Unités administratives dans Azure Active DirectoryAdministrative units in Azure Active Directory

Cet article décrit les unités administratives dans Azure Active Directory (Azure AD).This article describes administrative units in Azure Active Directory (Azure AD). Une unité administrative est une ressource Azure AD qui peut être un conteneur pour d’autres ressources Azure AD.An administrative unit is an Azure AD resource that can be a container for other Azure AD resources. Une unité administrative peut contenir seulement des utilisateurs et des groupes.An administrative unit can contain only users and groups.

Les unités administratives limitent les autorisations d’un rôle en fonction du service auquel il appartient au sein de l’organisation.Administrative units restrict permissions in a role to any portion of your organization that you define. Par exemple, vous pouvez utiliser des unités administratives pour déléguer le rôle Administrateur du support technique aux spécialistes du support régional, pour qu’ils ne puissent s’occuper que des utilisateurs situés dans la région dont ils ont la charge.You could, for example, use administrative units to delegate the Helpdesk Administrator role to regional support specialists, so they can manage users only in the region that they support.

Scénario de déploiementDeployment scenario

Il peut être utile de restreindre l’étendue d’administration à l’aide d’unités administratives dans les organisations qui sont composées de divisions indépendantes de tout type.It can be useful to restrict administrative scope by using administrative units in organizations that are made up of independent divisions of any kind. Prenons l’exemple d’une grande université qui se compose de nombreuses écoles autonomes (école de commerce, école d’ingénieurs, etc.).Consider the example of a large university that's made up of many autonomous schools (School of Business, School of Engineering, and so on). Chaque école a une équipe d’administrateurs informatiques qui contrôlent les accès, gèrent les utilisateurs et définissent les stratégies pour leur école.Each school has a team of IT admins who control access, manage users, and set policies for their school.

Un administrateur central peut :A central administrator could:

  • Créer un rôle avec des autorisations d’administration seulement sur les utilisateurs Azure AD de l’unité administrative de l’école de commerce.Create a role with administrative permissions over only Azure AD users in the business school administrative unit.
  • Créer une unité administrative pour l’école de commerce.Create an administrative unit for the School of Business.
  • Affecter à l’unité administrative seulement les étudiants et le personnel de l’école de commerce.Populate the administrative unit with only the business school students and staff.
  • Ajouter l’équipe informatique de l’école de commerce au rôle avec son étendue.Add the business school IT team to the role, along with its scope.

Conditions de licence :License requirements

Pour utiliser des unités administratives, vous devez disposer d’une licence Azure Active Directory Premium pour chaque administrateur d’une unité administrative et de licences Azure Active Directory gratuites pour les membres des unités administratives.To use administrative units, you need an Azure Active Directory Premium license for each administrative unit admin, and Azure Active Directory Free licenses for administrative unit members. Pour plus d'informations, consultez la section Prise en main d’Azure AD Premium.For more information, see Getting started with Azure AD Premium.

Gérer des unités administrativesManage administrative units

Vous pouvez gérer des unités administratives en utilisant le portail Azure, des applets de commande et des scripts PowerShell, ou Microsoft Graph.You can manage administrative units by using the Azure portal, PowerShell cmdlets and scripts, or Microsoft Graph. Pour plus d'informations, consultez les pages suivantes :For more information, see:

Planifier vos unités administrativesPlan your administrative units

Vous pouvez utiliser les unités administratives pour regrouper logiquement des ressources Azure AD.You can use administrative units to logically group Azure AD resources. Une organisation dont les membres du service informatique sont répartis dans le monde entier peut créer des unités administratives pour définir des limites géographiques.An organization whose IT department is scattered globally might create administrative units that define relevant geographical boundaries. Autre scénario : dans le cas d’une organisation multinationale composée de plusieurs sous-organisations fonctionnant de manière semi-autonome, une unité administrative peut représenter chacune de ces sous-organisations.In another scenario, where a global organization has suborganizations that are semi-autonomous in their operations, administrative units could represent the suborganizations.

Les critères de création des unités administratives dépendent des exigences spécifiques d’une organisation.The criteria on which administrative units are created are guided by the unique requirements of an organization. Les unités administratives constituent une façon courante de définir la structure des services Microsoft 365.Administrative units are a common way to define structure across Microsoft 365 services. Nous vous recommandons de préparer vos unités administratives en pensant à leur utilisation dans les services Microsoft 365.We recommend that you prepare your administrative units with their use across Microsoft 365 services in mind. Vous pouvez tirer le meilleur parti des unités administratives quand vous pouvez associer des ressources communes à Microsoft 365 sous une unité administrative.You can get maximum value out of administrative units when you can associate common resources across Microsoft 365 under an administrative unit.

Vous pouvez vous attendre à ce que la création d’unités administratives au sein de l’organisation passe par les étapes suivantes :You can expect the creation of administrative units in the organization to go through the following stages:

  1. Adoption initiale : votre organisation va commencer à créer des unités administratives en fonction de critères initiaux et le nombre d’unités administratives va augmenter à mesure que les critères sont affinés.Initial adoption: Your organization will start creating administrative units based on initial criteria, and the number of administrative units will increase as the criteria are refined.
  2. Nettoyage : Une fois que les critères sont définis, les unités administratives qui ne sont plus nécessaires sont supprimées.Pruning: After the criteria are defined, administrative units that are no longer required will be deleted.
  3. Stabilisation : La structure organisationnelle est définie et le nombre d’unités administratives ne va pas changer de façon significative à court terme.Stabilization: Your organizational structure is defined, and the number of administrative units isn't going to change significantly in the short term.

Scénarios actuellement pris en chargeCurrently supported scenarios

Si vous êtes administrateur général ou administrateur avec rôle privilégié, vous pouvez utiliser le portail Azure AD pour :As a Global Administrator or a Privileged Role Administrator, you can use the Azure AD portal to:

  • Créer des unités administrativesCreate administrative units
  • Ajouter des utilisateurs et des groupes membres d’unités administrativesAdd users and groups members of administrative units
  • Attribuer au personnel informatique des rôles Administrateur limités à une unité administrative.Assign IT staff to administrative unit-scoped administrator roles.

Ces administrateurs peuvent ensuite utiliser le centre d’administration Microsoft 365 pour la gestion de base des utilisateurs au sein de leur unité administrative.Administrative unit-scoped admins can use the Microsoft 365 admin center for basic management of users in their administrative units. Un administrateur de groupe limité à une unité administrative peut gérer les groupes à l’aide de PowerShell, de Microsoft Graph et du centre d’administration Microsoft 365.A group administrator with administrative unit scope can manage groups by using PowerShell, Microsoft Graph, and the Microsoft 365 admin centers.

Notes

Seules les fonctionnalités décrites dans cette section sont disponibles dans le centre d’administration Microsoft 365.Only the features described in this section are available in the Microsoft 365 admin center. Les rôles Azure AD limités à une unité administrative ne peuvent pas bénéficier des fonctionnalités définies au niveau de l’organisation.No organization-level features are available for an Azure AD role with administrative unit scope.

Les sections suivantes abordent la prise en charge des scénarios d’unité administrative.The following sections describe current support for administrative unit scenarios.

Gestion des unités administrativesAdministrative unit management

AutorisationsPermissions Graph/PowerShellGraph/PowerShell Portail Azure ADAzure AD portal Centre d’administration Microsoft 365Microsoft 365 admin center
Création et suppression des unités administrativesCreating and deleting administrative units Prise en chargeSupported Prise en chargeSupported Non pris en chargeNot supported
Ajout et suppression de membres individuels d’une unité administrativeAdding and removing administrative unit members individually Prise en chargeSupported Prise en chargeSupported Non pris en chargeNot supported
Ajout et suppression en bloc de membres d’unité administrative avec des fichiers CSVAdding and removing administrative unit members in bulk by using CSV files Non pris en chargeNot supported Prise en chargeSupported Pas de prise en charge prévueNo plan to support
Affectation d’administrateurs limités à une unité administrativeAssigning administrative unit-scoped administrators Prise en chargeSupported Prise en chargeSupported Non pris en chargeNot supported
Ajout et suppression de manière dynamique de membres d’unité administrative en fonction d’attributsAdding and removing administrative unit members dynamically based on attributes Non pris en chargeNot supported Non pris en chargeNot supported Non pris en chargeNot supported

User ManagementUser management

AutorisationsPermissions Graph/PowerShellGraph/PowerShell Portail Azure ADAzure AD portal Centre d’administration Microsoft 365Microsoft 365 admin center
Gestion limitée à une unité administrative des propriétés, des mots de passe et des licences utilisateurAdministrative unit-scoped management of user properties, passwords, and licenses Prise en chargeSupported Prise en chargeSupported Prise en chargeSupported
Blocage et déblocage des connexions utilisateur limités à une unité administrativeAdministrative unit-scoped blocking and unblocking of user sign-ins Prise en chargeSupported Prise en chargeSupported Prise en chargeSupported
Gestion limitée à une unité administrative des informations d’identification d’authentification multifacteur des utilisateursAdministrative unit-scoped management of user multifactor authentication credentials Prise en chargeSupported Prise en chargeSupported Non pris en chargeNot supported

Gestion des groupesGroup management

AutorisationsPermissions Graph/PowerShellGraph/PowerShell Portail Azure ADAzure AD portal Centre d’administration Microsoft 365Microsoft 365 admin center
Gestion limitée à une unité administrative des propriétés et des membres des groupesAdministrative unit-scoped management of group properties and members Prise en chargeSupported Prise en chargeSupported Non pris en chargeNot supported
Gestion limitée à une unité administrative des licences de groupeAdministrative unit-scoped management of group licensing Prise en chargeSupported Prise en chargeSupported Non pris en chargeNot supported

Les unités administratives appliquent l’étendue seulement aux autorisations de gestion.Administrative units apply scope only to management permissions. Elles n’empêchent pas les membres ni les administrateurs d’utiliser leurs autorisations utilisateur par défaut pour parcourir d’autres utilisateurs, groupes ou ressources en dehors de l’unité administrative.They don't prevent members or administrators from using their default user permissions to browse other users, groups, or resources outside the administrative unit. Dans le centre d’administration Microsoft 365, les utilisateurs en dehors des unités administratives d’un administrateur limité sont filtrés. Toutefois, vous pouvez parcourir d’autres utilisateurs dans le portail Azure AD, PowerShell et d’autres services Microsoft.In the Microsoft 365 admin center, users outside a scoped admin's administrative units are filtered out. But you can browse other users in the Azure AD portal, PowerShell, and other Microsoft services.

Étapes suivantesNext steps