Administration d’un tenant Office 365/Microsoft 365
Depuis deux décennies, Active Directory permet de déléguer l’administration au moyen d’Unités d’Organisation (ou OU-Organizational Unit). Cette délégation permet de scinder les droits d’administrateur selon le besoin.
Cependant, côté Microsoft cloud, nombre d’administrateurs se posent la question suivante : Comment je peux segmenter l’administration de mes utilisateurs ?
Certaines solutions tierces existent sur le marché mais le coût des licences ainsi que le coût de mise en place/exploitation est souvent un frein à l’adoption de ces solutions.
Nativement, Exchange Online permet, au moyen des RBAC (Role Based Access Control) d’assurer un début de cloisonnement.
La gestion des utilisateurs et des licences dans Azure AD était adressée par les Unités d’administration (Administrative Units ou AU comme utilisé dans cet article). Le problème est que cette solution était en preview depuis de nombreuses années, ce qui impliquait que son utilisation en production était à proscrire. Cette situation engendrait un nombre important d’administrateurs globaux/administrateurs de licences/administrateurs d’utilisateurs, etc.
Au-delà de la multiplicité des administrateurs et du risque de sécurité, cela implique qu’une relation de confiance forte doit exister entre tous ses co-administrateurs.
Le cas le plus problématique étant un tenant qui accueille de multiple entités (entreprise internationale avec plusieurs filiales ou fusions d’entreprises dans un unique tenant).
Cependant, début octobre 2020, Microsoft a enfin annoncé sa disponibilité générale des Administrative Units après plusieurs années d’attente ! Cela implique que cette fonctionnalité est disponible sur tous les tenants et est pleinement supportée par les équipes de Microsoft !
Tour d’horizon technique complet de cette fonctionnalité tant attendue (informations en date d’octobre 2020).
Les AU ne peuvent contenir que des utilisateurs et groupes
Les objets utilisateurs et les objets groupes peuvent devenir membres des AU. Cependant, les appareils ne peuvent pas (encore) devenir membres des AU.
Lorsque vous ajoutez un groupe à l’AU, cela n’entraîne pas l’ajout de tous les membres du groupe. Les utilisateurs doivent être directement affectés à l’AU de manière individuel.
Prérequis de licence
L’utilisation des AU nécessite une licence Azure Active Directory Premium pour chaque administrateur d’AU.
Pour les membres des AU, une licence Azure Active Directory Free est suffisante (chaque utilisateur qui dispose d’une licence Office 365 dispose de facto d’une licence Azure AD Free)
Autorisations d’administrateurs
Tous les rôles d’administration ne sont pas encore disponibles. Actuellement, les rôles applicables aux AU sont :
- Administrateur d’utilisateurs : peut gérer tous les aspects des utilisateurs et groupes, notamment la réinitialisation des mots de passe pour les administrateurs limités.
- Administrateur d’authentification : a accès pour afficher, définir et réinitialiser les informations de méthode d’authentification pour tout utilisateur non administrateur.
- Administrateur de groupes : peut gérer tous les aspects des groupes et des paramètres de groupe comme les stratégies d’expiration et d’attribution de noms.
- Administrateur du support technique : peut réinitialiser les mots de passe pour les administrateurs de mot de passe et les utilisateurs non administrateurs.
- Administrateur de licence : possibilité d’attribuer, de supprimer et de mettre à jour des attributions de licence.
- Administrateur de mots de passe : peut réinitialiser les mots de passe pour les administrateurs de mot de passe et les utilisateurs non administrateurs.
La gestion au niveau d’Exchange Online, OneDrive, etc. n’est pas couvert par les AU.
Différence entre le portail Azure AD et le centre d’administration Microsoft 365
Les AU n’appliquent que les autorisations de gestion. Cela implique qu’un membre ou un administrateur d’AU peut très bien voir les autres utilisateurs, groupes ou ressources en dehors de son AU (via son rôle utilisateur Azure AD). Les administrateurs peuvent voir d’autres utilisateurs dans le portail Azure AD, PowerShell et d’autres services Microsoft.
Cependant, dans le centre d’administration Microsoft 365, les utilisateurs en dehors des AD d’un administrateur d’AU sont filtrés.
Création et gestion des AU
Les administrateurs globaux ou les administrateurs de rôles privilégiés peuvent utiliser le portail Azure AD pour créer des AU, ajouter des utilisateurs en tant que membres des AU, puis affecter le personnel informatique à des rôles d’administrateur dans l’AU. Les administrateurs à l’échelle de l’AU peuvent ensuite utiliser le centre d’administration Microsoft 365 pour la gestion de base des utilisateurs dans leur AU. Il est possible de positionner des droits d’administration sur plusieurs AU pour un même utilisateur.
Les actions suivantes ne peuvent être effectuées que depuis le portail Azure (https://portal.azure.com), portail Azure AD (https://aad.portal.azure.com) , Azure AD PowerShell ou Microsoft Graph :
- créer et supprimer des AU
- ajouter et supprimer des membres AU
- affecter des administrateurs
Pour l’heure le centre d’administration Microsoft 365 (https://admin.microsoft.com) ne peut pas être utilisé pour réaliser les actions de création/modifier/suppression des mais permet la gestion des utilisateurs/groupes et des actions héritées de son rôle.
D’un point de vue administrateur, il ne verra que les utilisateurs/groupes qu’il peut gérer ainsi que les actions possibles :
Aujourd’hui, il est possible affecter des groupes uniquement de façon individuelle à une AU. Lorsque vous utilisez le portail, PowerShell ou Microsoft Graph, vous devez effectuer un ajout par groupe. Il en va de même pour la suppression d’un groupe dans PowerShell et Microsoft Graph.
Toutefois, dans le portail Azure, vous pouvez supprimer l’appartenance AU pour plusieurs groupes.
Pas de gestion de la configuration MFA des utilisateurs dans un AU
La gestion des paramètres MFA des utilisateurs ne peut pas être géré par des administrateurs d’AD dans le centre d’administration Microsoft 365.
Pas d’AU dynamiques
Azure AD a le concept de groupes dynamiques, où des membres sont ajoutés à des groupes en fonction d’attributs du compte. Les AU ne permettent pas (encore) l’adhésion dynamique via ce mécanisme.
L’élévation des chemins de privilèges peut entraîner un comportement inattendu
Les administrateurs d’AU présentent un risque pour la sécurité des informations. Par conséquent, les chemins qui peuvent conduire à une élévation de privilèges pour ces comptes sont bloqués.
Par exemple, un administrateur d’un AU ne peut pas réinitialiser le mot de passe d’un utilisateur ayant un rôle à l’échelle de l’organisation.
Auteur : Bastien Perez
Administration d’un tenant Office 365/Microsoft 365
Depuis deux décennies, Active Directory permet de déléguer l’administration au moyen d’Unités d’Organisation (ou OU-Organizational Unit). Cette délégation permet de scinder les droits d’administrateur selon le besoin.
Cependant, côté Microsoft cloud, nombre d’administrateurs se posent la question suivante : Comment je peux segmenter l’administration de mes utilisateurs ?
Certaines solutions tierces existent sur le marché mais le coût des licences ainsi que le coût de mise en place/exploitation est souvent un frein à l’adoption de ces solutions.
Nativement, Exchange Online permet, au moyen des RBAC (Role Based Access Control) d’assurer un début de cloisonnement.
La gestion des utilisateurs et des licences dans Azure AD était adressée par les Unités d’administration (Administrative Units ou AU comme utilisé dans cet article). Le problème est que cette solution était en preview depuis de nombreuses années, ce qui impliquait que son utilisation en production était à proscrire. Cette situation engendrait un nombre important d’administrateurs globaux/administrateurs de licences/administrateurs d’utilisateurs, etc.
Au-delà de la multiplicité des administrateurs et du risque de sécurité, cela implique qu’une relation de confiance forte doit exister entre tous ses co-administrateurs.
Le cas le plus problématique étant un tenant qui accueille de multiple entités (entreprise internationale avec plusieurs filiales ou fusions d’entreprises dans un unique tenant).
Cependant, début octobre 2020, Microsoft a enfin annoncé sa disponibilité générale des Administrative Units après plusieurs années d’attente ! Cela implique que cette fonctionnalité est disponible sur tous les tenants et est pleinement supportée par les équipes de Microsoft !
Tour d’horizon technique complet de cette fonctionnalité tant attendue (informations en date d’octobre 2020).
Les AU ne peuvent contenir que des utilisateurs et groupes
Les objets utilisateurs et les objets groupes peuvent devenir membres des AU. Cependant, les appareils ne peuvent pas (encore) devenir membres des AU.
Lorsque vous ajoutez un groupe à l’AU, cela n’entraîne pas l’ajout de tous les membres du groupe. Les utilisateurs doivent être directement affectés à l’AU de manière individuel.
Prérequis de licence
L’utilisation des AU nécessite une licence Azure Active Directory Premium pour chaque administrateur d’AU.
Pour les membres des AU, une licence Azure Active Directory Free est suffisante (chaque utilisateur qui dispose d’une licence Office 365 dispose de facto d’une licence Azure AD Free)
Autorisations d’administrateurs
Tous les rôles d’administration ne sont pas encore disponibles. Actuellement, les rôles applicables aux AU sont :
- Administrateur d’utilisateurs : peut gérer tous les aspects des utilisateurs et groupes, notamment la réinitialisation des mots de passe pour les administrateurs limités.
- Administrateur d’authentification : a accès pour afficher, définir et réinitialiser les informations de méthode d’authentification pour tout utilisateur non administrateur.
- Administrateur de groupes : peut gérer tous les aspects des groupes et des paramètres de groupe comme les stratégies d’expiration et d’attribution de noms.
- Administrateur du support technique : peut réinitialiser les mots de passe pour les administrateurs de mot de passe et les utilisateurs non administrateurs.
- Administrateur de licence : possibilité d’attribuer, de supprimer et de mettre à jour des attributions de licence.
- Administrateur de mots de passe : peut réinitialiser les mots de passe pour les administrateurs de mot de passe et les utilisateurs non administrateurs.
La gestion au niveau d’Exchange Online, OneDrive, etc. n’est pas couvert par les AU.
Différence entre le portail Azure AD et le centre d’administration Microsoft 365
Les AU n’appliquent que les autorisations de gestion. Cela implique qu’un membre ou un administrateur d’AU peut très bien voir les autres utilisateurs, groupes ou ressources en dehors de son AU (via son rôle utilisateur Azure AD). Les administrateurs peuvent voir d’autres utilisateurs dans le portail Azure AD, PowerShell et d’autres services Microsoft.
Cependant, dans le centre d’administration Microsoft 365, les utilisateurs en dehors des AD d’un administrateur d’AU sont filtrés.
Création et gestion des AU
Les administrateurs globaux ou les administrateurs de rôles privilégiés peuvent utiliser le portail Azure AD pour créer des AU, ajouter des utilisateurs en tant que membres des AU, puis affecter le personnel informatique à des rôles d’administrateur dans l’AU. Les administrateurs à l’échelle de l’AU peuvent ensuite utiliser le centre d’administration Microsoft 365 pour la gestion de base des utilisateurs dans leur AU. Il est possible de positionner des droits d’administration sur plusieurs AU pour un même utilisateur.
Les actions suivantes ne peuvent être effectuées que depuis le portail Azure (https://portal.azure.com), portail Azure AD (https://aad.portal.azure.com) , Azure AD PowerShell ou Microsoft Graph :
- créer et supprimer des AU
- ajouter et supprimer des membres AU
- affecter des administrateurs
Pour l’heure le centre d’administration Microsoft 365 (https://admin.microsoft.com) ne peut pas être utilisé pour réaliser les actions de création/modifier/suppression des mais permet la gestion des utilisateurs/groupes et des actions héritées de son rôle.
D’un point de vue administrateur, il ne verra que les utilisateurs/groupes qu’il peut gérer ainsi que les actions possibles :
Aujourd’hui, il est possible affecter des groupes uniquement de façon individuelle à une AU. Lorsque vous utilisez le portail, PowerShell ou Microsoft Graph, vous devez effectuer un ajout par groupe. Il en va de même pour la suppression d’un groupe dans PowerShell et Microsoft Graph.
Toutefois, dans le portail Azure, vous pouvez supprimer l’appartenance AU pour plusieurs groupes.
Pas de gestion de la configuration MFA des utilisateurs dans un AU
La gestion des paramètres MFA des utilisateurs ne peut pas être géré par des administrateurs d’AD dans le centre d’administration Microsoft 365.
Pas d’AU dynamiques
Azure AD a le concept de groupes dynamiques, où des membres sont ajoutés à des groupes en fonction d’attributs du compte. Les AU ne permettent pas (encore) l’adhésion dynamique via ce mécanisme.
L’élévation des chemins de privilèges peut entraîner un comportement inattendu
Les administrateurs d’AU présentent un risque pour la sécurité des informations. Par conséquent, les chemins qui peuvent conduire à une élévation de privilèges pour ces comptes sont bloqués.
Par exemple, un administrateur d’un AU ne peut pas réinitialiser le mot de passe d’un utilisateur ayant un rôle à l’échelle de l’organisation.
Auteur : Bastien Perez