Unités administratives dans Azure Active Directory

Cet article décrit les unités administratives dans Azure Active Directory (Azure AD). Une unité administrative est une ressource Azure AD qui peut être un conteneur pour d’autres ressources Azure AD. Une unité administrative peut contenir seulement des utilisateurs, des groupes ou des appareils.

Les unités administratives limitent les autorisations d’un rôle en fonction du service auquel il appartient au sein de l’organisation. Par exemple, vous pouvez utiliser des unités administratives pour déléguer le rôle Administrateur du support technique aux spécialistes du support régional, pour qu’ils ne puissent s’occuper que des utilisateurs situés dans la région dont ils ont la charge.

Scénario de déploiement

Il peut être utile de restreindre l’étendue d’administration à l’aide d’unités administratives dans les organisations qui sont composées de divisions indépendantes de tout type. Prenons l’exemple d’une grande université qui se compose de nombreuses écoles autonomes (école de commerce, école d’ingénieurs, etc.). Chaque école a une équipe d’administrateurs informatiques qui contrôlent les accès, gèrent les utilisateurs et définissent les stratégies pour leur école.

Un administrateur central peut :

  • Créer une unité administrative pour l’école de commerce.
  • Remplissez l’unité administrative avec uniquement les élèves et le personnel de l’école de commerce.
  • Créer un rôle avec des autorisations d’administration seulement sur les utilisateurs Azure AD de l’unité administrative de l’école de commerce.
  • Ajouter l’équipe informatique de l’école de commerce au rôle avec son étendue.

Screenshot of Devices and Administrative units page with Remove from administrative unit option.

Conditions de licence :

L’utilisation d’unités administratives nécessite une licence Azure AD Premium P1 pour chaque administrateur d’une unité administrative et des licences Azure AD Free pour chaque membre des unités administratives. Si vous utilisez des règles d’appartenance dynamique pour les unités administratives, chaque membre de l’unité administrative requiert une licence Azure AD Premium P1. Pour trouver la licence appropriée à vos besoins, consultez Comparaison des fonctionnalités mises à la disposition générale des éditions Gratuite et Premium.

Gérer des unités administratives

Vous pouvez gérer des unités administratives en utilisant le portail Azure, des applets de commande et des scripts PowerShell, ou l’API Microsoft Graph. Pour plus d'informations, consultez les pages suivantes :

Planifier vos unités administratives

Vous pouvez utiliser les unités administratives pour regrouper logiquement des ressources Azure AD. Une organisation dont les membres du service informatique sont répartis dans le monde entier peut créer des unités administratives pour définir des limites géographiques. Autre scénario : dans le cas d’une organisation multinationale composée de plusieurs sous-organisations fonctionnant de manière semi-autonome, une unité administrative peut représenter chacune de ces sous-organisations.

Les critères de création des unités administratives dépendent des exigences spécifiques d’une organisation. Les unités administratives constituent une façon courante de définir la structure des services Microsoft 365. Nous vous recommandons de préparer vos unités administratives en pensant à leur utilisation dans les services Microsoft 365. Vous pouvez tirer le meilleur parti des unités administratives quand vous pouvez associer des ressources communes à Microsoft 365 sous une unité administrative.

Vous pouvez vous attendre à ce que la création d’unités administratives au sein de l’organisation passe par les étapes suivantes :

  1. Adoption initiale : votre organisation va commencer à créer des unités administratives en fonction de critères initiaux et le nombre d’unités administratives va augmenter à mesure que les critères sont affinés.
  2. Nettoyage : Une fois que les critères sont définis, les unités administratives qui ne sont plus nécessaires sont supprimées.
  3. Stabilisation : La structure organisationnelle est définie et le nombre d’unités administratives ne va pas changer de façon significative à court terme.

Scénarios actuellement pris en charge

Si vous êtes administrateur général ou administrateur avec rôle privilégié, vous pouvez utiliser le portail Azure pour :

  • Créer des unités administratives
  • Ajouter des utilisateurs, des groupes ou des appareils comme membres d’unités administratives
  • Gérer les utilisateurs ou les appareils d’une unité administrative avec des règles d’appartenance dynamique (préversion)
  • Attribuer au personnel informatique des rôles Administrateur limités à une unité administrative.

Ces administrateurs peuvent ensuite utiliser le centre d’administration Microsoft 365 pour la gestion de base des utilisateurs au sein de leur unité administrative. Un administrateur de groupe limité à une unité administrative peut gérer les groupes à l’aide de PowerShell, de Microsoft Graph et du centre d’administration Microsoft 365.

Les unités administratives appliquent l’étendue seulement aux autorisations de gestion. Elles n’empêchent pas les membres ni les administrateurs d’utiliser leurs autorisations utilisateur par défaut pour parcourir d’autres utilisateurs, groupes ou ressources en dehors de l’unité administrative. Dans le centre d’administration Microsoft 365, les utilisateurs en dehors des unités administratives d’un administrateur limité sont filtrés. Toutefois, vous pouvez parcourir d’autres utilisateurs dans le portail Azure, PowerShell et d’autres services Microsoft.

Notes

Seules les fonctionnalités décrites dans cette section sont disponibles dans le centre d’administration Microsoft 365. Les rôles Azure AD limités à une unité administrative ne peuvent pas bénéficier des fonctionnalités définies au niveau de l’organisation.

Les sections suivantes abordent la prise en charge des scénarios d’unité administrative.

Gestion des unités administratives

Autorisations Microsoft Graph/PowerShell Portail Azure Centre d’administration Microsoft 365
Créer ou supprimer des unités administratives ✔️ ✔️ ✔️
Ajouter ou supprimer des membres individuellement ✔️ ✔️ ✔️
Ajouter ou supprimer des membres en bloc ✔️ ✔️
Affectation d’administrateurs limités à une unité administrative ✔️ ✔️ ✔️
Ajouter ou supprimer des utilisateurs ou des appareils de manière dynamique en fonction des règles (préversion) ✔️ ✔️
Ajouter ou supprimer des groupes de manière dynamique en fonction des règles

User Management

Autorisations Microsoft Graph/PowerShell Portail Azure Centre d’administration Microsoft 365
Gestion limitée à une unité administrative des propriétés, des mots de passe et des licences utilisateur ✔️ ✔️ ✔️
Gestion limitée à une unité administrative des licences de utilisateur ✔️ ✔️ ✔️
Blocage et déblocage des connexions utilisateur limités à une unité administrative ✔️ ✔️ ✔️
Gestion limitée à une unité administrative des informations d’identification d’authentification multifacteur des utilisateurs ✔️ ✔️

Gestion des groupes

Autorisations Microsoft Graph/PowerShell Portail Azure Centre d’administration Microsoft 365
Création et suppression de groupes délimitées aux unités administratives ✔️ ✔️ ✔️
Gestion limitée à une unité administrative des propriétés et de l’appartenance des groupes ✔️ ✔️ ✔️
Gestion limitée à une unité administrative des licences de groupe ✔️ ✔️

Notes

L’ajout d’un groupe à une unité administrative n’accorde pas aux administrateurs de groupe étendu la possibilité de gérer les propriétés de chaque membre de ce groupe. Par exemple, un administrateur de groupe étendu peut gérer l’appartenance de groupe, mais il ne peut pas gérer les méthodes d’authentification des utilisateurs qui sont membres du groupe ajouté à une unité administrative. Pour gérer les méthodes d’authentification des utilisateurs qui sont membres du groupe ajouté à une unité administrative, les membres individuels du groupe doivent être directement ajoutés en tant qu’utilisateurs de l’unité administrative, et un rôle permettant de gérer les méthodes d’authentification des utilisateurs doit également être attribué à l’administrateur de groupe.

Gestion des appareils

Autorisations Microsoft Graph/PowerShell Portail Azure Centre d’administration Microsoft 365
Activer, désactiver ou supprimer des appareils ✔️ ✔️
Lire la clé de récupération BitLocker ✔️ ✔️

La gestion des appareils dans Intune n’est pas prise en charge pour le moment.

Contraintes

Voici quelques-unes des contraintes pour les unités administratives.

  • Les unités administratives ne peuvent pas être imbriquées.
  • Les administrateurs de comptes d’utilisateurs étendus par unité administrative ne peuvent ni créer ni supprimer d’utilisateurs.
  • Une attribution de rôle étendu ne s’applique pas aux membres des groupes ajoutés à une unité administrative, sauf si les membres du groupe sont directement ajoutés à l’unité administrative. Pour plus d’informations, consultez Ajouter des membres à une unité administrative.
  • Les unités administratives ne sont actuellement pas disponibles dans Azure Active Directory Identity Governance.

Étapes suivantes