Partager via

Unités administratives

En utilisant des unités administratives dans Microsoft Entra ID, vous pouvez subdiviser vos organization en unités plus petites et limiter les autorisations administratives à des parties spécifiques de votre Microsoft Entra organization. Vous pouvez créer, supprimer et modifier des unités administratives dans Microsoft Entra et gérer les utilisateurs ou les groupes membres de chaque unité.

Microsoft Purview s’intègre aux unités administratives en vous permettant d’attribuer des membres de groupe de rôles à des unités spécifiques. Les solutions Microsoft Purview qui prennent en charge les unités administratives limitent la visibilité et les autorisations de gestion aux membres de l’unité affectée.

Par exemple, vous pouvez utiliser des unités administratives pour déléguer des autorisations aux administrateurs pour chaque région géographique dans une grande organization multinationale ou pour regrouper l’accès administrateur par service. Vous pouvez ensuite créer des stratégies spécifiques à une région ou à un service, et afficher l’activité des utilisateurs à la suite de ces stratégies et affectations d’unités administratives. Vous pouvez également utiliser des unités administratives comme étendue initiale pour une stratégie, où les utilisateurs éligibles à la stratégie dépendent de l’appartenance à l’unité administrative.

Si vous utilisez des étendues adaptatives pour les stratégies de conformité, consultez Fonctionnement des étendues adaptatives avec Microsoft Entra unités administratives.

Solutions prises en charge

Les solutions Microsoft Purview suivantes prennent en charge les unités administratives :

Solution Prise en charge de la configuration
Gestion du cycle de vie des données Groupes de rôles, stratégies de rétention et stratégies d’étiquette de rétention
Data Loss Prevention (DLP) Groupes de rôles et stratégies DLP
Conformité des communications Groupes de rôles et stratégies
Gestion des risques internes Groupes de rôles et stratégies
Gestion des enregistrements Groupes de rôles, stratégies de rétention, stratégies d’étiquette de rétention et étendues adaptatives
Étiquetage de confidentialité Groupes de rôles, stratégies d’étiquette de confidentialité et stratégies d’étiquetage automatique

La configuration des unités administratives passe automatiquement aux fonctionnalités suivantes :

Remarque

Bien que DLP et Insider Risk Management surfacent les alertes dans Microsoft Defender XDR, Microsoft Defender XDR prend uniquement en charge les unités administratives pour DLP. Microsoft Defender XDR prend en charge jusqu’à 100 unités administratives.

Autorisations pour les unités administratives

Pour affecter un membre du groupe de rôles à une unité administrative, les administrateurs doivent se voir attribuer le rôle Gestion des rôles. Pour plus d’informations sur la gestion des groupes de rôles et des rôles dans Microsoft Purview, consultez Autorisations dans le portail Microsoft Purview. Pour afficher la liste complète des groupes de rôles par défaut et des rôles attribués à chacun d’eux, consultez Groupes de rôles dans Microsoft Purview.

Vous pouvez affecter des membres de groupe de rôles à des unités administratives au sein des groupes de rôles intégrés suivants :

Groupe de rôles Zone de solution
Conformité des communications Conformité des communications
Administrateurs de conformité des communications Conformité des communications
Analystes de la conformité des communications Conformité des communications
Enquêteurs sur la conformité des communications Conformité des communications
Administrateur de conformité Solutions croisées
Administrateurs des données de conformité Solutions croisées
Lecteur global Solutions croisées
Protection des informations Protection des informations
Administrateurs Information Protection Protection des informations
Analyste Information Protection Protection des informations
Enquêteurs Information Protection Protection des informations
Lecteurs Information Protection Protection des informations
Gestion des risques internes Gestion des risques internes
Administrateurs de gestion des risques internes Gestion des risques internes
Analystes de la gestion des risques internes. Gestion des risques internes
Approbateurs de gestion des risques internes Gestion des risques internes
Enquêteurs sur la gestion des risques internes. Gestion des risques internes
Approbateurs de session de gestion des risques internes Gestion des risques internes
Gestion de l'organisation Solutions croisées
Gestion des enregistrements Gestion des enregistrements
Administrateur de la sécurité Solutions croisées
Opérateur de sécurité Solutions croisées
Lecteur de sécurité Solutions croisées

Lorsque vous attribuez des groupes de rôles, vous pouvez sélectionner des membres ou des groupes individuels, puis sélectionner l’option Attribuer des unités d’administration pour sélectionner les unités administratives que vous définissez dans Microsoft Entra ID :

Option Attribuer des unités d’administration lorsque vous modifiez des groupes de rôles.

Importante

L’attribution d’unités d’administration est toujours disponible lorsque vous créez des groupes de rôles personnalisés. Vous pouvez attribuer des unités administratives pour n’importe quel groupe de rôles personnalisé.

Ces administrateurs, appelés administrateurs restreints, peuvent sélectionner une ou plusieurs unités administratives qui leur sont attribuées pour définir automatiquement l’étendue initiale des stratégies qu’ils créent ou modifient. Si les administrateurs n’ont pas d’unités administratives affectées (administrateurs non restreints), ils peuvent affecter des stratégies à l’ensemble de l’annuaire sans avoir à sélectionner des unités administratives individuelles.

Importante

Une fois que vous avez affecté des unités administratives aux membres des groupes de rôles, ces administrateurs restreints ne peuvent pas voir et modifier les stratégies existantes. Toutefois, il n’y a aucune modification opérationnelle de ces stratégies et elles restent visibles et peuvent être modifiées par des administrateurs non restreints.

Les administrateurs restreints ne peuvent pas non plus voir les données historiques à l’aide de fonctionnalités qui prennent en charge les unités administratives, telles que l’Explorateur d’activités et les alertes. Ils restent visibles par les administrateurs non restreints. À l’avenir, les administrateurs restreints peuvent uniquement voir ces données associées pour les unités administratives qui leur sont attribuées.

Prérequis pour les unités administratives

Avant de configurer des unités administratives pour les solutions Microsoft Purview, assurez-vous que vos organization et utilisateurs répondent aux exigences d’abonnement et de licence suivantes :

  • licences Microsoft Entra ID P1 ou P2

  • Licence Microsoft Purview (l’un des abonnements suivants) :

    • Microsoft 365 E5/A5/G5
    • Conformité Microsoft 365 E5/A5/G5/F5 ou Conformité & de sécurité F5
    • gouvernance Microsoft 365 E5/A5/G5/F5 Information Protection &
    • Microsoft 365 E5/A5/F5 Insider Risk Management

    Pour plus d’informations sur les options de licence des fonctionnalités Microsoft Purview, consultez la description du service Microsoft Purview.

Configurer des unités administratives

Effectuez les étapes suivantes pour configurer et utiliser des unités administratives avec des solutions Microsoft Purview :

  1. Créez des unités administratives pour restreindre l’étendue des autorisations de rôle dans Microsoft Entra ID.

  2. Ajouter des utilisateurs et des groupes de distribution aux unités administratives.

    Importante

    Les membres des groupes de distribution dynamiques ne deviennent pas automatiquement membres d’une unité administrative.

  3. Si vous créez des unités administratives basées sur une région géographique ou un département, configurez des unités administratives à l’aide de règles d’appartenance dynamiques.

    Remarque

    Vous ne pouvez pas ajouter de groupes à une unité administrative qui utilise des règles d’appartenance dynamique. Si nécessaire, créez deux unités administratives, une pour les utilisateurs et une pour les groupes.

  4. Utilisez l’un des groupes de rôles des solutions Microsoft Purview qui prennent en charge les unités administratives pour attribuer des unités administratives aux membres.

Lorsque les administrateurs restreints créent ou modifient des stratégies qui prennent en charge les unités administratives, ils peuvent sélectionner des unités administratives afin que seuls les utilisateurs de ces unités administratives soient éligibles à la stratégie :

  • Les administrateurs non restreints n’ont pas besoin de sélectionner des unités administratives dans le cadre de la configuration de la stratégie. Ils peuvent conserver la valeur par défaut de l’ensemble du répertoire ou sélectionner une ou plusieurs unités administratives.
  • Les administrateurs restreints doivent sélectionner une ou plusieurs unités administratives dans le cadre de la configuration de la stratégie.

Plus loin dans la configuration de la stratégie, les administrateurs qui sélectionnent des unités administratives doivent inclure ou exclure (si pris en charge) des utilisateurs individuels et des groupes des unités administratives qu’ils ont précédemment sélectionnées pour la stratégie.

Pour plus d’informations sur les unités administratives propres à chaque solution prise en charge, consultez les sections suivantes :

Prise en charge des sites SharePoint pour les unités administratives

Microsoft Purview prend désormais en charge l’ajout de sites SharePoint à des unités administratives. Cette fonctionnalité vous permet d’adapter la visibilité et le contrôle de gestion des administrateurs Microsoft Purview dans le portail Microsoft Purview. Cette prise en charge n’est disponible que pour les stratégies d’étiquetage automatique microsoft Information Protection et les stratégies de protection contre la perte de données Microsoft qui prennent en charge l’application aux sites SharePoint.

Remarque

Vous gérez la création, la suppression et Microsoft Entra l’appartenance aux ressources à partir de Microsoft Entra ID. Toute unité administrative que vous créez apparaît dans la liste de Microsoft Purview.

Le remplissage complet d’une requête peut prendre jusqu’à cinq jours. Les modifications ne sont pas immédiates. Attendez que la requête soit entièrement renseignée avant d’associer une stratégie à une unité administrative.

Configurer des sites SharePoint pour les unités administratives

Suivez ces étapes pour configurer les unités administratives. Ces étapes vous guident tout au long de la création d’une unité administrative, comment associer des ressources à cette unité administrative et comment affecter des membres du groupe de rôles Microsoft Purview à des unités administratives. Après avoir créé des unités administratives, procédez comme suit pour associer des sites SharePoint à l’unité administrative.

Les clients Microsoft Purview ayant droit à cette fonctionnalité peuvent désormais accéder aux unités administratives sous les paramètres Rôles et étendues du portail Microsoft Purview. Dans Unités administratives, sélectionnez une unité administrative et modifiez-la pour associer des sites SharePoint à l’unité administrative.

Pour effectuer les étapes suivantes afin de configurer des sites SharePoint au sein d’unités administratives à utiliser dans Microsoft Purview, vous devez disposer du rôle gestionnaire d’extensions d’unité d’administration . Un administrateur disposant de droits de gestion des rôles dans Microsoft Purview attribue ce rôle, soit à l’aide d’un groupe de rôles intégré avec ce rôle, soit à l’aide d’un groupe de rôles personnalisé.

  1. Accédez au portail Microsoft Purview.
  2. Sélectionnez Paramètres , puis Rôles et étendues.
  3. Sélectionnez Unités administratives.
  4. Sélectionnez une unité administrative existante dans la liste.
  5. Sélectionnez Modifier.
  6. Créez une requête pour associer des sites SharePoint à l’unité administrative.
  7. Utilisez l’un des groupes de rôles des solutions Microsoft Purview qui prennent en charge les unités administratives pour attribuer des unités administratives aux membres.

Les requêtes pour associer des sites SharePoint à des unités administratives prennent en charge les propriétés de site pour l’URL du site, le nom du site et RefinableString00-RefinableString99. Ces requêtes s’appliquent à la fois aux sites SharePoint et aux comptes OneDrive, à l’exception des sites SharePoint de canal partagé. Les noms des propriétés des sites sont basés sur les propriétés gérées des sites SharePoint. Pour plus d’informations sur l’association de propriétés personnalisées à des propriétés managées (RefinableString00-RefinableString99), consultez Utilisation des propriétés de site SharePoint personnalisées pour appliquer la rétention Microsoft 365 avec des étendues de stratégie adaptative.

Tester votre requête

Pour tester votre requête à l’aide de la recherche SharePoint, procédez comme suit :

  1. Avec un compte affecté au rôle d’administrateur SharePoint, accédez à https://<your_tenant>.sharepoint.com/search.
  2. Utilisez la barre de recherche pour entrer la requête affichée dans le résumé de la requête pour vos sites SharePoint dans l’unité administrative.
  3. Vérifiez que les résultats de la recherche correspondent aux URL de site attendues pour votre unité administrative. Si ce n’est pas le cas, vérifiez votre requête et les URL auprès de l’administrateur approprié pour Microsoft Office SharePoint Online.

Le même comportement d’administrateur restreint et illimité s’applique aux stratégies qui incluent des sites SharePoint. En outre, les administrateurs qui sélectionnent des unités administratives ne peuvent pas inclure ou exclure des sites SharePoint individuels. Les sites SharePoint prennent en charge l’application à tous les sites associés à l’unité administrative.

Importante

Pour supprimer des sites associés d’une unité administrative, modifiez une requête SharePoint pour une unité administrative afin qu’aucune appartenance aux sites ne soit effectuée. Pour effacer l’appartenance au site, faites en sorte que la requête n’entraîne aucun site.

Afficher l’appartenance au site SharePoint

Après avoir créé une requête SharePoint pour une unité administrative dans Microsoft Purview, vous pouvez afficher les membres du site de l’unité administrative. Vous pouvez uniquement afficher l’appartenance des utilisateurs et des groupes d’une unité administrative à partir du portail Microsoft Entra ID.

Effectuez les étapes suivantes pour accéder à la page des détails des membres et voir les membres du site SharePoint d’une unité administrative dans Microsoft Purview :

  1. Accédez au portail Microsoft Purview.
  2. Sélectionnez Paramètres , puis Rôles et étendues.
  3. Sélectionnez Unités administratives.
  4. Sélectionnez une unité administrative existante dans la liste.
  5. Sélectionnez Détails du membre.
  6. Affichez la liste des membres du site SharePoint.
  7. Vérifiez la colonne État dans la liste, qui indique Ajouté pour les sites ajoutés à l’unité administrative ou Supprimé si le site était précédemment dans l’unité administrative, mais qu’il est supprimé une fois qu’il ne correspond plus à la requête SharePoint.
  8. Utilisez la fonction Exporter pour télécharger une liste des sites affichés dans un fichier CSV.

Remarque

La liste des détails des membres peut prendre jusqu’à cinq jours pour mettre à jour les sites ajoutés ou supprimés.

Pour plus d’informations sur les unités administratives et le site SharePoint dans les solutions Microsoft Purview, voir :

  • Last updated on