périmètre collaboration ciblé |
| Gérer la sécurité | Security Administrator | Périmètre sécurité, à protéger fortement |
| Gérer la conformité | Compliance Administrator | À réserver si besoin réel |
| Gérer la facturation | Billing Administrator | Pas besoin d’accès aux données |
| Gérer les rôles | Privileged Role Administrator | Très sensible, à limiter |
Ce tableau ne remplace pas une analyse des permissions. Il donne une logique simple : si la tâche concerne Exchange, on ne donne pas automatiquement tout Microsoft 365.
Un utilisateur admin ne devrait pas utiliser le même compte pour lire ses emails, naviguer sur le web, ouvrir Teams et administrer Microsoft 365.
Pour une structure de 10 à 20 postes, cette séparation peut sembler excessive au départ. En pratique, elle évite qu’un compte utilisé tous les jours dans Outlook, Teams ou le navigateur devienne aussi le compte qui contrôle tout Microsoft 365.
La bonne pratique est simple :
Cette séparation réduit l’exposition du compte administrateur aux risques courants : phishing, pièce jointe piégée, session laissée ouverte, navigateur compromis ou mot de passe réutilisé.
Aucun compte administrateur ne doit rester protégé par un simple mot de passe. La MFA, ou authentification multifacteur, ajoute une vérification supplémentaire lors de la connexion.
Microsoft propose une stratégie d’accès conditionnel pour exiger la MFA sur les rôles administratifs, et indique que certaines organisations peuvent aller vers des méthodes plus fortes, comme l’authentification résistante au phishing pour les administrateurs. (Microsoft Learn)
Pour une PME, Microsoft Authenticator peut être un bon socle. Le SMS seul est à éviter comme méthode durable pour un compte administrateur. Les passkeys ou clés FIDO2 peuvent être utiles pour les comptes sensibles, sans transformer ce guide en tutoriel FIDO2.
La MFA ne remplace pas le moindre privilège. Un Global Administrator avec MFA reste un compte très puissant. Il faut donc combiner les deux : moins de droits permanents, et une MFA forte sur les droits qui restent.
Pour le déploiement général auprès des utilisateurs, consultez le guide MFA Microsoft 365 en PME. Pour les clés physiques, voir la page clé de sécurité FIDO2.
Un compte d’urgence, ou break glass account, sert à récupérer l’accès au tenant Microsoft 365 si les comptes administrateurs habituels sont bloqués.
Microsoft recommande de créer au moins deux comptes d’urgence, cloud-only, réservés aux scénarios où les comptes admin normaux ne peuvent pas être utilisés. Microsoft précise aussi que ces comptes doivent être utilisés uniquement en situation d’urgence, stockés de façon sûre, surveillés et validés régulièrement. (Microsoft Learn)
| Point de contrôle | Recommandation PME |
|---|---|
| Nombre | Prévoir deux comptes d’urgence si possible |
| Type | Comptes cloud-only, idéalement en domaine .onmicrosoft.com |
| Rôle | Global Administrator, réservé au secours |
| Usage | Jamais au quotidien |
| Méthode d’accès | Forte, différente des admins habituels si possible |
| Stockage | Coffre-fort ou procédure sécurisée |
| Surveillance | Alerte ou revue à chaque connexion |
| Test | Vérification périodique, par exemple trimestrielle |
| Documentation | Qui peut l’utiliser, quand, pourquoi |
Le compte d’urgence ne doit pas devenir un raccourci pour le prestataire ou l’équipe interne. Il sert à éviter le blocage total, pas à simplifier l’administration quotidienne.
Un prestataire Microsoft 365 peut avoir besoin d’un accès administrateur pour gérer un incident, une migration, une configuration SharePoint, une boîte Exchange ou une règle de sécurité.
Le problème n’est pas qu’un prestataire ait des droits. Le problème apparaît quand ces droits sont partagés, permanents, non documentés ou jamais retirés.
| Situation | Risque | Bonne pratique |
|---|---|---|
| Compte admin partagé avec le prestataire | Aucune traçabilité claire | Compte nominatif ou accès partenaire traçable |
| Global Admin permanent | Droits trop larges | Rôle ciblé selon mission |
| Ancien prestataire encore admin | Accès inutile conservé | Revue et retrait documenté |
| Mot de passe transmis par email | Risque de fuite | Coffre-fort ou procédure sécurisée |
| Pas de ticket d’intervention | Impossible de relire l’action | Ticket avec date, action, validation |
| Aucun RACI | Flou en cas d’incident | Responsabilités écrites |
L’accès prestataire doit répondre à quatre critères : nominatif, traçable, révocable et proportionné au besoin réel.
Dans un contrat d’infogérance Microsoft 365, ce point doit être écrit. Qui a accès ? Pour quoi faire ? Avec quel rôle ? Quelle preuve est fournie après intervention ?
PIM signifie Privileged Identity Management. C’est un service Microsoft Entra qui permet de gérer des droits administrateur temporaires, avec activation à la demande, durée limitée, notifications ou approbation selon le paramétrage.
Microsoft décrit PIM comme un moyen de gérer et contrôler l’accès aux rôles privilégiés, et recommande d’identifier les rôles sensibles, de retirer ceux qui ne sont plus nécessaires et de prioriser les rôles comme Global Administrator ou Security Administrator. (Microsoft Learn)
Pour une petite PME, PIM n’est pas toujours le premier chantier. Avant PIM, il faut déjà :
PIM devient intéressant quand les droits élevés sont fréquents, que plusieurs prestataires interviennent, ou que l’entreprise veut passer à une gestion plus avancée des accès sensibles.
Dans une TPE/PME où l’informatique est souvent gérée à temps partiel, cette revue simple vaut mieux qu’une politique théorique jamais appliquée.
Voici une méthode en 30 minutes :
La preuve attendue est courte : une liste des comptes admin, leur rôle, leur justification, leur méthode MFA, la présence des comptes d’urgence et la date de revue.
Les erreurs les plus fréquentes ne viennent pas d’un manque d’outils. Elles viennent d’un manque de revue.
À éviter :
Ces erreurs sont faciles à corriger si l’entreprise accepte de partir d’un inventaire simple.
Lors de reprises Microsoft 365, nous voyons souvent des tenants où plusieurs comptes sont Global Administrator sans justification claire.
Dans certaines petites structures, le compte du dirigeant sert à la fois à lire les emails, gérer Teams, administrer les licences et modifier les paramètres de sécurité. Ce n’est pas rare, mais ce n’est pas souhaitable.
Nous retrouvons aussi des anciens prestataires encore présents dans les rôles administrateur plusieurs mois après une migration ou une fin de contrat.
Dans d’autres cas, le vrai problème n’est pas le nombre d’administrateurs, mais l’absence de preuve : personne ne sait qui a validé l’accès, pourquoi il existe et quand il doit être retiré.
Notre approche consiste à remettre de l’ordre sans alourdir l’organisation : inventaire, réduction des Global Admins, rôles ciblés, MFA forte, comptes d’urgence et revue périodique.
Un prestataire ou un référent interne ne doit pas seulement “sécuriser les admins”. Il doit pouvoir montrer ce qui a été revu.
Preuves utiles :
Ces preuves peuvent être intégrées dans un guide Microsoft 365 pour PME de moins de 50 utilisateurs, avec les autres sujets : MFA, Exchange Online, SharePoint, OneDrive, sauvegarde, rétention et support.
Vous pouvez aussi consulter les guides Microsoft 365 PME pour relier ce sujet aux autres briques du tenant.
Pour une structure de 10 à 20 postes, ce mini-RACI suffit souvent à clarifier les responsabilités sans créer une gouvernance lourde.
| Action | PME | Prestataire |
|---|---|---|
| Valider qui doit être administrateur | Responsable | Appui |
| Lister les comptes admin | Appui | Responsable si mandat |
| Réduire les Global Administrators | Validation | Responsable |
| Remplacer par des rôles ciblés | Validation | Responsable |
| Activer MFA forte sur les admins | Validation | Responsable |
| Créer les comptes d’urgence | Validation | Responsable |
| Documenter les accès prestataire | Responsable | Appui |
| Retirer les droits après départ | Responsable | Appui / Responsable si mandat |
| Revoir les droits périodiquement | Responsable | Appui |
| Fournir preuves et tickets | Appui | Responsable |
La PME décide qui doit avoir les droits. Le prestataire configure, réduit, documente et fournit les preuves.
Un audit devient utile dès que les droits administrateur sont flous.
Déclencheurs courants :
Pour une entreprise qui utilise Microsoft 365 au quotidien sans administrateur dédié, les comptes admin doivent être assez simples pour être compris, mais assez cadrés pour éviter qu’un seul compte donne accès à tout sans contrôle.
Ce sujet peut s’inscrire dans une démarche plus large de cybersécurité Microsoft 365 pour PME. L’objectif n’est pas de transformer l’article en page commerciale, mais de savoir quand un regard externe devient utile.
Un compte administrateur Microsoft 365 est un compte qui peut gérer des paramètres, utilisateurs, licences, services ou règles de sécurité dans le tenant Microsoft 365. Certains rôles sont limités. Le rôle Global Administrator donne les droits les plus larges et doit être fortement limité.
Il faut en garder le moins possible, tout en évitant de n’avoir qu’un seul accès critique. Microsoft recommande de limiter autant que possible le nombre de Global Administrators, car ce rôle dispose d’un accès presque illimité aux paramètres et à la plupart des données. (Microsoft Learn)
Oui. Le compte utilisé au quotidien pour Outlook, Teams ou la navigation ne doit pas être le même que celui qui administre Microsoft 365. Cette séparation réduit l’exposition du compte admin aux risques courants.
Le moindre privilège consiste à donner uniquement les droits nécessaires pour effectuer une tâche. Par exemple, donner un rôle Exchange Administrator pour gérer Exchange plutôt qu’un Global Administrator si l’utilisateur n’a pas besoin d’administrer tout Microsoft 365.
Oui. Microsoft recommande deux comptes d’urgence cloud-only avec le rôle Global Administrator, réservés aux situations où les comptes administrateurs normaux ne peuvent pas être utilisés. Ces comptes doivent être documentés, surveillés et utilisés uniquement en cas de besoin réel. (Microsoft Learn)
Pas forcément. L’accès prestataire doit dépendre du périmètre réel : support, administration, migration, sécurité, SharePoint, Exchange. L’accès doit être nominatif, traçable, révocable et revu régulièrement. Le Global Admin permanent doit rester une exception cadrée.
Pas toujours au départ. PIM est utile pour donner des droits administrateur temporaires et limiter les privilèges permanents. Mais une petite PME doit d’abord inventorier les comptes admin, activer MFA forte, réduire les Global Admins, créer des comptes d’urgence et documenter les accès.
Contactez un prestataire si vous ne savez pas qui est administrateur, si plusieurs comptes sont Global Admin sans justification, si un ancien prestataire a encore accès, si les comptes admin ne sont pas protégés par MFA forte, ou si aucun compte d’urgence n’est documenté.
Les comptes admin Microsoft 365 doivent être rares, protégés et justifiés. Dans une PME, le moindre privilège ne consiste pas à complexifier l’administration. Il consiste à savoir qui peut agir, avec quel rôle, pour quelle raison et avec quelle preuve.
Le bon ordre est simple : réduire les Global Administrators, utiliser des rôles ciblés, séparer le compte quotidien du compte admin, activer une MFA forte, encadrer les accès prestataire et prévoir des comptes d’urgence.
Une fois ces bases en place, PIM et l’accès conditionnel peuvent venir compléter la stratégie, mais ils ne remplacent pas l’inventaire et la revue régulière des droits.
Votre PME utilise Microsoft 365 au quotidien et vous ne savez pas clairement qui possède les droits administrateur ? Axorys peut vous aider à auditer les comptes admin, réduire les Global Administrators, appliquer le moindre privilège, protéger les accès sensibles, documenter les comptes d’urgence et clarifier les responsabilités entre votre équipe et le prestataire.