Unités administratives de gestion restreinte dans Microsoft Entra ID (préversion)
Important
Les unités administratives de gestion restreinte sont actuellement en PRÉVERSION. Consultez les conditions du produit pour les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.
Les unités administratives de gestion restreinte vous permettent d’empêcher des objets spécifiques dans votre tenant (locataire) d’être modifiés par toute personne autre qu’un ensemble spécifique d’administrateurs désigné par vous. Elles vous permettent de répondre aux exigences de sécurité ou de conformité sans devoir supprimer des attributions de rôles au niveau du tenant à partir de vos administrateurs.
Pourquoi utiliser des unités administrative de gestion restreinte ?
Voici quelques raisons pour lesquelles vous pouvez utiliser des unités administratives de gestion restreinte pour vous aider à gérer l’accès dans votre tenant.
- Vous souhaitez protéger vos comptes de responsables de niveau C et leurs appareils contre des administrateurs du support technique qui pourraient autrement réinitialiser leurs mots de passe ou d’accéder aux clés de récupération BitLocker. Vous pouvez ajouter vos comptes d’utilisateur de niveau C dans une unité administrative de gestion restreinte et activer un ensemble d’administrateurs approuvés spécifiques qui peuvent réinitialiser leurs mots de passe et accéder aux clés de récupération BitLocker, le cas échéant.
- Vous implémentez un contrôle de conformité pour veiller à ce que certaines ressources puissent uniquement être gérées par des administrateurs d’un pays spécifique. Vous pouvez ajouter ces ressources dans une unité administrative de gestion restreinte et affecter des administrateurs locaux à la gestion de ces objets. Même les administrateurs généraux ne sont pas autorisés à modifier les objets, sauf s’ils s’affectent explicitement à un rôle limité à l’unité administrative de gestion restreinte (qui est un événement pouvant être audité).
- Vous utilisez des groupes de sécurité pour contrôler l’accès aux applications sensibles dans votre organisation et vous ne voulez pas que vos administrateurs au niveau du locataire, qui peuvent modifier des groupes, puissent contrôler qui peut accéder aux applications. Vous pouvez ajouter ces groupes de sécurité à une unité administrative de gestion restreinte, puis vérifier que seuls les administrateurs spécifiques que vous attribuez peuvent les gérer.
Notes
Le placement d’objets dans des unités administratives de gestion restreinte limite considérablement qui peut apporter des modifications aux objets. Cette restriction peut entraîner l’arrêt des flux de travail existants.
Quels objets peuvent être membres ?
Voici les objets pouvant être membres d’unités administratives de gestion restreinte.
| Type d’objet Microsoft Entra | Unité administrative | Unité administrative avec le paramètre de gestion restreinte activé |
|---|---|---|
| Utilisateurs | Oui | Oui |
| Appareils | Oui | Oui |
| Groupes (sécurité) | Oui | Oui |
| Groupes (Microsoft 365) | Oui | Non |
| Groupes (sécurité à extension messagerie) | Oui | Non |
| Groupes (distribution) | Oui | Non |
Quels sont les types d’opérations bloqués ?
Pour les administrateurs qui ne sont pas explicitement affectés à l’étendue de l’unité administrative de gestion restreinte, les opérations modifiant directement les propriétés Microsoft Entra d’objets dans des unités administratives de gestion restreinte sont bloquées, tandis que les opérations sur des objets associés dans des services Microsoft 365 ne sont pas affectées.
| Type d'opération | Bloqué | Autorisé |
|---|---|---|
| Lire des propriétés standard telles qu’un nom d’utilisateur principal, une photo de l’utilisateur | ✅ | |
| Modifier des propriétés Microsoft Entra de l’utilisateur, du groupe ou de l’appareil | ❌ | |
| Supprimer l’utilisateur, le groupe ou l’appareil | ❌ | |
| Mettre à jour le mot de passe d’un utilisateur | ❌ | |
| Modifier des propriétaires ou des membres du groupe dans l’unité administrative de gestion restreinte | ❌ | |
| Ajouter des utilisateurs, des groupes ou des appareils dans une unité administrative de gestion restreinte à des groupes de Microsoft Entra ID | ✅ | |
| Modifier les paramètres de boîte aux lettres de messagerie dans Exchange pour l’utilisateur de l’unité administrative de gestion restreinte | ✅ | |
| Appliquer des stratégies à un appareil dans une unité administrative de gestion restreinte en tirant parti d’Intune | ✅ | |
| Ajouter ou supprimer un groupe en tant que propriétaire de site dans SharePoint | ✅ |
Qui peut modifier des objets ?
Seuls les administrateurs disposant d’une affectation explicite dans l’étendue d’une unité administrative de gestion restreinte peuvent modifier les propriétés Microsoft Entra d’objets dans l’unité administrative de gestion restreinte.
| Rôle utilisateur | Bloqué | Autorisé |
|---|---|---|
| Administrateur général | ❌ | |
| Administrateurs étendus au tenant (y compris un administrateur général) | ❌ | |
| Administrateurs affectés à l’étendue de l’unité administrative de gestion restreinte | ✅ | |
| Administrateurs affectés à l’étendue d’une autre unité administrative de gestion restreinte dont l’objet est un membre | ✅ | |
| Administrateurs affectés à l’étendue d’une autre unité administrative régulière dont l’objet est un membre | ❌ | |
| Administrateur de groupes, Administrateur d’utilisateurs et d’autres rôles attribués à l’étendue d’une ressource | ❌ | |
| Propriétaires de groupes ou d’appareils ajoutés aux unités administratives de gestion restreinte | ❌ |
Limites
Voici certaines des limites et contraintes pour des unités administratives de gestion restreinte.
- Le paramètre de gestion restreinte doit être appliqué pendant la création d’une unité administrative et ne peut pas être modifié une fois l’unité administrative créée.
- Les groupes d’une unité administrative de gestion restreinte ne peuvent pas être gérés avec des fonctionnalités Gouvernance des ID Microsoft Entra telles que Microsoft Entra Privileged Identity Management ou la Gestion des droits d’utilisation de Microsoft Entra.
- Lorsque des groupes assignables à un rôle sont ajoutés à une unité administrative de gestion restreinte, leur appartenance ne peut pas être modifiée. Les propriétaires de groupes ne sont pas autorisés à gérer des groupes dans des unités administratives de gestion restreinte et seuls les administrateurs généraux et les administrateurs de rôle privilégié (qui ne peuvent pas être affectés au niveau de l’étendue de l’unité administrative) peuvent modifier l’appartenance.
- Certaines actions peuvent ne pas pouvoir être effectuées quand un objet se trouve dans une unité administrative de gestion restreinte, si le rôle nécessaire n’est pas un des rôles pouvant être attribués au niveau de l’étendue de l’unité administrative. Par exemple, l’administrateur général d’une unité administrative de gestion restreinte ne peut pas voir son mot de passe réinitialisé par un autre administrateur du système, car aucun rôle d’administrateur ne peut être affecté à l’étendue de l’unité administrative pouvant effectuer la réinitialisation du mot de passe d’un administrateur général. Dans de tels scénarios, l’administrateur général doit d’abord être supprimé de l’unité administrative de gestion restreinte, puis faire effectuer une réinitialisation de mot de passe par un autre administrateur général ou administrateur de rôle privilégié.
- Lors de la suppression d’une unité administrative de gestion restreinte, la suppression de toutes les protections des anciens membres peut prendre jusqu’à 30 minutes.
Programmabilité
Les applications ne peuvent pas modifier des objets dans des unités administratives de gestion restreinte par défaut. Pour accorder à une application l’accès à des objets dans une unité administrative de gestion restreinte, vous devez attribuer l’autorisationDirectory.Write.Restricted dans Microsoft Graph.
Conditions de licence :
Les unités administratives de gestion restreinte nécessitent une licence Microsoft Entra ID Premium P1 pour chaque administrateur d’une unité administrative et des licences Microsoft Entra ID Free pour des membres d’unités administratives. Pour trouver la licence appropriée à vos besoins, consultez Comparaison des fonctionnalités mises à la disposition générale des éditions Gratuite et Premium.