Unités administratives dans Microsoft Entra ID

Cet article décrit les unités administratives dans Microsoft Entra ID. Une unité administrative est une ressource Microsoft Entra qui peut être un conteneur pour d’autres ressources Microsoft Entra. Une unité administrative peut contenir seulement des utilisateurs, des groupes ou des appareils.

Les unités administratives limitent les autorisations d’un rôle en fonction du service auquel il appartient au sein de l’organisation. Par exemple, vous pouvez utiliser des unités administratives pour déléguer le rôle Administrateur du support technique aux spécialistes du support régional, pour qu’ils ne puissent s’occuper que des utilisateurs situés dans la région dont ils ont la charge. Notez que si vous attribuez un rôle à un utilisateur qui n’est pas membre d’une unité administrative, l’étendue du rôle est l’intégralité du locataire.

Les utilisateurs peuvent être membres de plusieurs unités administratives. Par exemple, vous pouvez ajouter des utilisateurs à des unités administratives par zone géographique et service. Megan Bowen peut être dans les unités administratives « Seattle » et « Marketing ».

Scénario de déploiement

Il peut être utile de restreindre l’étendue d’administration à l’aide d’unités administratives dans les organisations qui sont composées de divisions indépendantes de tout type. Prenons l’exemple d’une grande université qui se compose de nombreuses écoles autonomes (école de commerce, école d’ingénieurs, etc.). Chaque école a une équipe d’administrateurs informatiques qui contrôlent les accès, gèrent les utilisateurs et définissent les stratégies pour leur école.

Un administrateur central peut :

  • Créer une unité administrative pour l’école de commerce.
  • Remplissez l’unité administrative avec uniquement les élèves et le personnel de l’école de commerce.
  • Créer un rôle avec des autorisations d’administration seulement sur les utilisateurs Microsoft Entra de l’unité administrative de l’école de commerce.
  • Ajoutez l’équipe informatique de l’école de commerce au rôle, ainsi que son étendue.

Capture d’écran de la page Appareils et unités administratives avec l’option Supprimer de l’unité administrative.

Contraintes

Voici quelques-unes des contraintes pour les unités administratives.

  • Les unités administratives ne peuvent pas être imbriquées.
  • Les unités administratives ne sont actuellement pas disponibles dans Microsoft Entra ID Governance.

Groupes

L’ajout d’un groupe à une unité administrative place le groupe lui-même dans l’étendue de gestion de l’unité administrative, mais pas les membres du groupe. En d’autres termes, un administrateur limité à l’unité administrative peut gérer les propriétés du groupe, telles que le nom ou l’appartenance au groupe, mais il ne peut pas gérer les propriétés des utilisateurs ou des appareils au sein de ce groupe (sauf si ces utilisateurs et appareils sont ajoutés séparément en tant que membres de l’unité administrative).

Par exemple, un Administrateur d’utilisateurs limité à une unité administrative qui contient un groupe peut et ne peut pas effectuer les opérations suivantes :

Autorisations Peut
Gérer le nom du groupe
Gérer l’appartenance au groupe
Gérer les propriétés de l’utilisateur pour les membres individuels du groupe
Gérer les méthodes d’authentification utilisateur des membres individuels du groupe
Réinitialiser les mots de passe des membres individuels du groupe

Pour que l’Administrateur d’utilisateurs puisse gérer les propriétés des utilisateurs ou les méthodes d’authentification utilisateur des membres individuels du groupe, les membres du groupe (utilisateurs) doivent être ajoutés directement en tant que membres de l’unité administrative.

Conditions de licence :

L’utilisation d’unités administratives nécessite une licence Microsoft Entra ID Premium P1 pour chaque administrateur d’une unité administrative auquel sont attribués des rôles d’annuaire sur l’étendue de l’unité administrative et une licence Microsoft Entra ID Free pour chaque membre d’une unité administrative. La création d’unités administratives est disponible avec une licence Microsoft Entra ID Gratuite. Si vous utilisez des règles pour les groupes d’appartenance dynamique pour les unités administratives, chaque membre de l’unité administrative requiert une licence Microsoft Entra ID P1. Pour trouver la licence appropriée à vos besoins, consultez Comparaison des fonctionnalités mises à la disposition générale des éditions Gratuite et Premium.

Gestion des unités administratives

Vous pouvez gérer les unités administratives en utilisant le centre d'administration Microsoft Entra, les cmdlets et les scripts PowerShell, ou l'API Microsoft Graph. Pour en savoir plus, consultez :

Planifier vos unités administratives

Vous pouvez utiliser les unités administratives pour regrouper logiquement des ressources Microsoft Entra. Une organisation dont les membres du service informatique sont répartis dans le monde entier peut créer des unités administratives pour définir des limites géographiques. Autre scénario : dans le cas d’une organisation multinationale composée de plusieurs sous-organisations fonctionnant de manière semi-autonome, une unité administrative peut représenter chacune de ces sous-organisations.

Les critères de création des unités administratives dépendent des exigences spécifiques d’une organisation. Les unités administratives constituent une façon courante de définir la structure des services Microsoft 365. Nous vous recommandons de préparer vos unités administratives en pensant à leur utilisation dans les services Microsoft 365. Vous pouvez tirer le meilleur parti des unités administratives quand vous pouvez associer des ressources communes à Microsoft 365 sous une unité administrative.

Vous pouvez vous attendre à ce que la création d’unités administratives au sein de l’organisation passe par les étapes suivantes :

  1. Adoption initiale : votre organisation va commencer à créer des unités administratives en fonction de critères initiaux et le nombre d’unités administratives va augmenter à mesure que les critères sont affinés.
  2. Nettoyage : Une fois que les critères sont définis, les unités administratives qui ne sont plus nécessaires sont supprimées.
  3. Stabilisation : La structure organisationnelle est définie et le nombre d’unités administratives ne va pas changer de façon significative à court terme.

Scénarios actuellement pris en charge

En tant qu’Administrateur de rôle privilégié, vous pouvez utiliser le centre d’administration Microsoft Entra pour :

  • Créer des unités administratives
  • Ajouter des utilisateurs, des groupes ou des appareils comme membres d’unités administratives
  • Gérer les utilisateurs ou les appareils d’une unité administrative avec des règles pour les groupes d’appartenance dynamique
  • Attribuer au personnel informatique des rôles d’administrateur avec étendue à une unité administrative.

Ces administrateurs peuvent ensuite utiliser le centre d’administration Microsoft 365 pour la gestion de base des utilisateurs au sein de leur unité administrative. Un administrateur de groupe limité à une unité administrative peut gérer les groupes à l’aide de PowerShell, de Microsoft Graph et du centre d’administration Microsoft 365.

Les unités administratives appliquent l’étendue seulement aux autorisations de gestion. Elles n’empêchent pas les membres ni les administrateurs d’utiliser leurs autorisations utilisateur par défaut pour parcourir d’autres utilisateurs, groupes ou ressources en dehors de l’unité administrative. Dans le centre d’administration Microsoft 365, les utilisateurs en dehors des unités administratives d’un administrateur à étendue limitée sont filtrés. Toutefois, vous pouvez parcourir d’autres utilisateurs dans le centre d’administration Microsoft Entra, PowerShell et d’autres services Microsoft.

Remarque

Seules les fonctionnalités décrites dans cette section sont disponibles dans le centre d’administration Microsoft 365. Les rôles Microsoft Entra limités à une unité administrative ne peuvent pas bénéficier des fonctionnalités définies au niveau de l’organisation.

Les sections suivantes abordent la prise en charge des scénarios d’unité administrative.

Gestion des unités administratives

Autorisations Microsoft Graph/PowerShell Centre d'administration Microsoft Entra Centre d’administration Microsoft 365
Créer ou supprimer des unités administratives
Ajouter ou supprimer des membres
Affecter des administrateurs à l’échelle de l’unité administrative
Ajouter ou supprimer dynamiquement des utilisateurs ou des appareils en fonction des règles
Ajouter ou supprimer des groupes de manière dynamique en fonction des règles

User Management

Autorisations Microsoft Graph/PowerShell Centre d'administration Microsoft Entra Centre d’administration Microsoft 365
Gestion à l’échelle de l’unité administrative des propriétés utilisateur, des mots de passe
Gestion à l’échelle de l’unité administrative des licences utilisateur
Blocage et déblocage à l’échelle de l’unité administrative des connexions utilisateur
Gestion limitée à une unité administrative des informations d’identification d’authentification multifacteur des utilisateurs

Gestion des groupes

Autorisations Microsoft Graph/PowerShell Centre d'administration Microsoft Entra Centre d’administration Microsoft 365
Création et suppression de groupes délimitées aux unités administratives
Gestion limitée à une unité administrative des propriétés et de l’appartenance des groupes pour les groupes Microsoft 365
Gestion limitée à une unité administrative des propriétés et de l’appartenance des groupes pour tous les autres groupes
Gestion de l’unité administrative avec étendue des licences de groupe

Gestion des périphériques

Autorisations Microsoft Graph/PowerShell Centre d'administration Microsoft Entra Centre d’administration Microsoft 365
Activer, désactiver ou supprimer des appareils
Lecture des clés de récupération BitLocker

La gestion des appareils dans Intune n’est pas prise en charge pour le moment.

Étapes suivantes