Pour un contrôle administratif plus granulaire dans Microsoft Entra ID, vous pouvez attribuer aux utilisateurs un rôle Microsoft Entra avec une étendue limitée à une ou plusieurs unités administratives. Pour obtenir des exemples de scripts PowerShell pour les tâches courantes, consultez Utiliser des unités administratives.
Général
Pourquoi ne puis-je pas créer d’unité administrative ?
Vous devez disposer au moins du rôle Administrateur de rôle privilégié pour créer une unité administrative dans Microsoft Entra ID. Assurez-vous que l’utilisateur qui tente de créer l’unité administrative dispose du rôle Administrateur de rôle privilégié.
J’ai ajouté un groupe à une unité administrative. Pourquoi les membres du groupe n’apparaissent-ils toujours pas ?
Lorsque vous ajoutez un groupe à une unité administrative, cela n’entraîne pas l’ajout de tous les membres du groupe. Les utilisateurs doivent être directement assignés à l’unité administrative.
Je viens d’ajouter (ou de supprimer) un membre de l’unité administrative. Pourquoi le membre n’apparaît-il pas (ou pourquoi s’affiche-t-il toujours) dans l’interface utilisateur ?
Parfois, quelques minutes peuvent s’écouler avant que la volet Unités administratives reflète l’ajout ou la suppression d’un ou de plusieurs membres d’une unité administrative. Vous pouvez également accéder directement aux propriétés de la ressource associée et voir si l’action a été accomplie. Pour plus d’informations sur les membres dans les unités administratives, consultez Lister les utilisateurs, les groupes ou les appareils dans une unité administrative.
Je suis administrateur de mot de passe délégué sur une unité administrative. Pourquoi ne puis-je pas réinitialiser le mot de passe d’un utilisateur ?
En tant qu’administrateur d’une unité administrative, vous pouvez uniquement réinitialiser le mot de passe des utilisateurs assignés à votre unité administrative. Assurez-vous que l’utilisateur dont vous ne parvenez pas à réinitialiser le mot de passe appartient à l’unité administrative à laquelle vous avez été assigné. Si l’utilisateur appartient bien à la même unité administrative, mais que vous ne pouvez toujours pas réinitialiser son mot de passe, vérifiez les rôles attribués à l’utilisateur.
Pour empêcher une élévation de privilèges, un administrateur assigné à une unité administrative ne peut pas réinitialiser le mot de passe d’un utilisateur dont le rôle s’étend à l’organisation entière.
Pourquoi les unités administratives sont-elles nécessaires ? N’aurions-nous pas pu utiliser des groupes de sécurité pour définir une étendue ?
Les groupes de sécurité ont un modèle d’objectif et d’autorisation existant. Un administrateur d'utilisateurs, par exemple, peut gérer l'appartenance à tous les groupes de sécurité de l'organisation Microsoft Entra. Le rôle peut utiliser des groupes pour gérer l’accès aux applications telles que Salesforce. Un Administrateur d’utilisateurs ne doit pas être en mesure de gérer le modèle de délégation proprement dit, ce qui serait le cas si des groupes de sécurité étaient étendus pour prendre en charge des scénarios de « regroupement des ressources ».
Les unités administratives, telles les unités d’organisation dans Windows Server Active Directory, sont conçues pour permettre de déterminer l’étendue de l’administration d’un vaste éventail d’objets annuaire. Des groupes de sécurité peuvent eux-mêmes être membres d’étendues de ressources. L’utilisation de groupes de sécurité pour définir l’ensemble des groupes de sécurité qu’un administrateur peut gérer risque de prêter à confusion.
Qu’implique le fait d’ajouter un groupe à une unité administrative ?
L’ajout d’un groupe à une unité administrative place le groupe lui-même dans l’étendue de gestion de l’unité administrative, mais pas les membres du groupe. Pour plus d’informations, consultez Unités administratives dans Microsoft Entra ID.
Une ressource (utilisateur, groupe ou appareil) peut-elle être membre de plusieurs unités administratives ?
Oui, une ressource peut être membre de plusieurs unités administratives. Elle peut être gérée par tous les administrateurs à l’échelle de l’organisation ou des unités administratives qui disposent d’autorisations sur la ressource.
Les unités administratives sont-elles disponibles dans les organisations B2C ?
Non, les unités administratives ne sont pas disponibles pour les organisations B2C.
Les unités administratives imbriquées sont-elles prises en charge ?
Non, les unités administratives imbriquées ne sont pas prises en charge.
Les unités administratives sont-elles prises en charge dans PowerShell et l’API Microsoft Graph ?
Oui. Vous trouverez des informations sur la prise en charge des unités administratives dans la documentation relative aux cmdlets PowerShell et les exemples de scripts.
Recherchez la prise en charge du type de ressource administrativeUnit dans Microsoft Graph.
Unités administratives dynamiques
Je viens d’enregistrer une règle pour les groupes d’appartenance dynamique pour une unité administrative, mais aucun utilisateur n’est encore ajouté.
La mise à jour initiale d'une unité administrative peut prendre quelques minutes en fonction de la taille de votre locataire et de la charge actuelle de Microsoft Entra ID.
Après la création d’une règle pour les groupes d’appartenance dynamique dans le centre d’administration Microsoft Entra à l’aide du générateur de règles et de la tentative d’enregistrement, j’obtiens l’erreur « Impossible de mettre à jour les propriétés de l’unité administrative ».
Cela signifie généralement qu’il y a un problème avec les valeurs de propriété fournies. Vérifiez que les valeurs de propriété que vous avez fournies ont un type de valeur approprié (chaîne, collection de chaînes ou booléen). Pour plus d’informations, consultez valeurs autorisées pour chaque opérateur pour les utilisateurs ou les appareils.
Cette erreur peut également se produire si une personne sans licence Microsoft Entra P1 tente d’enregistrer une mise à jour dans l’unité administrative.
Comment ajouter un seul membre à une unité administrative en plus de la règle actuelle pour les groupes d’appartenance dynamique ?
Pour ajouter un seul utilisateur, ajoutez une expression appropriée avec l’opérateur de requête OR
à la règle pour les groupes d’appartenance dynamique.
Je suis Administrateur de rôle privilégié, mais je ne peux pas ajouter ou supprimer de membres pour une unité administrative.
Lorsqu’une unité administrative a été configurée pour les groupes d’appartenance dynamique, vous devez modifier les règles pour les groupes d’appartenance dynamique afin de modifier l’appartenance.
Combien d’unités administratives avec des règles pour les groupes d’appartenance dynamique puis-je créer dans un locataire ?
Le nombre total d’appartenances dynamiques et d’unités administratives dynamiques combinées ne peut pas dépasser 15 000.
Le nombre de caractères d’une règle pour les groupes d’appartenance dynamique est-il limité ?
Oui. 3 072 caractères.
Puis-je créer des unités administratives avec des règles pour les groupes d’appartenance dynamiques dans le Centre d’administration Microsoft 365 ?
Non.
Unités administratives de gestion restreinte (préversion)
Je suis propriétaire d’un groupe qui est membre d’une unité administrative de gestion restreinte. Comment mes autorisations sont-elles affectées ?
En tant que propriétaire d’un groupe protégé, vous ne pouvez pas le gérer uniquement en fonction de la propriété. La gestion des ressources protégées nécessite actuellement qu’un rôle soit affecté à l’étendue de l’unité administrative de gestion restreinte de la ressource protégée.
Comment mes ressources Microsoft 365 sont-elles affectées par l’utilisation d’unités administratives de gestion restreinte ?
Actuellement, la sécurisation des ressources Microsoft Entra dans les unités administratives de gestion restreinte est prise en charge. Les ressources gérées en dehors de Microsoft Entra ID ne sont pas prises en charge.
Je ne peux pas modifier un membre d’une unité administrative de gestion restreinte.
L’utilisateur, le groupe ou l’appareil est un membre de l’unité administrative de gestion restreinte. Les droits de gestion sont limités aux administrateurs étant étendus à cette unité administrative.