Unités administratives dans Microsoft Entra ID
Cet article décrit les unités administratives dans Microsoft Entra ID. Une unité administrative est une ressource Microsoft Entra qui peut être un conteneur pour d’autres ressources Microsoft Entra. Une unité administrative peut contenir seulement des utilisateurs, des groupes ou des appareils.
Les unités administratives limitent les autorisations d’un rôle en fonction du service auquel il appartient au sein de l’organisation. Par exemple, vous pouvez utiliser des unités administratives pour déléguer le rôle Administrateur du support technique aux spécialistes du support régional, pour qu’ils ne puissent s’occuper que des utilisateurs situés dans la région dont ils ont la charge. Notez que si vous attribuez un rôle à un utilisateur qui n’est pas membre d’une unité administrative, l’étendue du rôle est l’intégralité du locataire.
Les utilisateurs peuvent être membres de plusieurs unités administratives. Par exemple, vous pouvez ajouter des utilisateurs à des unités administratives par zone géographique et service. Megan Bowen peut être dans les unités administratives « Seattle » et « Marketing ».
Scénario de déploiement
Il peut être utile de restreindre l’étendue d’administration à l’aide d’unités administratives dans les organisations qui sont composées de divisions indépendantes de tout type. Prenons l’exemple d’une grande université qui se compose de nombreuses écoles autonomes (école de commerce, école d’ingénieurs, etc.). Chaque école a une équipe d’administrateurs informatiques qui contrôlent les accès, gèrent les utilisateurs et définissent les stratégies pour leur école.
Un administrateur central peut :
- Créer une unité administrative pour l’école de commerce.
- Remplissez l’unité administrative avec uniquement les élèves et le personnel de l’école de commerce.
- Créer un rôle avec des autorisations d’administration seulement sur les utilisateurs Microsoft Entra de l’unité administrative de l’école de commerce.
- Ajoutez l’équipe informatique de l’école de commerce au rôle, ainsi que son étendue.
Contraintes
Voici quelques-unes des contraintes pour les unités administratives.
- Les unités administratives ne peuvent pas être imbriquées.
- Les unités administratives ne sont actuellement pas disponibles dans Microsoft Entra ID Governance.
Groupes
L’ajout d’un groupe à une unité administrative place le groupe lui-même dans l’étendue de gestion de l’unité administrative, mais pas les membres du groupe. En d’autres termes, un administrateur limité à l’unité administrative peut gérer les propriétés du groupe, telles que le nom ou l’appartenance au groupe, mais il ne peut pas gérer les propriétés des utilisateurs ou des appareils au sein de ce groupe (sauf si ces utilisateurs et appareils sont ajoutés séparément en tant que membres de l’unité administrative).
Par exemple, un Administrateur d’utilisateurs limité à une unité administrative qui contient un groupe peut et ne peut pas effectuer les opérations suivantes :
Autorisations | Peut |
---|---|
Gérer le nom du groupe | ✅ |
Gérer l’appartenance au groupe | ✅ |
Gérer les propriétés de l’utilisateur pour les membres individuels du groupe | ❌ |
Gérer les méthodes d’authentification utilisateur des membres individuels du groupe | ❌ |
Réinitialiser les mots de passe des membres individuels du groupe | ❌ |
Pour que l’Administrateur d’utilisateurs puisse gérer les propriétés des utilisateurs ou les méthodes d’authentification utilisateur des membres individuels du groupe, les membres du groupe (utilisateurs) doivent être ajoutés directement en tant que membres de l’unité administrative.
Conditions de licence :
L’utilisation d’unités administratives nécessite une licence Microsoft Entra ID Premium P1 pour chaque administrateur d’une unité administrative auquel sont attribués des rôles d’annuaire sur l’étendue de l’unité administrative et une licence Microsoft Entra ID Free pour chaque membre d’une unité administrative. La création d’unités administratives est disponible avec une licence Microsoft Entra ID Gratuite. Si vous utilisez des règles pour les groupes d’appartenance dynamique pour les unités administratives, chaque membre de l’unité administrative requiert une licence Microsoft Entra ID P1. Pour trouver la licence appropriée à vos besoins, consultez Comparaison des fonctionnalités mises à la disposition générale des éditions Gratuite et Premium.
Gestion des unités administratives
Vous pouvez gérer les unités administratives en utilisant le centre d'administration Microsoft Entra, les cmdlets et les scripts PowerShell, ou l'API Microsoft Graph. Pour en savoir plus, consultez :
- Créer ou supprimer des unités administratives
- Ajouter des utilisateurs, des groupes ou des appareils à une unité administrative
- Gérer les utilisateurs ou les appareils d’une unité administrative avec des règles pour les groupes d’appartenance dynamique
- Attribuer des rôles Microsoft Entra avec une étendue d’unité administrative
- Utiliser des unités administratives : explique comment utiliser les unités administratives avec PowerShell.
- Prise en charge des unités administratives par Graph : fournit une documentation détaillée sur Microsoft Graph pour les unités administratives.
Planifier vos unités administratives
Vous pouvez utiliser les unités administratives pour regrouper logiquement des ressources Microsoft Entra. Une organisation dont les membres du service informatique sont répartis dans le monde entier peut créer des unités administratives pour définir des limites géographiques. Autre scénario : dans le cas d’une organisation multinationale composée de plusieurs sous-organisations fonctionnant de manière semi-autonome, une unité administrative peut représenter chacune de ces sous-organisations.
Les critères de création des unités administratives dépendent des exigences spécifiques d’une organisation. Les unités administratives constituent une façon courante de définir la structure des services Microsoft 365. Nous vous recommandons de préparer vos unités administratives en pensant à leur utilisation dans les services Microsoft 365. Vous pouvez tirer le meilleur parti des unités administratives quand vous pouvez associer des ressources communes à Microsoft 365 sous une unité administrative.
Vous pouvez vous attendre à ce que la création d’unités administratives au sein de l’organisation passe par les étapes suivantes :
- Adoption initiale : votre organisation va commencer à créer des unités administratives en fonction de critères initiaux et le nombre d’unités administratives va augmenter à mesure que les critères sont affinés.
- Nettoyage : Une fois que les critères sont définis, les unités administratives qui ne sont plus nécessaires sont supprimées.
- Stabilisation : La structure organisationnelle est définie et le nombre d’unités administratives ne va pas changer de façon significative à court terme.
Scénarios actuellement pris en charge
En tant qu’Administrateur de rôle privilégié, vous pouvez utiliser le centre d’administration Microsoft Entra pour :
- Créer des unités administratives
- Ajouter des utilisateurs, des groupes ou des appareils comme membres d’unités administratives
- Gérer les utilisateurs ou les appareils d’une unité administrative avec des règles pour les groupes d’appartenance dynamique
- Attribuer au personnel informatique des rôles d’administrateur avec étendue à une unité administrative.
Ces administrateurs peuvent ensuite utiliser le centre d’administration Microsoft 365 pour la gestion de base des utilisateurs au sein de leur unité administrative. Un administrateur de groupe limité à une unité administrative peut gérer les groupes à l’aide de PowerShell, de Microsoft Graph et du centre d’administration Microsoft 365.
Les unités administratives appliquent l’étendue seulement aux autorisations de gestion. Elles n’empêchent pas les membres ni les administrateurs d’utiliser leurs autorisations utilisateur par défaut pour parcourir d’autres utilisateurs, groupes ou ressources en dehors de l’unité administrative. Dans le centre d’administration Microsoft 365, les utilisateurs en dehors des unités administratives d’un administrateur à étendue limitée sont filtrés. Toutefois, vous pouvez parcourir d’autres utilisateurs dans le centre d’administration Microsoft Entra, PowerShell et d’autres services Microsoft.
Remarque
Seules les fonctionnalités décrites dans cette section sont disponibles dans le centre d’administration Microsoft 365. Les rôles Microsoft Entra limités à une unité administrative ne peuvent pas bénéficier des fonctionnalités définies au niveau de l’organisation.
Les sections suivantes abordent la prise en charge des scénarios d’unité administrative.
Gestion des unités administratives
Autorisations | Microsoft Graph/PowerShell | Centre d'administration Microsoft Entra | Centre d’administration Microsoft 365 |
---|---|---|---|
Créer ou supprimer des unités administratives | ✅ | ✅ | ✅ |
Ajouter ou supprimer des membres | ✅ | ✅ | ✅ |
Affecter des administrateurs à l’échelle de l’unité administrative | ✅ | ✅ | ✅ |
Ajouter ou supprimer des utilisateurs ou des appareils de manière dynamique en fonction de règles | ✅ | ✅ | ❌ |
Ajouter ou supprimer des groupes de manière dynamique en fonction des règles | ❌ | ❌ | ❌ |
User Management
Autorisations | Microsoft Graph/PowerShell | Centre d'administration Microsoft Entra | Centre d’administration Microsoft 365 |
---|---|---|---|
Gestion à l’échelle de l’unité administrative des propriétés utilisateur, des mots de passe | ✅ | ✅ | ✅ |
Gestion à l’échelle de l’unité administrative des licences utilisateur | ✅ | ✅ | ✅ |
Blocage et déblocage à l’échelle de l’unité administrative des connexions utilisateur | ✅ | ✅ | ✅ |
Gestion limitée à une unité administrative des informations d’identification d’authentification multifacteur des utilisateurs | ✅ | ✅ | ❌ |
Gestion des groupes
Autorisations | Microsoft Graph/PowerShell | Centre d'administration Microsoft Entra | Centre d’administration Microsoft 365 |
---|---|---|---|
Création et suppression de groupes délimitées aux unités administratives | ✅ | ✅ | ✅ |
Gestion limitée à une unité administrative des propriétés et de l’appartenance des groupes pour les groupes Microsoft 365 | ✅ | ✅ | ✅ |
Gestion limitée à une unité administrative des propriétés et de l’appartenance des groupes pour tous les autres groupes | ✅ | ✅ | ❌ |
Gestion de l’unité administrative avec étendue des licences de groupe | ✅ | ✅ | ❌ |
Gestion des périphériques
Autorisations | Microsoft Graph/PowerShell | Centre d'administration Microsoft Entra | Centre d’administration Microsoft 365 |
---|---|---|---|
Activer, désactiver ou supprimer des appareils | ✅ | ✅ | ❌ |
Lecture des clés de récupération BitLocker | ✅ | ✅ | ❌ |
La gestion des appareils dans Intune n’est pas prise en charge pour le moment.