Configurer la stratégie d’expiration pour les groupes Microsoft 365

Cet article vous explique comment gérer le cycle de vie des groupes Microsoft 365 en définissant une stratégie d’expiration. Vous pouvez définir une stratégie d'expiration uniquement pour les groupes Microsoft 365 dans Microsoft Entra ID.

Quand vous avez défini l’expiration d’un groupe :

  • Les groupes présentant des activités utilisateur sont automatiquement renouvelés à l’approche de l’expiration.
  • En l’absence de renouvellement automatique du groupe, ses propriétaires sont invités à le renouveler.
  • Les groupes non renouvelés sont supprimés.
  • Les groupes Microsoft 365 qui sont supprimés peuvent être restaurés dans les 30 jours qui suivent par les propriétaires des groupes ou par l’administrateur.

Actuellement, vous ne pouvez configurer qu’une seule stratégie d’expiration pour tous les groupes Microsoft 365 d’une organisation Microsoft Entra.

Remarque

La configuration et l'utilisation de la stratégie d'expiration pour les groupes Microsoft 365 nécessitent que vous possédiez, mais pas nécessairement, attribuez des licences Microsoft Entra ID P1 ou P2 pour les membres de tous les groupes auxquels la stratégie d'expiration est appliquée.

Pour plus d’informations sur le téléchargement et l’installation des applets de commande Microsoft Graph PowerShell, consultez Installer le Kit de développement logiciel (SDK) Microsoft Graph PowerShell.

Remarque

Les modules Azure AD et MSOnline PowerShell sont dépréciés depuis le 30 mars 2024. Pour en savoir plus, lisez les informations de dépréciation. Passé cette date, la prise en charge de ces modules est limitée à une assistance de migration vers le SDK et les correctifs de sécurité Microsoft Graph PowerShell. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour explorer les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Remarque : Les versions 1.0.x de MSOnline peuvent connaître une interruption après le 30 juin 2024.

Renouvellement automatique en fonction de l’activité

Grâce à l'intelligence Microsoft Entra, les groupes sont désormais automatiquement renouvelés en fonction de leur utilisation récente. Cette fonctionnalité élimine la nécessité d’une action manuelle par les propriétaires de groupes. Elle est basée sur l’activité des utilisateurs dans des services Microsoft 365 tels que Outlook, SharePoint, Teams, ou Yammer.

Par exemple, un propriétaire ou un membre de groupe peut agir comme suit :

  • Envoyez un e-mail au groupe dans Outlook.
  • Chargez un document dans SharePoint.
  • Visitez un canal Teams.
  • Affichez une publication dans Yammer.

Dans les scénarios précédents, le groupe est automatiquement renouvelé environ 35 jours avant son expiration et le propriétaire n’obtient aucune notification de renouvellement.

Par exemple, considérez une stratégie d’expiration définie pour qu’un groupe expire après 30 jours d’inactivité. Pour éviter d'envoyer un e-mail d'expiration le jour où l'expiration du groupe est activée (car il n'y a pas encore d'activité enregistrée), Microsoft Entra attend d'abord cinq jours. Ensuite :

  • Si une activité doit avoir lieu au cours de ces cinq jours, la stratégie d’expiration fonctionne comme prévu.
  • S’il n’y a pas d’activité dans les cinq jours, Microsoft Entra ID envoie un e-mail d’expiration ou de renouvellement.
  • Si le groupe a été inactif pendant cinq jours, qu’un e-mail a été envoyé, puis que le groupe a été actif, Microsoft Entra le renouvelera automatiquement et nous recommençera la période d’expiration.

Activités qui renouvellent automatiquement l’expiration du groupe

Les actions utilisateur suivantes entraînent le renouvellement automatique du groupe :

  • SharePoint : afficher, modifier, télécharger, déplacer, partager ou charger des fichiers.
  • Outlook : rejoindre un groupe, lire ou écrire un message de groupe sur l’espace de groupe, « aimer » un message (dans Outlook Web Access).
  • Teams : visitez un canal Teams.
  • Yammer : consulter une publication dans une communauté Yammer ou un e-mail interactif dans Outlook.

Audit et création de rapports

Les administrateurs peuvent obtenir une liste des groupes automatiquement renouvelés à partir des journaux d'audit d'activité dans Microsoft Entra ID.

Capture d’écran montrant le renouvellement automatique des groupes en fonction de l’activité.

Rôles et autorisations

Les rôles suivants peuvent configurer et utiliser l'expiration pour les groupes Microsoft 365 dans Microsoft Entra ID.

Rôle Autorisations
Administrateur de groupes ou Administrateur d’utilisateurs Peut créer, lire, mettre à jour ou supprimer les paramètres de stratégie d’expiration de groupes Microsoft 365
Peut renouveler n’importe quel groupe Microsoft 365
Utilisateur Peut renouveler un groupe Microsoft 365 dont il est propriétaire
Peut restaurer un groupe Microsoft 365 dont il est propriétaire
Peut lire les paramètres de stratégie d’expiration

Pour plus d'informations sur les autorisations permettant de restaurer un groupe supprimé, consultez Restaurer un groupe Microsoft 365 supprimé dans Microsoft Entra ID.

Définir l’expiration d’un groupe

  1. Connectez-vous au centre d'administration Microsoft Entra en tant qu'administrateur de groupes au moins.

  2. Sélectionnez Microsoft Entra ID.

  3. Sélectionnez Groupes>Tous les groupes, puis sélectionnez Expiration pour ouvrir les paramètres d'expiration.

    Capture d’écran montrant les paramètres d’expiration pour les groupes.

  4. Sur la page Expiration, vous pouvez :

    • Définir la durée de vie du groupe en jours. Vous pouvez sélectionner l’une des valeurs prédéfinies ou une valeur personnalisée. Il devrait s’agir de 30 jours ou plus.
    • Spécifiez une adresse e-mail à laquelle les notifications de renouvellement et d’expiration doivent être envoyées quand un groupe n’a pas de propriétaire.
    • Sélectionnez les groupes Microsoft 365 qui expirent. Vous pouvez définir l’expiration pour :
      • Tous les groupes Microsoft 365.
      • Groupes Microsoft 365 sélectionnés.
      • Aucun pour restreindre l’expiration de tous les groupes.
    • Enregistrer vos paramètres lorsque vous avez terminé en sélectionnant Enregistrer.

Notes

  • Lors de la première configuration de l’expiration, les groupes plus anciens que l’intervalle d’expiration bénéficient d’un délai de 35 jours avant expiration, à moins qu’ils soient renouvelés automatiquement ou renouvelés par le propriétaire.
  • Quand un groupe dynamique est supprimé et restauré, il est considéré comme un nouveau groupe et repeuplé conformément à la règle. Ce processus peut prendre jusqu’à 24 heures.
  • Les avis d’expiration pour les groupes utilisés dans Teams s’affichent dans le flux Propriétaires Teams.
  • Quand vous activez l’expiration pour les groupes sélectionnés, vous pouvez ajouter jusqu’à 500 groupes à la liste. Si vous devez ajouter plus de 500 groupes, vous pouvez activer l’expiration pour tous vos groupes. Dans ce scénario, la limitation de groupe à 500 ne s’applique pas.
  • Les groupes ne se renouvellent pas immédiatement durant des activités de renouvellement automatique. En cas d’activité, un indicateur est apposé au groupe pour indiquer qu’il est prêt pour le renouvellement, quand il arrive à expiration. Si le groupe est proche de expiration, le renouvellement survient dans les 24 heures.

Notifications par e-mail

Si les groupes ne sont pas renouvelés automatiquement, des notifications par e-mail comme celle-ci sont envoyées aux propriétaires de groupes Microsoft 365 30 jours, 15 jours et 1 jour avant l’expiration du groupe.

La langue de l'e-mail est déterminée par la langue par défaut du propriétaire du groupe ou par le paramètre de langue de Microsoft Entra. Si le propriétaire du groupe a défini une langue par défaut, ou si plusieurs propriétaires ont la même langue par défaut, alors cette langue est utilisée. Le paramètre de langue Microsoft Entra est utilisé dans tous les autres cas.

Capture d'écran montrant l’expiration de l'e-mail de notification.

Dans l’e-mail de notification Renouveler le groupe, les propriétaires de groupes peuvent accéder directement à la page d’informations du groupe dans le volet d’accès. Dans cette page, les utilisateurs peuvent obtenir plus d’informations sur le groupe, comme sa description, la date de son dernier renouvellement, de son expiration, ainsi que la possibilité de son renouvellement. Désormais, la page d’informations du groupe comprend également des liens vers les ressources de groupe Microsoft 365, pour que le propriétaire du groupe puisse visualiser facilement le contenu et les activités dans son groupe.

Important

En cas de problème avec les e-mails de notification, et s’ils ne sont pas envoyés ou qu’ils sont retardés, sachez que Microsoft ne supprimera jamais un groupe avant l’envoi du dernier e-mail.

Quand un groupe expire, il est supprimé un jour après la date d’expiration. Une notification par e-mail comme celle-ci est envoyée aux propriétaires de groupes Microsoft 365 pour les informer de l’expiration et de la suppression qui en découle de leur groupe Microsoft 365.

Capture d'écran montrant la suppression du groupe de l'e-mail de notification.

Vous pouvez restaurer le groupe dans les 30 jours suivant sa suppression en sélectionnant Restaurer le groupe ou à l’aide des cmdlets PowerShell. Pour plus d’informations, veuillez consulter Restaurer un groupe Microsoft 365 supprimé dans Microsoft Entra ID. La période de restauration de groupe de 30 jours n’est pas personnalisable.

Si le groupe que vous restaurez contient des documents, des sites SharePoint ou d’autres objets persistants, la restauration du groupe et de son contenu peut nécessiter jusqu’à 24 heures.

Récupérez la date d’expiration du groupe Microsoft 365

En plus d’utiliser le volet d’accès pour consulter les détails du groupe, tels que la date d’expiration et celle du dernier renouvellement, la date d’expiration d’un groupe Microsoft 365 peut être récupérée à partir de la version bêta de l’API REST Microsoft Graph. La propriété de groupe expirationDateTime est activée dans la version Beta dans Microsoft Graph. Vous pouvez le récupéré à l’aide d’une demande GET. Pour plus d’informations, consultez cet exemple.

Remarque

Pour gérer l’appartenance aux groupes via le volet d’accès, Restreindre l’accès aux groupes dans le volet d’accès doit être défini sur Non dans les paramètres généraux des groupes Microsoft Entra.

Quand un groupe expire et est supprimé, les données du groupe issues des applications comme Planner, Sites ou Teams sont supprimées définitivement au bout de 30 jours. La boîte aux lettres de groupe en conservation légale est conservée et n’est pas supprimée définitivement. L’administrateur peut utiliser les applets de commande Exchange pour restaurer la boîte aux lettres afin d’en extraire les données.

Expiration des groupes Microsoft 365 avec une stratégie de rétention

Vous pouvez configurer la stratégie de rétention dans le portail de sécurité de conformité. Ainsi, vous pouvez configurer une stratégie de rétention pour les groupes Microsoft 365. Quand un groupe expire et est supprimé, les conversations de groupe situées dans la boîte aux lettres de groupe et les fichiers situés dans le site de groupe sont conservés dans le conteneur de rétention pendant le nombre spécifique de jours défini dans la stratégie de rétention. Les utilisateurs ne verront pas le groupe ou son contenu après expiration. Ils peuvent récupérer les données de site et de la boîte aux lettres via la découverte électronique.

Exemples PowerShell

Voici des exemples de la façon dont vous pouvez utiliser les applets de commande PowerShell pour configurer les paramètres d’expiration des groupes Microsoft 365 dans votre organisation Microsoft Entra :

  1. Installez le module Microsoft Graph PowerShell et connectez-vous à l'invite PowerShell.

    Install-Module Microsoft.Graph -Scope CurrentUser
    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    
  2. Configurez les paramètres d’expiration. Utilisez l’applet de commande New-MgGroupLifecyclePolicy pour définir la durée de vie de tous les groupes Microsoft 365 de l'organisation Microsoft Entra sur 365 jours. Les notifications de renouvellement pour les groupes Microsoft 365 sans propriétaires sont envoyées à emailaddress@contoso.com.

    New-MgGroupLifecyclePolicy -AlternateNotificationEmails emailaddress@contoso.com `
       -GroupLifetimeInDays 365 -ManagedGroupTypes All
    
  3. Récupérez la stratégie existante à l’aide de Get-MgGroupLifecyclePolicy. cette cmdlet récupère les paramètres d’expiration actuels du groupe Microsoft 365 qui ont été configurés.

    Get-MgGroupLifecyclePolicy
    

    Dans cet exemple, vous pouvez voir ce qui suit :

    • L’ID de la stratégie.
    • Les notifications de renouvellement pour les groupes Microsoft 365 sans propriétaires sont envoyées à emailaddress@contoso.com.
    • La durée de vie de tous les groupes Microsoft 365 de l'organisation Microsoft Entra est définie sur 365 jours.
    Id                                   AlternateNotificationEmails GroupLifetimeInDays ManagedGroupTypes
    --                                   --------------------------- ------------------- -----------------
    1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5 emailaddress@contoso.com    365                 All
    
  4. Mettez à jour la stratégie existante à l’aide de Update-MgGroupLifecyclePolicy. cette applet de commande sert à mettre à jour une stratégie existante. Dans l’exemple ci-dessous, la durée de vie du groupe dans la stratégie existante est passée de 365 à 180 jours.

    Update-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5" -GroupLifetimeInDays 180 -AlternateNotificationEmails "emailaddress@contoso.com"
    
  5. Ajoutez des groupes spécifiques à la stratégie à l’aide de Add-MgGroupToLifecyclePolicy. cette applet de commande ajoute un groupe à la stratégie du cycle de vie. Par exemple :

    Add-MgGroupToLifecyclePolicy -GroupLifecyclePolicyId "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5" -GroupId "cffd97bd-6b91-4c4e-b553-6918a320211c"
    
  6. Supprimez la stratégie existante à l’aide de Remove-MgGroupLifecyclePolicy. cette applet de commande supprime les paramètres d’expiration du groupe Microsoft 365, mais nécessite l’ID de stratégie. Cette cmdlet désactive l’expiration des groupes Microsoft 365.

    Remove-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5"
    

Vous pouvez utiliser les cmdlets suivantes pour configurer la stratégie plus en détail. Pour plus d’informations, consultez la documentation sur Microsoft Graph PowerShell.

Étapes suivantes

Pour plus d’informations sur les groupes Microsoft Entra, consultez :