Configurer la délégation à l’aide d’unités administratives

  • 7 minutes

Les unités administratives sont des ressources Microsoft Entra ID qui peuvent servir de conteneurs pour d'autres ressources Microsoft Entra. Une unité administrative peut contenir seulement des utilisateurs, des groupes et des appareils.

Les unités administratives limitent les autorisations d’un rôle en fonction du service auquel il appartient au sein de l’organisation. Par exemple, vous pouvez utiliser des unités administratives pour déléguer le rôle Administrateur du support technique aux spécialistes du support régional, pour qu’ils ne puissent s’occuper que des utilisateurs situés dans la région dont ils ont la charge. Vous pouvez gérer des unités administratives en utilisant le portail Azure, des applets de commande et des scripts PowerShell, ou Microsoft Graph.

Qu’est-ce qu’une unité administrative ?

Dans Microsoft Entra ID, dans un contexte mono-locataire, si vous attribuez à un utilisateur un rôle d’administrateur, il est désormais administrateur de chaque utilisateur du locataire. Pensez toujours au principe de sécurité du privilège minimal : c’est toujours la meilleure façon d’accorder des responsabilités d’administration. Les unités administratives sont des conteneurs créés pour résoudre ce problème dans Microsoft Entra ID. Si vous voulez qu’un administrateur d’utilisateurs puisse gérer seulement un ensemble spécifique d’utilisateurs et de groupes, disons gérer seulement les utilisateurs du département Recherche d’un hôpital, vous pouvez configurer une unité administrative. Au sein de cette unité administrative, vous ajoutez les utilisateurs et les groupes de l’équipe de recherche, vous ajoutez un utilisateur spécifique au rôle Administrateur d’utilisateurs au sein de l’unité administrative, puis vous le nommez Admin-for-research. Admin-for-research est en mesure de gérer les utilisateurs de l’unité administrative, mais pas sur l’ensemble du locataire, ce qui permet d’atteindre le principe du privilège minimum.

Quels sont les rôles d’administrateur disponibles pour une unité administrative ?

Vous pouvez avoir des utilisateurs dans les rôles suivants pour gérer votre unité administrative :

  • Administrateur d’authentification
  • Administrateur de groupes
  • Administrateur du support technique
  • Administrateur de licence
  • Administrateur de mots de passe
  • Administrateur d’utilisateurs

Notes

Si vous connaissez l’Active Directory local, cette fonctionnalité a été gérée en configurant des unités d’organisation (UO) dans votre annuaire et en ajoutant vos utilisateurs à l’UO.

Planifier vos unités administratives

Vous pouvez utiliser les unités administratives pour regrouper logiquement des ressources Microsoft Entra. Une organisation dont les membres du service informatique sont répartis dans le monde entier peut créer des unités administratives pour définir des limites géographiques. Autre scénario : dans le cas d’une organisation multinationale composée de plusieurs sous-organisations fonctionnant de manière semi-autonome, une unité administrative peut représenter chacune de ces sous-organisations.

Les critères de création des unités administratives dépendent des exigences spécifiques d’une organisation. Les unités administratives constituent une façon courante de définir la structure des services Microsoft 365. Nous vous recommandons de préparer vos unités administratives en pensant à leur utilisation dans les services Microsoft 365. Vous pouvez tirer le meilleur parti des unités administratives quand vous pouvez associer des ressources communes à Microsoft 365 sous une unité administrative.

Vous pouvez vous attendre à ce que la création d’unités administratives au sein de l’organisation passe par les étapes suivantes :

  1. Adoption initiale : votre organisation va commencer à créer des unités administratives en fonction de critères initiaux et le nombre d’unités administratives va augmenter à mesure que les critères sont affinés.
  2. Nettoyage : Une fois que les critères sont définis, les unités administratives qui ne sont plus nécessaires sont supprimées.
  3. Stabilisation : La structure organisationnelle est définie et le nombre d’unités administratives ne va pas changer de façon significative à court terme.

Déléguer l’administration dans Microsoft Entra ID

Croissance des organisations et complexité vont de pair. Une réponse courante est de réduire une partie de la charge de travail de gestion des accès avec des rôles d’administrateur Microsoft Entra. Vous pouvez attribuer le plus petit des privilèges aux utilisateurs afin qu’ils puissent accéder à leurs applications et effectuer leurs tâches. Même si vous n’affectez pas le rôle d’administrateur général à chaque propriétaire d’application, vous placez la gestion des applications sous la responsabilité des administrateurs généraux existants. De nombreuses raisons peuvent amener une organisation à opter pour une administration plus décentralisée.

Dans Microsoft Entra ID, vous pouvez déléguer les autorisations de création et de gestion d’applications en procédant ainsi :

  • Restriction des utilisateurs autorisés à créer des applications et à gérer les applications qu’ils créent. Par défaut dans Microsoft Entra ID, tous les utilisateurs peuvent inscrire des inscriptions d’application et gérer tous les aspects des applications qu’ils créent. Vous pouvez restreindre cela en octroyant cette autorisation seulement à des personnes sélectionnées.
  • Attribution d’un ou plusieurs propriétaires à une application. Une manière simple d'accorder à quelqu'un la capacité de gérer tous les aspects de la configuration de Microsoft Entra ID pour une application spécifique.
  • Attribution d’un rôle d’administrateur intégré qui autorise l’accès à la gestion de la configuration dans Microsoft Entra ID pour toutes les applications. La méthode recommandée consiste à accorder aux experts informatiques l'accès à la gestion des autorisations de configuration des applications sans leur accorder l'accès à la gestion d'autres parties de Microsoft Entra ID qui ne sont pas liées à la configuration des applications.
  • Créez un rôle personnalisé pour définir des autorisations spécifiques. Attribuez ensuite le rôle à un utilisateur pour affecter un propriétaire limité. Vous pouvez aussi affecter au niveau de l’étendue de l’annuaire - toutes les applications - en tant qu’administrateur limité.

Lors de l’octroi de l’accès, utilisez une des méthodes ci-dessus pour deux raisons. Tout d’abord, la délégation de la possibilité d’effectuer des tâches d’administration réduit la charge de l’administrateur général. Deuxièmement, l’utilisation d’autorisations limitées améliore votre position de sécurité et réduit le risque d’accès non autorisé.

Planifier la délégation

Le développement d’un modèle de délégation qui répond à vos besoins demande du travail. Le développement d’un modèle de délégation étant un processus de conception itératif, nous vous suggérons de suivre ces étapes :

  • Définir les rôles dont vous avez besoin
  • Déléguer l’administration des applications
  • Accorder la possibilité d’inscrire des applications
  • Déléguer l’appartenance des applications
  • Développer un plan de sécurité
  • Établir des comptes d’urgence
  • Sécuriser vos rôles d’administrateur
  • Rendre l’élévation de privilège temporaire

Définir des rôles

Déterminez les tâches Active Directory qui sont exécutées par les administrateurs et comment elles sont mappées aux rôles. Chaque tâche doit être évaluée du point de vue de la fréquence, de l’importance et de la difficulté. Ces critères sont des aspects vitaux de la définition de tâche, car ils déterminent si une autorisation doit être déléguée :

  • Les tâches que vous effectuez de façon routinière, qui présentent un risque limité et qui sont très faciles à effectuer sont d’excellents candidats à la délégation.
  • Les tâches que vous effectuez rarement mais qui présentent un risque potentiels pour l’organisation et nécessitent des niveaux élevés de compétences doivent faire l’objet d’une attention particulière avant d’être déléguées. Au lieu de cela, vous pouvez temporairement élever un compte au rôle requis ou réattribuer la tâche.

Déléguer l’administration des applications

La prolifération d’applications au sein de votre organisation peut restreindre votre modèle de délégation. S’il fait peser la gestion de l’accès aux applications sur l’administrateur général, sa surcharge est susceptible d’augmenter au fil du temps. Si vous avez accordé à des personnes le rôle Administrateur général pour des opérations telles que la configuration d’applications d’entreprise, vous pouvez désormais affecter ces opérations aux rôles les moins privilégiés suivants. Cette action permet d’améliorer votre situation de sécurité et de réduire le risque d’erreurs malheureuses. Les rôles d’administrateur d’application les plus privilégiés sont les suivants :

  • Le rôle Administrateur d’application, qui donne la possibilité de gérer toutes les applications dans l’annuaire, y compris les inscriptions, les paramètres d’authentification unique, la gestion des licences et les affectations d’utilisateurs et de groupes, les paramètres de proxy d’application et le consentement. Il n’accorde pas la possibilité de gérer l’accès conditionnel.
  • Le rôle Administrateur d’application cloud, qui accorde toutes les capacités de l’administrateur d’application, à ceci près qu’il n’accorde pas l’accès aux paramètres de proxy d’application (car il n’a aucune autorisation locale).

Déléguer l’inscription des applications

Par défaut, tous les utilisateurs peuvent créer des inscriptions d’application. Pour accorder de manière sélective la possibilité de créer des inscriptions d’application :

  • Définissez le paramètre Les utilisateurs peuvent inscrire des applications sur Non dans Paramètres utilisateur.
  • Affectez l’utilisateur au rôle Développeur d’applications.

Pour accorder de manière sélective la possibilité d’autoriser une application à accéder aux données :

  • Définissez Les utilisateurs peuvent donner leur consentement aux applications qui accèdent à des données d’entreprise en leur nom sur Non dans les Paramètres utilisateur sous Applications d’entreprise
  • Affectez l’utilisateur au rôle Développeur d’applications.

Quand un développeur d’applications crée une inscription d’application, il est automatiquement ajouté en tant que premier propriétaire.

Déléguer l’appartenance des applications

Pour affiner la délégation de l’accès aux applications, vous pouvez attribuer la propriété à des applications d’entreprise spécifiques. Vous améliorez la prise en charge existante de l’affectation des propriétaires d’inscription d’application. La propriété est affectée par application d’entreprise dans l’écran Applications d’entreprise. L’avantage est que les propriétaires peuvent gérer uniquement les applications d’entreprise qu’ils possèdent. Par exemple, vous pouvez affecter un propriétaire pour l’application Salesforce ; ce propriétaire peut ainsi gérer l’accès à Salesforce et sa configuration, à l’exclusion de toute autre application. Une application d’entreprise peut avoir de nombreux propriétaires, et un utilisateur peut être le propriétaire de nombreuses applications d’entreprise. Il existe deux rôles de propriétaire d’application :

  • Le rôle Propriétaire d’application d’entreprise accorde la possibilité de gérer les applications d’entreprise détenues par l’utilisateur, y compris les paramètres d’authentification unique, les affectations d’utilisateurs et de groupes, et l’ajout d’autres propriétaires. Il n’accorde pas la possibilité de gérer les paramètres de proxy d’application ou l’accès conditionnel.
  • Le rôle Propriétaire d’inscription d’application accorde la possibilité de gérer les inscriptions d’application pour l’application dont l’utilisateur est propriétaire, y compris le manifeste d’application et l’ajout d’autres propriétaires.

Développer un plan de sécurité

Microsoft Entra ID fournit un guide complet pour planifier et exécuter un plan de sécurité sur vos rôles d’administrateur Microsoft Entra, Sécurisation de l’accès privilégié pour les déploiements hybride et cloud.

Établir des comptes d’urgence

Pour conserver l’accès à votre magasin de gestion d’identité quand un problème survient, préparez des comptes d’accès d’urgence comme indiqué dans Créer des comptes d’administration de l’accès d’urgence.

Sécuriser vos rôles d’administrateur

Les attaquants qui prennent le contrôle de comptes privilégiés peuvent causer des dégâts considérables. Protégez donc toujours ces comptes en premier. Utilisez la fonctionnalité Paramètres de sécurité par défaut, disponible pour toutes les organisations Microsoft Entra. Les paramètres de sécurité par défaut appliquent l’authentification multifacteur sur les comptes Microsoft Entra privilégiés.