Utiliser des groupes cloud pour gérer les attributions de rôles dans Azure Active Directory (préversion)Use cloud groups to manage role assignments in Azure Active Directory (preview)

Azure Active Directory (Azure AD) introduit une préversion publique dans laquelle vous pouvez attribuer un groupe cloud à des rôles intégrés Azure AD.Azure Active Directory (Azure AD) is introducing a public preview in which you can assign a cloud group to Azure AD built-in roles. Grâce à cette fonctionnalité, vous pouvez utiliser des groupes pour accorder un accès administrateur dans Azure AD avec le minimum d’effort de la part de vos administrateurs généraux et administrateurs de rôle privilégié.With this feature, you can use groups to grant admin access in Azure AD with minimal effort from your Global and Privileged role admins.

Examinez cet exemple : Contoso a recruté des personnes pour toutes les zones géographiques afin de gérer et réinitialiser les mots de passe des employés de son organisation Azure AD.Consider this example: Contoso has hired people across geographies to manage and reset passwords for employees in its Azure AD organization. Au lieu de demander à un Administrateur de rôle privilégié ou à un Administrateur général d’attribuer le rôle Administrateur de mot de passe à chaque personne individuellement, il peut créer un groupe Contoso_Helpdesk_Administrators et l’attribuer au rôle.Instead of asking a Privileged role admin or Global admin to assign the Helpdesk admin role to each person individually, they can create a Contoso_Helpdesk_Administrators group and assign it to the role. Lorsque des personnes rejoignent le groupe, elles se voient attribuer le rôle indirectement.When people join the group, they are assigned the role indirectly. Votre workflow de gouvernance actuel peut ensuite prendre en charge le processus d’approbation et l’audit de l’appartenance du groupe pour s’assurer que seuls les utilisateurs légitimes sont membres du groupe et donc affectés au rôle Administrateur de mot de passe.Your existing governance workflow can then take care of the approval process and auditing of the group’s membership to ensure that only legitimate users are members of the group and are thus assigned to the Helpdesk admin role.

Principe de la fonctionnalitéHow this feature works

Créez un nouveau groupe Microsoft 365 ou un groupe de sécurité dont la propriété « isAssignableToRole » a la valeur « true ».Create a new Microsoft 365 or security group with the ‘isAssignableToRole’ property set to ‘true’. Vous pouvez également activer cette propriété lors de la création d’un groupe dans le portail Azure en activant l’option Des rôles Azure AD peuvent être attribués au groupe.You could also enable this property when creating a group in the Azure portal by turning on Azure AD roles can be assigned to the group. Dans les deux cas, vous pouvez affecter le groupe à un ou plusieurs rôles Azure AD de la même façon que vous attribuez des rôles aux utilisateurs.Either way, you can then assign the group to one or more Azure AD roles in the same way as you assign roles to users. Un maximum de 200 groupes assignables à un rôle peuvent être créés dans une seule organisation (locataire) Azure AD.A maximum of 200 role-assignable groups can be created in a single Azure AD organization (tenant).

Si vous ne souhaitez pas que les membres du groupe disposent d’un accès permanent au rôle, vous pouvez utiliser Azure AD Privileged Identity Management.If you do not want members of the group to have standing access to the role, you can use Azure AD Privileged Identity Management. Assignez un groupe comme membre éligible d’un rôle Azure AD.Assign a group as an eligible member of an Azure AD role. Chaque membre du groupe peut alors faire activer son affectation pour le rôle auquel le groupe est assigné.Each member of the group is then eligible to have their assignment activated for the role that the group is assigned to. Il peut ensuite activer son attribution de rôle pour une durée déterminée.They can then activate their role assignment for a fixed time duration.

Notes

Vous devez disposer d’une version mise à jour de Privileged Identity Management pour être en mesure d’assigner un groupe à un rôle Azure AD via PIM.You must be on updated version of Privileged Identity Management to be able to assign a group to Azure AD role via PIM. Vous pourriez être sur une version antérieure de PIM parce que votre organisation Azure AD exploite l’API Privileged Identity Management.You could be on older version of PIM because your Azure AD organization leverages the Privileged Identity Management API. Veuillez contacter l’alias pim_preview@microsoft.com pour déplacer votre organisation et mettre à jour votre API.Please reach out to the alias pim_preview@microsoft.com to move your organization and update your API. Pour plus d’informations, consultez Fonctionnalités et rôles Azure AD dans PIM.Learn more at Azure AD roles and features in PIM.

Avantages de la création d’un groupe spécial pour l’attribution d’un rôleWhy we enforce creation of a special group for assigning it to a role

Si un rôle est attribué à un groupe, tout administrateur informatique qui peut gérer l’appartenance au groupe peut également gérer indirectement l’appartenance à ce rôle.If a group is assigned a role, any IT admin who can manage group membership could also indirectly manage the membership of that role. Par exemple, supposons qu’un groupe Contoso_User_Administrators est affecté au rôle Administrateur de compte d’utilisateur.For example, assume that a group Contoso_User_Administrators is assigned to User account admin role. Un Administrateur Exchange qui peut modifier l’appartenance au groupe peut s’ajouter au groupe Contoso_User_Administrators et devenir ainsi un Administrateur de compte d’utilisateur. Comme vous pouvez le voir, un administrateur peut élever ses privilèges d’une manière que vous n’aviez pas prévue.An Exchange admin who can modify group membership could add themselves to the Contoso_User_Administrators group and in that way become a User account admin. As you can see, an admin could elevate their privilege in a way you did not intend.

Azure AD vous permet de protéger un groupe affecté à un rôle à l’aide d’une nouvelle propriété appelée isAssignableToRole pour les groupes.Azure AD allows you to protect a group assigned to a role by using a new property called isAssignableToRole for groups. Seuls les groupes cloud dont la propriété isAssignableToRole a la valeur « true » au moment de la création peuvent être affectés à un rôle.Only cloud groups that had the isAssignableToRole property set to ‘true’ at creation time can be assigned to a role. Cette propriété est non modifiable ; une fois qu’un groupe a été créé avec cette propriété définie sur « true », il ne peut pas être modifié.This property is immutable; once a group is created with this property set to ‘true’, it can’t be changed. Vous ne pouvez pas définir la propriété sur un groupe existant.You can't set the property on an existing group. Nous avons conçu la manière dont les groupes sont affectés aux rôles afin d’éviter que ce genre de violation potentielle ne se produise :We designed how groups are assigned to roles to prevent that sort of potential breach from happening:

  • Seuls les Administrateurs généraux et les Administrateurs de rôle privilégié peuvent créer un groupe assignable à un rôle (avec la propriété « isAssignableToRole » activée).Only Global admins and Privileged role admins can create a role-assignable group (with the "isAssignableToRole" property enabled).
  • Il ne peut pas s’agir d’un groupe dynamique Azure AD ; autrement dit, il doit avoir le type d’appartenance « Assigned ».It can't be an Azure AD dynamic group; that is, it must have a membership type of "Assigned." L’alimentation automatisée de groupes dynamiques peut entraîner l’ajout d’un compte indésirable au groupe et don son affectation au rôle.Automated population of dynamic groups could lead to an unwanted account being added to the group and thus assigned to the role.
  • Par défaut, seuls les Administrateurs généraux et les Administrateurs de rôle privilégié peuvent gérer l’appartenance à un groupe assignable à un rôle, mais vous pouvez déléguer la gestion des groupes assignables à un rôle en leur ajoutant des propriétaires de groupe.By default, only Global admins and Privileged role admins can manage the membership of a role-assignable group, but you can delegate the management of role-assignable groups by adding group owners.
  • Pour empêcher une élévation des privilèges, les informations d’identification des membres et propriétaires d’un groupe assignable à un rôle ne peuvent être modifiées que par un Administrateur d’authentification privilégié ou un Administrateur général.To prevent elevation of privilege, the credentials of members and owners of a role-assignable group can be changed only by a Privileged Authentication administrator or a Global administrator.
  • Aucune imbrication.No nesting. Un groupe ne peut pas être ajouté en tant que membre d’un groupe assignable à un rôle.A group can't be added as a member of a role-assignable group.

LimitesLimitations

Les scénarios suivants ne sont pas pris en charge pour le moment :The following scenarios are not supported right now:

  • Attribuer des groupes cloud à des rôles personnalisés Azure ADAssign cloud groups to Azure AD custom roles
  • Attribuer des groupes cloud à des rôles Azure AD (intégrés ou personnalisés) sur une unité administrative ou une portée d’application.Assign cloud groups to Azure AD roles (built-in or custom) over an administrative unit or application scope.
  • Affecter des groupes locaux à des rôles Azure AD (intégrés ou personnalisés)Assign on-premises groups to Azure AD roles (built-in or custom)

Problèmes connusKnown issues

  • La fonctionnalité Activer le lancement intermédiaire pour la connexion utilisateur managée ne prend pas en charge l’affectation par le biais du groupe.The Enable staged rollout for managed user sign-in feature doesn't support assignment via group.
  • Clients titulaires d’une licence Azure AD P2 uniquement : n’affectez pas un groupe actif à un rôle à la fois par le biais d’Azure AD et de Privileged Identity Management (PIM).Azure AD P2 licensed customers only : Don't assign a group as Active to a role through both Azure AD and Privileged Identity Management (PIM). En particulier, n’affectez pas un rôle à un groupe assignable à un rôle lors de sa création et à l’aide de PIM plus tard.Specifically, don't assign a role to a role-assignable group when it's being created and assign a role to the group using PIM later. Cela entraînera des problèmes où les utilisateurs ne pourront pas voir leurs attributions de rôles actives dans PIM, ainsi que l’impossibilité de supprimer ces attributions PIM.This will lead to issues where users can’t see their active role assignments in the PIM as well as the inability to remove that PIM assignment. Les attributions éligibles ne sont pas visées dans ce scénario.Eligible assignments are not affected in this scenario. Si vous tentez d’effectuer cette affectation, vous pourriez constater des comportements inattendus, par exemple :If you do attempt to make this assignment, you might see unexpected behavior such as:
    • L’heure de fin de l’attribution de rôle peut s’afficher de manière incorrecte.End time for the role assignment might display incorrectly.
    • Dans le portail PIM, la rubrique Mes rôles ne peut afficher qu’une seule attribution de rôle, quel que soit le nombre de méthodes par lesquelles l’affectation est accordée (par le biais d’un ou de plusieurs groupes, directement ou non).In the PIM portal, My Roles can show only one role assignment regardless of how many methods by which the assignment is granted (through one or more groups and directly).
  • Clients titulaires d’une licence Azure AD P2 uniquement : même après avoir supprimé le groupe, celui-ci apparaît toujours comme membre éligible du rôle dans l’interface utilisateur PIM.Azure AD P2 licensed customers only Even after deleting the group, it is still shown an eligible member of the role in PIM UI. Fonctionnellement, il n’y a aucun problème ; il s’agit simplement d’un problème de cache dans le portail Azure.Functionally there's no problem; it's just a cache issue in the Azure portal.
  • Utilisez le nouveau Centre d'administration Exchange pour les attributions de rôles via l'appartenance de groupe.Use the new Exchange Admin Center for role assignments via group membership. L'ancien Centre d'administration Exchange ne prend pas encore en charge cette fonctionnalité.The old Exchange Admin Center doesn’t support this feature yet. Les cmdlets Exchange PowerShell fonctionnent normalement.Exchange PowerShell cmdlets will work as expected.
  • Le portail Azure Information Protection (le portail classique) ne reconnaît pas encore l’appartenance au rôle par le biais d’un groupe.Azure Information Protection Portal (the classic portal) doesn't recognize role membership via group yet. Vous pouvez migrer vers la plateforme unifiée d’étiquetage de confidentialité, puis utiliser le centre Security & Compliance d’Office 365 pour gérer les rôles à l’aide des affectations de groupe.You can migrate to the unified sensitivity labeling platform and then use the Office 365 Security & Compliance center to use group assignments to manage roles.

Nous travaillons à corriger ces problèmes.We are fixing these issues.

Plan de licence obligatoireRequired license plan

Pour utiliser cette fonctionnalité, vous devez disposer d’une licence Azure AD Premium P1 dans votre organisation Azure AD.Using this feature requires you to have an available Azure AD Premium P1 license in your Azure AD organization. Afin d’utiliser également Privileged Identity Management pour l’activation de rôle juste-à-temps, vous devez disposer d’une licence Azure AD Premium P2.To use also Privileged Identity Management for just-in-time role activation requires you to have an available Azure AD Premium P2 license. Pour trouver la licence appropriée à vos besoins, consultez Comparaison des fonctionnalités mises à la disposition générale des plans Gratuit et Premium.To find the right license for your requirements, see Comparing generally available features of the Free and Premium plans.

Étapes suivantesNext steps