Gérer les autorisations à l'aide d'unités administratives dans Microsoft Entra ID
Une unité administrative est une ressource Microsoft Entra qui peut être un conteneur pour d'autres ressources Microsoft Entra. Une unité administrative ne peut contenir que des utilisateurs, des groupes ou des appareils.
Les unités administratives limitent les autorisations d’un rôle à une partie de votre organisation que vous définissez. Par exemple, vous pouvez utiliser des unités administratives pour déléguer le rôle d’Administrateur du support technique aux spécialistes du support régional. Ce faisant, ils ne peuvent gérer les utilisateurs que dans la région qu’ils prennent en charge.
Vous pouvez affecter un utilisateur comme membre de plusieurs unités administratives. Par exemple, une organisation peut ajouter des utilisateurs aux unités administratives par zone géographique et par division. Dans cet exemple, l’organisation peut ajouter le même utilisateur aux unités administratives « Londres » (géographie) et « Marketing » (division).
Scénario de déploiement
Les organisations composées de divisions indépendantes de toutes sortes peuvent trouver utile de restreindre leur champ d'action administratif en utilisant des unités administratives. Prenons l'exemple d'une grande université composée de nombreuses écoles autonomes (école de commerce, école d'ingénieurs, etc.). Chaque école dispose d’une équipe d’administrateurs informatiques qui contrôlent l’accès, gèrent les utilisateurs et définissent des stratégies pour leur établissement d’enseignement.
Dans ce scénario, un administrateur central peut :
- Créer une unité administrative pour l’École de commerce.
- Renseigner l’unité administrative avec uniquement les étudiants et le personnel de l’École de commerce.
- Créez un rôle avec des autorisations administratives uniquement sur les utilisateurs Microsoft Entra dans l’unité administrative School of Business.
- Ajoutez l’équipe informatique de l’école de commerce au rôle, ainsi que son étendue.
Critères de licence
L’utilisation d’unités administratives nécessite les éléments suivants :
- Une licence Microsoft Entra Premium P1 pour chaque administrateur d'unité administrative.
- Une licence Microsoft Entra Free pour chaque membre de l'unité administrative.
Si vous utilisez des règles d'adhésion dynamiques pour les unités administratives, chaque membre de l'unité administrative nécessite une licence Microsoft Entra Premium P1.
Gestion des unités administratives
Vous pouvez gérer les unités administratives en utilisant le centre d'administration Microsoft Entra, les cmdlets et les scripts PowerShell, ou l'API Microsoft Graph.
Les unités administratives peuvent regrouper logiquement les ressources Microsoft Entra. Plusieurs scénarios sont envisageables :
- Une organisation a dispersé son service informatique au niveau mondial. À ce titre, elle a créé des unités administratives qui définissent des limites géographiques pertinentes.
- Une organisation mondiale a des sous-organisations qui sont semi-autonomes dans leurs opérations. Par conséquent, les unités administratives peuvent représenter les sous-organisations.
Une organisation doit se baser sur ses besoins spécifiques pour déterminer les unités administratives à créer. Les unités administratives sont le moyen courant de définir la structure entre les services Microsoft 365. Lorsqu'une organisation planifie ses unités administratives, elle doit tenir compte de la façon dont elle les utilise dans les services Microsoft 365. Vous pouvez obtenir la valeur maximale des unités administratives lorsque vous pouvez associer des ressources communes à Microsoft 365 sous une unité administrative.
Une organisation peut s’attendre à ce que ses unités administratives passent par les étapes suivantes :
- Adoption initiale. L'organisation crée des unités administratives sur la base de critères initiaux. Le nombre d'unités administratives augmente au fur et à mesure que l'organisation affine les critères.
- Nettoyage. Après avoir défini les critères, l'organisation supprime les unités administratives qui ne sont plus nécessaires.
- Stabilisation. Une fois qu'une organisation a défini sa structure organisationnelle, elle ne modifie pas significativement le nombre d'unités administratives à court terme.
Scénarios actuellement pris en charge
En tant qu'administrateur global ou administrateur de rôle privilégié, vous pouvez utiliser le centre d'administration de Microsoft Entra pour :
- Créer des unités administratives.
- Ajouter des utilisateurs, des groupes ou des appareils en tant que membres d’unités administratives.
- Gérer les utilisateurs ou les appareils d’une unité administrative avec des règles d’appartenance dynamique.
- Attribuer au personnel informatique des rôles d’administrateur avec étendue à une unité administrative.
Les administrateurs avec étendue à une unité administrative peuvent utiliser le Centre d'administration Microsoft 365 pour la gestion de base des utilisateurs dans leurs unités administratives. Un administrateur de groupe avec une étendue à une unité administrative peut gérer des groupes à l’aide de PowerShell, de Microsoft Graph et des Centres d’administration Microsoft 365.
Les unités administratives appliquent l’étendue uniquement aux autorisations de gestion. Elles n’empêchent pas les membres ou les administrateurs d’utiliser leurs autorisations utilisateur par défaut pour parcourir d’autres utilisateurs, groupes ou ressources en dehors de l’unité administrative. Pour résoudre ce problème, les organisations utilisent le centre d'administration Microsoft 365 pour filtrer les utilisateurs en dehors des unités administratives d'un administrateur délimité. Cependant, l'administrateur délimité peut parcourir d'autres utilisateurs dans le centre d'administration Microsoft Entra, PowerShell et d'autres services Microsoft.
Remarque
Seules les fonctionnalités décrites dans cette unité sont disponibles dans le Centre d'administration Microsoft 365. Aucune fonctionnalité au niveau de l’organisation n’est disponible pour un rôle Microsoft Entra avec une étendue d’unité administrative.
Les sections suivantes décrivent la prise en charge actuelle des scénarios d’unité administrative.
Gestion des unités administratives
| Autorisations | Microsoft Graph/PowerShell | Centre d'administration Microsoft Entra | Centre d’administration Microsoft 365 |
|---|---|---|---|
| Créer ou supprimer des unités administratives | X | X | |
| Ajouter ou supprimer des membres de manière individuelle | X | X | |
| Ajouter ou supprimer des membres en bloc à l’aide de fichiers CSV | X | Aucun plan de prise en charge | |
| Affecter des administrateurs à l’échelle de l’unité administrative | X | X | |
| Ajouter ou supprimer des utilisateurs ou des appareils de manière dynamique en fonction des règles (préversion) | X | X | |
| Ajouter ou supprimer des groupes de manière dynamique en fonction des règles |
Gestion des utilisateurs
| Autorisations | Microsoft Graph/PowerShell | Centre d'administration Microsoft Entra | Centre d’administration Microsoft 365 |
|---|---|---|---|
| Gestion à l’échelle de l’unité administrative des propriétés utilisateur, des mots de passe | X | X | X |
| Gestion à l’échelle de l’unité administrative des licences utilisateur | X | X | |
| Blocage et déblocage à l’échelle de l’unité administrative des connexions utilisateur | X | X | X |
| Gestion à l'échelle de l'unité administrative des informations d'identification d'authentification multifacteur des utilisateurs | X | X |
Gestion des groupes
| Autorisations | Microsoft Graph/PowerShell | Centre d'administration Microsoft Entra | Centre d’administration Microsoft 365 |
|---|---|---|---|
| Gestion de l’unité administrative avec étendue des propriétés et de l’appartenance au groupe | X | X | |
| Gestion de l’unité administrative avec étendue des licences de groupe | X | X |
Remarque
L’ajout d’un groupe à une unité administrative n’accorde pas aux administrateurs de groupe avec une étendue la possibilité de gérer les propriétés des membres individuels de ce groupe. Par exemple, un administrateur de groupe avec étendue peut gérer l’appartenance à un groupe. Cependant, ils ne peuvent pas gérer les méthodes d'authentification des utilisateurs qui sont membres d'un groupe ajouté à une unité administrative. Supposons que vous souhaitiez gérer les méthodes d'authentification des utilisateurs qui sont membres d'un groupe que vous avez précédemment ajouté à une unité administrative. Dans ce cas, vous devez ajouter directement les membres du groupe en tant qu'utilisateurs de l'unité administrative. Vous devez également attribuer à l'administrateur de groupe un rôle qui peut gérer les méthodes d'authentification des utilisateurs.
Gestion des périphériques
| Autorisations | Microsoft Graph/PowerShell | Centre d'administration Microsoft Entra | Centre d’administration Microsoft 365 |
|---|---|---|---|
| Activer, désactiver ou supprimer des appareils | X | X | |
| Lecture des clés de récupération BitLocker | X | X |
Gestion des autorisations dans les unités administratives
Lors de la gestion des autorisations à l'aide d'unités administratives dans Microsoft Entra ID, vous pouvez créer des rôles personnalisés et les étendre à une unité administrative spécifique. Vous pouvez utiliser ces rôles pour accorder des autorisations spécifiques à des utilisateurs ou à des groupes au sein de cette unité administrative.
Cependant, vous ne pouvez pas créer un rôle et l'étendre globalement à toutes les unités administratives de l'organisation. Chaque unité administrative a son propre ensemble de rôles et d'autorisations, et vous ne pouvez pas les appliquer à l'ensemble de l'organisation.
Bien que vous ne puissiez pas définir globalement un rôle pour toutes les unités administratives, vous pouvez contourner cette restriction. Comment ? Vous créez un rôle personnalisé qui comprend des autorisations pour plusieurs unités administratives au sein d'une organisation. Pour ce faire, vous devez créer un rôle avec des permissions qui s'appliquent à toutes les unités administratives en question. Vous devez ensuite attribuer ce rôle à des utilisateurs ou à des groupes au sein de chacune de ces unités administratives.
L'ajout d'un groupe à une unité administrative fait entrer le groupe lui-même dans le périmètre de gestion de l'unité administrative, mais pas les membres du groupe. En d'autres termes, un administrateur rattaché à l'unité administrative peut gérer les propriétés du groupe, telles que le nom du groupe ou l'appartenance au groupe. Cependant, ils ne peuvent pas gérer les propriétés des utilisateurs ou des appareils de ce groupe (à moins que ces utilisateurs et appareils ne soient ajoutés séparément en tant que membres de l'unité administrative). Pourquoi ? Parce que Microsoft Entra ID utilise le modèle Azure Role-Based Access Control (RBAC), dans lequel les administrateurs accordent l'accès aux ressources en fonction du rôle de l'utilisateur et des autorisations associées à ce rôle.
Contraintes
Les organisations doivent garder à l’esprit les contraintes suivantes lors de l’utilisation d’unités administratives pour faciliter la gestion des niveaux d’autorisation :
- Ils ne peuvent pas imbriquer des unités administratives.
- Les administrateurs de compte d’utilisateur avec étendue à une unité administrative ne peuvent pas créer ou supprimer d’utilisateurs.
- L'attribution d'un rôle délimité ne s'applique pas aux membres du groupe ajoutés à une unité administrative, sauf si l'organisation ajoute directement les membres du groupe à l'unité administrative. Pour plus d’informations, consultez Ajouter des membres à une unité administrative.
- Le système n'inclut actuellement pas d'unités administratives dans Microsoft Entra Identity Governance.