Afin de consentir à des applications qui requièrent des autorisations d'administrateur à l'utilisateur doit avoir le rôle « Admin mondial (GA) » dans le locataire Azure AD. Cela est différent d'avoir les rôles d'administrateur de service ou de co-administrateur dans un abonnement Azure.
Seuls les AG existants peuvent accorder des droits GA à un autre utilisateur. Cela signifie que si votre utilisateur ne parvient pas à obtenir le consentement de l'administrateur, il ne pourra pas non plus créer lui-même des GA Azure AD. La solution la plus probable à votre scénario consiste à demander à l'utilisateur de contacter son service informatique ou celui qui a configuré le locataire Azure AD ou O365 et de lui demander de consentir à l'application avec ses informations d'identification GA. Une fois que l'administrateur aura consenti à l'application, parce qu'il le fait en tant qu'administrateur, le consentement sera appliqué au nom de tous les utilisateurs, et par conséquent aucun autre utilisateur n'aura besoin de consentir à l'application après cela.
Voir l'article ci-dessous pour plus de détails autour de la relation entre Azure AD et les abonnements Azure: https://blogs.technet.microsoft.com/ad/2016/02/26/azure-ad-mailbag-azure-subscriptions-and-azure-ad-2/
Et juste au cas où vous voulez encore des instructions sur la façon de faire de quelqu'un un admin global dans Azure AD, voici les instructions pour que: - de https://azure.microsoft.com/en-us/documentation/articles/active-directory-assign-admin-roles/
- Dans le portail classique Azure, cliquez sur active Directory, puis cliquez sur le nom du répertoire de votre organisation.
- Sur la page Utilisateurs, cliquez sur le nom d'affichage de l'utilisateur que vous souhaitez modifier.
- Dans la liste Rôle organisationnel, sélectionnez le rôle d'administrateur que vous souhaitez affecter à cet utilisateur ou sélectionnez Utilisateur si vous souhaitez supprimer un rôle d'administrateur existant.
- Dans la zone Autre adresse e-mail, entrez une adresse e-mail. Cette adresse e-mail est utilisée pour les notifications importantes, y compris la réinitialisation automatique du mot de passe. L'utilisateur doit donc pouvoir accéder au compte e-mail, que l'utilisateur puisse ou non accéder à Azure.
- Sélectionnez Autoriser ou Bloquer pour spécifier si l'utilisateur doit se connecter et accéder aux services.
- Spécifiez un emplacement dans la liste déroulante Emplacement d'utilisation.
- Lorsque vous avez terminé, cliquez sur Enregistrer