Unités administratives

Les unités administratives vous permettent de subdiviser vos organization en unités plus petites et d’affecter des administrateurs spécifiques qui peuvent gérer uniquement les membres de ces unités. Les groupes de rôles Microsoft Purview vous permettent d’affecter des administrateurs à des unités administratives spécifiques. Les solutions Microsoft Purview qui prennent en charge l’unité administrative limitent la visibilité et les autorisations de gestion aux membres de l’unité.

Par exemple, vous pouvez utiliser des unités administratives pour déléguer des autorisations aux administrateurs pour chaque région géographique dans une grande organization multinationale, ou pour regrouper l’accès administrateur par service au sein de votre organization. Vous pouvez créer des stratégies spécifiques à une région ou un service ou afficher l’activité des utilisateurs à la suite de ces stratégies et de l’affectation d’unité administrative. Vous pouvez également utiliser des unités administratives comme étendue initiale pour une stratégie, où la sélection des utilisateurs éligibles à la stratégie dépend de l’appartenance à des unités administratives.

Si vous utilisez des étendues adaptatives pour les stratégies de conformité, consultez Fonctionnement des étendues adaptatives avec Microsoft Entra unités administratives.

Prise en charge des unités administratives dans Microsoft Purview

Les solutions de conformité Microsoft Purview suivantes prennent en charge les unités administratives :

Solution	Prise en charge de la configuration
Gestion du cycle de vie des données	Groupes de rôles, stratégies de rétention et stratégies d’étiquette de rétention
Data Loss Prevention (DLP)	Groupes de rôles et stratégies DLP
Conformité des communications	Groupes de rôles et stratégies
Gestion des risques internes	Groupes de rôles et stratégies
Gestion des enregistrements	Groupes de rôles, stratégies de rétention, stratégies d’étiquette de rétention et étendues adaptatives
Étiquetage de confidentialité	Groupes de rôles, stratégies d’étiquette de confidentialité et stratégies d’étiquetage automatique

La configuration des unités administratives passe automatiquement aux fonctionnalités suivantes :

• Alertes : les alertes DLP ne sont visibles que des utilisateurs dans des unités administratives affectées
• Explorateur d’activités : les événements d’activité sont visibles uniquement par les utilisateurs dans les unités administratives affectées
• Étendues adaptatives :
  • Les administrateurs restreints peuvent sélectionner, créer, modifier et afficher des étendues adaptatives uniquement pour les utilisateurs des unités administratives attribuées à ces administrateurs
  • Lorsqu’un administrateur restreint configure une stratégie qui utilise des étendues adaptatives, cet administrateur peut uniquement sélectionner des étendues adaptatives qui sont affectées à ses unités administratives
• Auditer l’accès à la recherche dans les journaux
• Conformité des communications :
  • Recherche et configuration des stratégies : les administrateurs restreints peuvent créer ou gérer des stratégies uniquement pour les utilisateurs affectés à leurs unités administratives.
  • Alertes et correspondances de stratégie : les administrateurs restreints peuvent examiner les activités des utilisateurs uniquement pour les utilisateurs au sein des unités administratives qui leur sont attribuées.
• Gestion du cycle de vie des données et gestion des enregistrements :
  • Recherche de stratégie : les administrateurs restreints voient uniquement les stratégies des utilisateurs au sein des unités administratives qui leur sont attribuées.
  • Révision et vérification des destructions : les administrateurs restreints peuvent ajouter des réviseurs uniquement à partir des unités administratives qui leur sont affectées, et voir les révisions de destruction et les éléments supprimés uniquement des utilisateurs au sein de leurs unités administratives affectées
• Gestion des risques internes :
  • Recherche et configuration des stratégies : les administrateurs restreints peuvent créer ou gérer des stratégies uniquement pour les utilisateurs affectés à leurs unités administratives.
  • Activités des utilisateurs : les administrateurs restreints peuvent commencer les activités de scoring ou examiner les activités des utilisateurs uniquement pour les utilisateurs au sein des unités administratives qui leur sont attribuées.
  • Alertes et cas : les administrateurs restreints peuvent afficher et examiner les alertes et les cas uniquement pour les utilisateurs au sein des unités administratives qui leur sont attribuées.

Pour affecter un membre du groupe de rôles à une unité administrative, les administrateurs doivent se voir attribuer le rôle Gestion des rôles. Pour en savoir plus sur les rôles et les groupes de rôles Microsoft Purview, consultez Groupes de rôles dans Microsoft Purview.

Vous pouvez affecter des membres de groupe de rôles à des unités administratives au sein des groupes de rôles intégrés suivants :

• Conformité des communications
• Administrateurs de conformité des communications
• Analystes de conformité des communications
• Enquêteurs de conformité des communications
• Administrateur de conformité
• Administrateurs des données de conformité
• Lecteur général
• Protection des informations
• Administrateurs Information Protection
• Analyste Information Protection
• Enquêteurs Information Protection
• Lecteurs Information Protection
• Gestion des risques internes
• Administrateurs de gestion des risques internes
• Analystes de la gestion des risque internes.
• Enquêteurs de la gestion des risque internes.
• Approbateurs de session de gestion des risques internes
• Approbateurs de gestion des risques internes
• Gestion de l’organisation
• Gestion des enregistrements
• Administrateur de sécurité
• Opérateur de sécurité
• Lecteur de sécurité

Lorsque vous attribuez des groupes de rôles, vous pouvez sélectionner des membres ou des groupes individuels, puis sélectionner l’option Attribuer des unités d’administration pour sélectionner les unités administratives qui ont été définies dans Microsoft Entra ID :

Importante

Attribuer des unités d’administration est toujours disponible lorsque vous avez créé des groupes de rôles personnalisés. Vous pouvez attribuer des unités administratives pour n’importe quel groupe de rôles personnalisé.

Ces administrateurs, appelés administrateurs restreints, peuvent désormais sélectionner une ou plusieurs unités administratives qui leur sont attribuées pour définir automatiquement l’étendue initiale des stratégies qu’ils créent ou modifient. Ce n’est que si les administrateurs n’ont pas d’unités administratives attribuées (administrateurs non restreints) qu’ils peuvent affecter des stratégies à l’ensemble de l’annuaire sans avoir à sélectionner des unités administratives individuelles.

Importante

Une fois que vous avez affecté des unités administratives aux membres des groupes de rôles, ces administrateurs restreints ne peuvent plus voir et modifier les stratégies existantes. Toutefois, il n’y a aucune modification opérationnelle de ces stratégies et elles restent visibles et peuvent être modifiées par des administrateurs non restreints.

Les administrateurs restreints ne pourront plus voir les données historiques à l’aide de fonctionnalités qui prennent en charge les unités administratives, telles que l’Explorateur d’activités et les alertes. Ils restent visibles par les administrateurs non restreints. À l’avenir, les administrateurs restreints pourront voir ces données associées uniquement pour les unités administratives qui leur sont attribuées.

Remarque

En plus de pouvoir configurer et afficher les alertes, les utilisateurs disposant des rôles Analyste Information Protection et Enquêteur Information Protection peuvent effectuer des recherches dans les journaux d’audit à l’aide de l’applet de commande Search-UnifiedAuditLog.

Prérequis pour les unités administratives

Avant de configurer des unités administratives pour les solutions de conformité Microsoft Purview, assurez-vous que vos organization et utilisateurs répondent aux exigences d’abonnement et de licence suivantes :

• licences Microsoft Entra ID P1 ou P2

• Licences Microsoft Purview :

  • Microsoft 365 E5/A5/G5
  • Conformité Microsoft 365 E5/A5/G5/F5 ou Conformité & de sécurité F5
  • gouvernance Microsoft 365 E5/A5/G5/F5 Information Protection &
  • Microsoft 365 E5/A5/F5 Insider Risk Management

Configurer et utiliser des unités administratives

Effectuez les étapes suivantes pour configurer et utiliser des unités administratives avec des solutions de conformité Microsoft Purview :

1. Create unités administratives pour limiter l’étendue des autorisations de rôle dans Microsoft Entra ID.

2. Ajouter des utilisateurs et des groupes de distribution aux unités administratives.

   Importante

   Les membres de dynamic distribution Groupes ne deviennent pas automatiquement membres d’une unité administrative.

3. Si vous créez une région géographique ou des unités administratives basées sur un service, configurez des unités administratives avec des règles d’appartenance dynamique.

   Remarque

   Vous ne pouvez pas ajouter de groupes à une unité administrative qui utilise des règles d’appartenance dynamique. Si nécessaire, créez deux unités administratives, une pour les utilisateurs et une pour les groupes.

4. Utilisez l’un des groupes de rôles des solutions de conformité Microsoft Purview qui prennent en charge les unités administratives pour attribuer des unités administratives aux membres.

Désormais, lorsque ces administrateurs restreints créent ou modifient des stratégies qui prennent en charge les unités administratives, ils peuvent sélectionner des unités administratives afin que seuls les utilisateurs de ces unités administratives soient éligibles à la stratégie :

• Les administrateurs non restreints n’ont pas besoin de sélectionner des unités administratives dans le cadre de la configuration de la stratégie. Ils peuvent conserver la valeur par défaut de l’ensemble du répertoire ou sélectionner une ou plusieurs unités administratives.
• Les administrateurs restreints doivent maintenant sélectionner une ou plusieurs unités administratives dans le cadre de la configuration de la stratégie.

Plus loin dans la configuration de la stratégie, les administrateurs qui ont sélectionné des unités administratives doivent ensuite inclure ou exclure (si pris en charge) des utilisateurs individuels et des groupes des unités administratives qu’ils ont précédemment sélectionnées pour la stratégie.

Pour plus d’informations sur les unités administratives propres à chaque solution prise en charge, consultez les sections suivantes :

• Pour l’audit : Accès d’étendue aux journaux d’audit à l’aide d’unités administratives
• Pour la conformité des communications : envisagez les unités administratives si vous souhaitez étendre les autorisations utilisateur à une région ou un service
• Pour la gestion du cycle de vie des données : prise en charge des unités administratives
• Pour DLP : stratégies restreintes d’unité administrative
• Pour la gestion des risques internes : envisagez d’utiliser des unités administratives si vous souhaitez étendre les autorisations utilisateur à une région ou un service
• Pour la gestion des enregistrements : prise en charge des unités administratives
• Pour l’étiquetage de confidentialité : prise en charge des unités administratives