Administration d’un tenant Office 365/Microsoft 365

Depuis deux dĆ©cennies, Active Directory permet de dĆ©lĆ©guer l’administration au moyen d’UnitĆ©s d’Organisation (ou OU-Organizational Unit). Cette dĆ©lĆ©gation permet de scinder les droits d’administrateur selon le besoin.

Cependant, cĆ“tĆ© Microsoft cloud, nombre d’administrateurs se posent la question suivante : Comment je peux segmenter l’administration de mes utilisateurs ?

Certaines solutions tierces existent sur le marchĆ© mais le coĆ»t des licences ainsi que le coĆ»t de mise en place/exploitation est souvent un frein Ć  l’adoption de ces solutions.

Nativement, Exchange Online permet, au moyen des RBAC (Role Based Access Control) d’assurer un dĆ©but de cloisonnement.

La gestion des utilisateurs et des licences dans Azure AD Ć©tait adressĆ©e par les UnitĆ©s d’administration (Administrative Units ou AU comme utilisĆ© dans cet article). Le problĆØme est que cette solution Ć©tait en preview depuis de nombreuses annĆ©es, ce qui impliquait que son utilisation en production Ć©tait Ć  proscrire. Cette situation engendrait un nombre important d’administrateurs globaux/administrateurs de licences/administrateurs d’utilisateurs, etc.

Au-delĆ  de la multiplicitĆ© des administrateurs et du risque de sĆ©curitĆ©, cela implique qu’une relation de confiance forte doit exister entre tous ses co-administrateurs.

Le cas le plus problĆ©matique Ć©tant un tenant qui accueille de multiple entitĆ©s (entreprise internationale avec plusieurs filiales ou fusions d’entreprises dans un unique tenant).

Cependant, dĆ©but octobre 2020, Microsoft a enfin annoncĆ© sa disponibilitĆ© gĆ©nĆ©rale des Administrative Units aprĆØs plusieurs annĆ©es d’attente ! Cela implique que cette fonctionnalitĆ© est disponible sur tous les tenants et est pleinement supportĆ©e par les Ć©quipes de Microsoft !

Tour d’horizon technique complet de cette fonctionnalitĆ© tant attendue (informations en date d’octobre 2020).

Les AU ne peuvent contenir que des utilisateurs et groupes

Les objets utilisateurs et les objets groupes peuvent devenir membres des AU. Cependant, les appareils ne peuvent pas (encore) devenir membres des AU.

Lorsque vous ajoutez un groupe Ć  l’AU, cela n’entraĆ®ne pas l’ajout de tous les membres du groupe. Les utilisateurs doivent ĆŖtre directement affectĆ©s Ć  l’AU de maniĆØre individuel.

PrƩrequis de licence

L’utilisation des AU nĆ©cessite une licence Azure Active Directory Premium pour chaque administrateur d’AU.

Pour les membres des AU, une licence Azure Active Directory Free est suffisante (chaque utilisateur qui dispose d’une licence Office 365 dispose de facto d’une licence Azure AD Free)

Autorisations d’administrateurs

Tous les rĆ“les d’administration ne sont pas encore disponibles. Actuellement, les rĆ“les applicables aux AU sont :

  • Administrateur d’utilisateurs : peut gĆ©rer tous les aspects des utilisateurs et groupes, notamment la rĆ©initialisation des mots de passe pour les administrateurs limitĆ©s.
  • Administrateur d’authentification : a accĆØs pour afficher, dĆ©finir et rĆ©initialiser les informations de mĆ©thode d’authentification pour tout utilisateur non administrateur.
  • Administrateur de groupes : peut gĆ©rer tous les aspects des groupes et des paramĆØtres de groupe comme les stratĆ©gies dā€™expiration et dā€™attribution de noms.
  • Administrateur du support technique : peut rĆ©initialiser les mots de passe pour les administrateurs de mot de passe et les utilisateurs non administrateurs.
  • Administrateur de licence : possibilitĆ© d’attribuer, de supprimer et de mettre Ć  jour des attributions de licence.
  • Administrateur de mots de passe : peut rĆ©initialiser les mots de passe pour les administrateurs de mot de passe et les utilisateurs non administrateurs.

La gestion au niveau d’Exchange Online, OneDrive, etc. n’est pas couvert par les AU.

DiffĆ©rence entre le portail Azure AD et le centre d’administration Microsoft 365

Les AU n’appliquent que les autorisations de gestion. Cela implique qu’un membre ou un administrateur d’AU peut trĆØs bien voir les autres utilisateurs, groupes ou ressources en dehors de son AU (via son rĆ“le utilisateur Azure AD). Les administrateurs peuvent voir d’autres utilisateurs dans le portail Azure AD, PowerShell et d’autres services Microsoft.

Cependant, dans le centre d’administration Microsoft 365, les utilisateurs en dehors des AD d’un administrateur d’AU sont filtrĆ©s.

CrƩation et gestion des AU

Les administrateurs globaux ou les administrateurs de rĆ“les privilĆ©giĆ©s peuvent utiliser le portail Azure AD pour crĆ©er des AU, ajouter des utilisateurs en tant que membres des AU, puis affecter le personnel informatique Ć  des rĆ“les d’administrateur dans l’AU. Les administrateurs Ć  l’Ć©chelle de l’AU peuvent ensuite utiliser le centre d’administration Microsoft 365 pour la gestion de base des utilisateurs dans leur AU. Il est possible de positionner des droits d’administration sur plusieurs AU pour un mĆŖme utilisateur.

Les actions suivantes ne peuvent ĆŖtre effectuĆ©es que depuis le portail Azure (https://portal.azure.com), portail Azure AD (https://aad.portal.azure.com) , Azure AD PowerShell ou Microsoft Graph :

  • crĆ©er et supprimer des AU
  • ajouter et supprimer des membres AU
  • affecter des administrateurs

Pour l’heure leĀ  centre d’administration Microsoft 365 (https://admin.microsoft.com) ne peut pas ĆŖtre utilisĆ© pour rĆ©aliser les actions de crĆ©ation/modifier/suppression des mais permet la gestion des utilisateurs/groupes et des actions hĆ©ritĆ©es de son rĆ“le.

D’un point de vue administrateur, il ne verra que les utilisateurs/groupes qu’il peut gĆ©rer ainsi que les actions possibles :

Aujourd’hui, il est possible affecter des groupes uniquement de faƧon individuelle Ć  une AU.Ā  Lorsque vous utilisez le portail, PowerShell ou Microsoft Graph, vous devez effectuer un ajout par groupe. Il en va de mĆŖme pour la suppression d’un groupe dans PowerShell et Microsoft Graph.

Toutefois, dans le portail Azure, vous pouvez supprimer l’appartenance AU pour plusieurs groupes.

Pas de gestion de la configuration MFA des utilisateurs dans un AU

La gestion des paramĆØtres MFA des utilisateurs ne peut pas ĆŖtre gĆ©rĆ© par des administrateurs d’AD dans le centre d’administration Microsoft 365.

Pas d’AU dynamiques

Azure AD a le concept de groupes dynamiques, oĆ¹ des membres sont ajoutĆ©s Ć  des groupes en fonction d’attributs du compte. Les AU ne permettent pas (encore) l’adhĆ©sion dynamique via ce mĆ©canisme.

L’Ć©lĆ©vation des chemins de privilĆØges peut entraĆ®ner un comportement inattendu

Les administrateurs d’AU prĆ©sentent un risque pour la sĆ©curitĆ© des informations. Par consĆ©quent, les chemins qui peuvent conduire Ć  une Ć©lĆ©vation de privilĆØges pour ces comptes sont bloquĆ©s.

Par exemple, un administrateur d’un AU ne peut pas rĆ©initialiser le mot de passe d’un utilisateur ayant un rĆ“le Ć  l’Ć©chelle de l’organisation.

Auteur : Bastien Perez