Gérer les groupes Azure Active Directory et l’appartenance aux groupes

Les groupes Azure Active Directory (Azure AD) permettent de gérer les utilisateurs qui ont tous besoin des mêmes accès et autorisations aux ressources, telles que des applications et des services potentiellement restreints. Au lieu d’ajouter des autorisations spéciales à des utilisateurs individuels, vous créez un groupe qui applique les autorisations spéciales à chaque membre de ce groupe.

Cet article traite des scénarios de groupe de base où un seul groupe est ajouté à une seule ressource et les utilisateurs sont ajoutés en tant que membres à ce groupe. Pour des scénarios plus complexes, tels que la création de règles et les appartenances dynamiques, consultez la documentation Gestion des utilisateurs Azure Active Directory.

Avant d’ajouter des groupes et des membres, découvrez les groupes et les types d’appartenance pour vous aider à choisir les options à utiliser lorsque vous créez un groupe.

Créer un groupe de base et ajouter des membres

Vous pouvez créer un groupe de base et ajouter vos membres en même temps à l’aide du portail Azure Active Directory (Azure AD). Les rôles Azure AD qui peuvent gérer des groupes incluent notamment l’administrateur des groupes, l’administrateur d’utilisateurs, l’administrateur de rôle privilégié ou l’administrateur général. Passer en revue les rôles Azure AD appropriés pour la gestion des groupes

Pour créer un groupe de base et ajouter des membres :

  1. Connectez-vous au portail Azure.

  2. Accédez à Azure Active Directory>Groupes>Nouveau groupe.

    Capture d’écran de la page Groupes Azure AD avec l’option Nouveau groupe mise en surbrillance.

  3. Sélectionnez un Type de groupe. Pour plus d’informations sur les types de groupes, consultez l’article Découvrir les groupes et les types d’appartenance.

    • La sélection du type de groupe Microsoft 365 active l’option Adresse e-mail du groupe.
  4. Entrez un nom de groupe. Choisissez un nom dont vous vous souviendrez et qui est logique pour le groupe. Une vérification sera effectuée pour déterminer si le nom est déjà utilisé. Si le nom est déjà en cours d’utilisation, vous devrez modifier le nom de votre groupe.

  5. Adresse e-mail du groupe : disponible uniquement pour les types de groupes Microsoft 365. Entrez une adresse e-mail manuellement ou utilisez l’adresse e-mail générée à partir du nom de groupe que vous avez fourni.

  6. Description de groupe. Ajoutez une description facultative à votre groupe.

  7. Basculez le paramètre Des rôles Azure AD peuvent être attribués au groupe sur oui afin d’utiliser ce groupe pour affecter des rôles Azure AD aux membres.

    • Cette option n’est disponible qu’avec des licences Premium P1 ou P2.
    • Vous devez avoir le rôle Administrateur de rôle privilégié ou Administrateur général.
    • L’activation de cette option sélectionne automatiquement Affecté comme type d’appartenance.
    • La possibilité d’ajouter des rôles lors de la création du groupe est ajoutée au processus.
    • En savoir plus sur les groupes assignables aux rôles.
  8. Sélectionnez un Type d’appartenance. Pour plus d’informations sur les types d’appartenance, consultez l’article Découvrir les groupes et les types d’appartenance.

  9. Ajoutez éventuellement des propriétaires ou des membres. Les membres et les propriétaires peuvent être ajoutés après la création de votre groupe.

    1. Sélectionnez le lien sous Propriétaires ou Membres pour remplir la liste de chaque utilisateur de votre répertoire.
    2. Choisissez les utilisateurs dans la liste, puis sélectionnez le bouton Sélectionner en bas de la fenêtre.

    Capture d’écran de la sélection de membres pour votre groupe pendant le processus de création du groupe.

  10. Sélectionnez Create (Créer). Votre groupe est créé et prêt pour la gestion d’autres paramètres.

Désactiver l’e-mail de bienvenue dans le groupe

Une notification de bienvenue est envoyée à tous les utilisateurs lorsqu’ils sont ajoutés à un nouveau groupe Microsoft 365, quel que soit le type d’appartenance. Lorsqu’un attribut d’utilisateur ou d’appareil change, toutes les règles de groupe dynamique au sein de l’organisation sont traitées pour des modifications d’appartenance potentielles. Les utilisateurs qui sont alors ajoutés reçoivent également la notification de bienvenue. Vous pouvez désactiver ce comportement dans Exchange PowerShell.

Ajouter ou supprimer des membres et des propriétaires

Les membres et les propriétaires peuvent être ajoutés et supprimés des groupes Azure AD existants. Le processus est le même pour les membres et les propriétaires. Vous aurez besoin du rôle Administrateur de groupes ou Administrateur d’utilisateur pour ajouter et supprimer des membres et des propriétaires.

Vous devez ajouter plusieurs membres à la fois ? Découvrez l’option ajouter des membres en bloc.

Ajoutez des membres ou des propriétaires à un groupe :

  1. Connectez-vous au portail Azure.

  2. Accédez à Azure Active Directory>Groupes.

  3. Sélectionnez le groupe que vous devez gérer.

  4. Sélectionnez Membres ou Propriétaires.

    Capture d’écran de la page Présentation du groupe avec les options de menu Membres et Propriétaires mises en surbrillance.

  5. Sélectionnez + Ajouter (membres ou propriétaires).

  6. Faites défiler la liste ou entrez un nom dans la zone de recherche. Vous pouvez choisir plusieurs noms en même temps. Lorsque vous êtes prêt, sélectionnez le bouton Sélectionner.

    La page Présentation du groupe est mise à jour pour afficher le nombre de membres désormais ajoutés au groupe.

Supprimer des membres ou des propriétaires d’un groupe :

  1. Accédez à Azure Active Directory>Groupes.

  2. Sélectionnez le groupe que vous devez gérer.

  3. Sélectionnez Membres ou Propriétaires.

  4. Cochez la case en regard d’un nom dans la liste, puis sélectionnez le bouton Supprimer.

    Capture d’écran de membres de groupe portant un nom sélectionné et bouton Supprimer mis en surbrillance.

Modifier les paramètres du groupe

À l’aide d’Azure AD, vous pouvz modifier le nom d’un groupe, sa description ou son type d’appartenance. Vous aurez besoin du rôle Administrateur de groupes ou Administrateur d’utilisateur pour modifier les paramètres d’un groupe.

Pour modifier vos paramètres de groupe :

  1. Connectez-vous au portail Azure.

  2. Accédez à Azure Active Directory>Groupes. La page Groups - All groups (Groupes - Tous les groupes) s’affiche, présentant tous vos groupes actifs.

  3. Faites défiler la liste ou entrez un nom de groupe dans la zone de recherche. Sélectionnez le groupe que vous devez gérer.

  4. Sélectionnez Propriétés dans le menu latéral.

    Capture d’écran de la page Présentation du groupe avec l’option de menu Propriétés mise en surbrillance.

  5. En cas de besoin, mettez à jour les informations dans Paramètres généraux, y compris :

    • Nom de groupe. Modifiez le nom du groupe existant.

    • Description de groupe. Modifiez la description du groupe existant.

    • Type du groupe. Vous ne pouvez pas changer le type du groupe après sa création. Pour changer le Type du groupe, vous devez le supprimer et en recréer un.

    • Type d’appartenance. Changez le type d’appartenance. Si vous avez activé l’option Des rôles Azure AD peuvent être attribués au groupe, vous ne pouvez pas modifier le type d’appartenance. Pour plus d’informations sur les types d’appartenance disponibles, consultez l’article En savoir plus sur les groupes et les types d’appartenance.

    • ID d'objet. Vous ne pouvez pas changer l’ID d’objet, mais vous pouvez le copier pour vous en servir dans vos commandes PowerShell pour le groupe. Pour plus d’informations sur l’utilisation des cmdlets PowerShell, consultez Configuration des paramètres de groupe avec les cmdlets Azure Active Directory.

Ajouter ou supprimer un groupe dans un autre groupe

Vous pouvez ajouter un groupe de sécurité existant à un autre groupe de sécurité (ce sont alors des groupes imbriqués). Selon les types de groupe, vous pouvez ajouter un groupe en tant que membre d’un autre groupe, à la manière d’un utilisateur, ce qui a pour effet d’appliquer les paramètres tels que les rôles et l’accès aux groupes imbriqués. Vous aurez besoin du rôle Administrateur de groupes ou Administrateur d’utilisateur pour modifier l’appartenance d’un groupe.

Actuellement, nous ne prenons pas en charge les éléments suivants :

  • L’ajout de groupes à un groupe synchronisé avec Active Directory en local.
  • L’ajout de groupes de sécurité aux groupes Microsoft 365.
  • L’ajout de groupes Microsoft 365 à des groupes de sécurité ou à d’autres groupes Microsoft 365.
  • L’affectation d’applications à des groupes imbriqués.
  • L’application de licences à des groupes imbriqués.
  • Ajout de groupes de distribution dans des scénarios d’imbrication.
  • Ajout de groupes de sécurité comme membres de groupes de sécurité à messagerie.
  • Ajout de groupes en tant que membres d’un groupe assignable à un rôle.

Ajouter à un autre groupe

  1. Connectez-vous au portail Azure.

  2. Accédez à Azure Active Directory>Groupes.

  3. Sur la page Groupes - Tous les groupes, recherchez et sélectionnez le groupe qui doit devenir un membre d’un autre groupe.

    Notes

    Vous pouvez ajouter votre groupe en tant que membre d’un seul autre groupe à la fois. Les caractères génériques ne sont pas pris en charge dans la zone de recherche Sélectionner un groupe.

  4. Sur la page Vue d’ensemble du groupe, sélectionnez Appartenances au groupe dans le menu latéral.

  5. Sélectionnez + Ajouter des appartenances.

  6. Recherchez le groupe dont vous souhaitez que votre groupe soit membre et choisissez Sélectionner.

    Pour cet exercice, nous ajoutons « Stratégie GPM - Ouest » au groupe « Stratégie GPM - Toute l’org », de sorte que « GPM - stratégie - Ouest » hérite de toutes les propriétés et configurations du groupe « Stratégie GPM - Toute l’org ».

    Capture d’écran de l’ajout d’un groupe comme membre d’un autre groupe avec l’option Appartenance au groupe du menu latéral et l’option Ajouter une appartenance mises en surbrillance.

Vous pouvez à présent consulter la page Stratégie GPM - Ouest - Appartenances au groupe pour voir la relation entre le groupe et le membre.

Pour une vue plus détaillée de la relation entre le groupe et le membre, sélectionnez le nom du groupe parent (Stratégie MDM - Toute l’org) et observez les détails de la page Stratégie GPM - Ouest.

Supprimer un groupe d’un autre groupe

Vous pouvez supprimer un groupe de sécurité existant d’un autre groupe de sécurité. Cependant, en supprimant le groupe, les paramètres hérités sont également supprimés pour ses membres.

  1. Sur la page Groupes - Tous les groupes, recherchez et sélectionnez le groupe que vous devez supprimer en tant que membre d’un autre groupe.

  2. Sur la page Vue d’ensemble du groupe, sélectionnez Appartenances au groupe.

  3. Sélectionnez le groupe parent sur la page Appartenances au groupe.

  4. Sélectionnez Supprimer.

    Pour cet exercice, nous allons maintenant supprimer « Stratégie GPM - Ouest » du groupe « Stratégie GPM - Toute l’org ».

    Capture d’écran de la page Appartenance au group montrant à la fois les détails du membre et du groupe avec l’option Supprimer l’appartenance mise en surbrillance.

Supprimer un groupe

Vous pouvez supprimer le groupe Azure AD pour différentes raisons, généralement parce que :

  • Vous choisissez l’option Type de groupe incorrecte.

  • Vous avez créé un groupe en double par erreur.

  • Vous n’avez plus besoin du groupe.

Pour supprimer un groupe, vous avez besoin du rôle Administrateur de groupes ou Administrateur d’utilisateurs.

  1. Connectez-vous au portail Azure.

  2. Accédez à Azure Active Directory>Groupes.

  3. Recherchez et sélectionnez le groupe à supprimer.

  4. Sélectionnez Supprimer.

    Le groupe est supprimé de votre locataire Azure Active Directory.

Étapes suivantes