Unités administratives dans Azure Active Directory

Cet article décrit les unités administratives dans Azure Active Directory (Azure AD). Une unité administrative est une ressource Azure AD qui peut être un conteneur pour d’autres ressources Azure AD. Une unité administrative peut contenir seulement des utilisateurs, des groupes ou des appareils.

Les unités administratives limitent les autorisations d’un rôle en fonction du service auquel il appartient au sein de l’organisation. Par exemple, vous pouvez utiliser des unités administratives pour déléguer le rôle Administrateur du support technique aux spécialistes du support régional, pour qu’ils ne puissent s’occuper que des utilisateurs situés dans la région dont ils ont la charge.

Les utilisateurs peuvent être membres de plusieurs unités administratives. Par exemple, vous pouvez ajouter des utilisateurs à des unités administratives par zone géographique et service. Megan Bowen peut être dans les unités administratives « Seattle » et « Marketing ».

Scénario de déploiement

Il peut être utile de restreindre l’étendue d’administration à l’aide d’unités administratives dans les organisations qui sont composées de divisions indépendantes de tout type. Prenons l’exemple d’une grande université qui se compose de nombreuses écoles autonomes (école de commerce, école d’ingénieurs, etc.). Chaque école a une équipe d’administrateurs informatiques qui contrôlent les accès, gèrent les utilisateurs et définissent les stratégies pour leur école.

Un administrateur central peut :

  • Créer une unité administrative pour l’école de commerce.
  • Remplissez l’unité administrative avec uniquement les élèves et le personnel de l’école de commerce.
  • Créer un rôle avec des autorisations d’administration seulement sur les utilisateurs Azure AD de l’unité administrative de l’école de commerce.
  • Ajouter l’équipe informatique de l’école de commerce au rôle avec son étendue.

Capture d’écran de la page Appareils et unités administratives avec l’option Supprimer de l’unité administrative.

Contraintes

Voici quelques-unes des contraintes pour les unités administratives.

  • Les unités administratives ne peuvent pas être imbriquées.
  • Les administrateurs de comptes d’utilisateurs étendus par unité administrative ne peuvent ni créer ni supprimer d’utilisateurs.
  • Les unités administratives ne sont actuellement pas disponibles dans Azure Active Directory Identity Governance.

Groupes

L’ajout d’un groupe à une unité administrative place le groupe lui-même dans l’étendue de gestion de l’unité administrative, mais pas les membres du groupe. En d’autres termes, un administrateur limité à l’unité administrative peut gérer les propriétés du groupe, telles que le nom ou l’appartenance au groupe, mais il ne peut pas gérer les propriétés des utilisateurs ou des appareils au sein de ce groupe (sauf si ces utilisateurs et appareils sont ajoutés séparément en tant que membres de l’unité administrative).

Par exemple, un Administrateur d’utilisateurs limité à une unité administrative qui contient un groupe peut et ne peut pas effectuer les opérations suivantes :

Autorisations Peut
Gérer le nom du groupe ✔️
Gérer l’appartenance au groupe ✔️
Gérer les propriétés de l’utilisateur pour les membres individuels du groupe
Gérer les méthodes d’authentification utilisateur des membres individuels du groupe
Réinitialiser les mots de passe des membres individuels du groupe

Pour que l’Administrateur d’utilisateurs puisse gérer les propriétés des utilisateurs ou les méthodes d’authentification utilisateur des membres individuels du groupe, les membres du groupe (utilisateurs) doivent être ajoutés directement en tant que membres de l’unité administrative.

Conditions de licence :

L’utilisation d’unités administratives nécessite une licence Azure AD Premium P1 pour chaque administrateur d’une unité administrative et des licences Azure AD Free pour chaque membre des unités administratives. Si vous utilisez des règles d’appartenance dynamique pour les unités administratives, chaque membre de l’unité administrative requiert une licence Azure AD Premium P1. Pour trouver la licence appropriée à vos besoins, consultez Comparaison des fonctionnalités mises à la disposition générale des éditions Gratuite et Premium.

Gérer des unités administratives

Vous pouvez gérer des unités administratives en utilisant le portail Azure, des applets de commande et des scripts PowerShell, ou l’API Microsoft Graph. Pour plus d'informations, consultez les pages suivantes :

Planifier vos unités administratives

Vous pouvez utiliser les unités administratives pour regrouper logiquement des ressources Azure AD. Une organisation dont les membres du service informatique sont répartis dans le monde entier peut créer des unités administratives pour définir des limites géographiques. Autre scénario : dans le cas d’une organisation multinationale composée de plusieurs sous-organisations fonctionnant de manière semi-autonome, une unité administrative peut représenter chacune de ces sous-organisations.

Les critères de création des unités administratives dépendent des exigences spécifiques d’une organisation. Les unités administratives constituent une façon courante de définir la structure des services Microsoft 365. Nous vous recommandons de préparer vos unités administratives en pensant à leur utilisation dans les services Microsoft 365. Vous pouvez tirer le meilleur parti des unités administratives quand vous pouvez associer des ressources communes à Microsoft 365 sous une unité administrative.

Vous pouvez vous attendre à ce que la création d’unités administratives au sein de l’organisation passe par les étapes suivantes :

  1. Adoption initiale : votre organisation va commencer à créer des unités administratives en fonction de critères initiaux et le nombre d’unités administratives va augmenter à mesure que les critères sont affinés.
  2. Nettoyage : Une fois que les critères sont définis, les unités administratives qui ne sont plus nécessaires sont supprimées.
  3. Stabilisation : La structure organisationnelle est définie et le nombre d’unités administratives ne va pas changer de façon significative à court terme.

Scénarios actuellement pris en charge

Si vous êtes administrateur général ou administrateur avec rôle privilégié, vous pouvez utiliser le portail Azure pour :

  • Créer des unités administratives
  • Ajouter des utilisateurs, des groupes ou des appareils comme membres d’unités administratives
  • Gérer les utilisateurs ou les appareils d’une unité administrative avec des règles d’appartenance dynamique (préversion)
  • Attribuer au personnel informatique des rôles Administrateur limités à une unité administrative.

Ces administrateurs peuvent ensuite utiliser le centre d’administration Microsoft 365 pour la gestion de base des utilisateurs au sein de leur unité administrative. Un administrateur de groupe limité à une unité administrative peut gérer les groupes à l’aide de PowerShell, de Microsoft Graph et du centre d’administration Microsoft 365.

Les unités administratives appliquent l’étendue seulement aux autorisations de gestion. Elles n’empêchent pas les membres ni les administrateurs d’utiliser leurs autorisations utilisateur par défaut pour parcourir d’autres utilisateurs, groupes ou ressources en dehors de l’unité administrative. Dans le centre d’administration Microsoft 365, les utilisateurs en dehors des unités administratives d’un administrateur limité sont filtrés. Toutefois, vous pouvez parcourir d’autres utilisateurs dans le portail Azure, PowerShell et d’autres services Microsoft.

Notes

Seules les fonctionnalités décrites dans cette section sont disponibles dans le centre d’administration Microsoft 365. Les rôles Azure AD limités à une unité administrative ne peuvent pas bénéficier des fonctionnalités définies au niveau de l’organisation.

Les sections suivantes abordent la prise en charge des scénarios d’unité administrative.

Gestion des unités administratives

Autorisations Microsoft Graph/PowerShell Portail Azure Centre d’administration Microsoft 365
Créer ou supprimer des unités administratives ✔️ ✔️ ✔️
Ajouter ou supprimer des membres ✔️ ✔️ ✔️
Affectation d’administrateurs limités à une unité administrative ✔️ ✔️ ✔️
Ajouter ou supprimer des utilisateurs ou des appareils de manière dynamique en fonction des règles (préversion) ✔️ ✔️
Ajouter ou supprimer des groupes de manière dynamique en fonction des règles

User Management

Autorisations Microsoft Graph/PowerShell Portail Azure Centre d’administration Microsoft 365
Gestion limitée à une unité administrative des propriétés, des mots de passe et des licences utilisateur ✔️ ✔️ ✔️
Gestion limitée à une unité administrative des licences de utilisateur ✔️ ✔️ ✔️
Blocage et déblocage des connexions utilisateur limités à une unité administrative ✔️ ✔️ ✔️
Gestion limitée à une unité administrative des informations d’identification d’authentification multifacteur des utilisateurs ✔️ ✔️

Gestion des groupes

Autorisations Microsoft Graph/PowerShell Portail Azure Centre d’administration Microsoft 365
Création et suppression de groupes délimitées aux unités administratives ✔️ ✔️ ✔️
Gestion limitée à une unité administrative des propriétés et de l’appartenance des groupes ✔️ ✔️ ✔️
Gestion limitée à une unité administrative des licences de groupe ✔️ ✔️

Gestion des appareils

Autorisations Microsoft Graph/PowerShell Portail Azure Centre d’administration Microsoft 365
Activer, désactiver ou supprimer des appareils ✔️ ✔️
Lire la clé de récupération BitLocker ✔️ ✔️

La gestion des appareils dans Intune n’est pas prise en charge pour le moment.

Étapes suivantes