Une présentation des Administrative Units (AU) a été réalisée dans l'article suivant : Azure - présentation des Administrative Units
Créer et déléguer une Administrative Unit
Lorsqu'une Administrative Unit est en phase de création, il est proposé de réaliser la délégation via Privileged Identity Management (PIM).
Création d'une Administrative Unit
![](/image.axd?picture=/BUGUET Florian/Article_024/PIS_articles_024_01.PNG)
Choix du nom de la nouvelle AU
![](/image.axd?picture=/BUGUET Florian/Article_024/PIS_articles_024_02.PNG)
En bas de la blade choisir Next: Assign roles >
![](/image.axd?picture=/BUGUET Florian/Article_024/PIS_articles_024_03.PNG)
Affecter les rôles qui doivent être délégués à des utilisateurs.
Remarque : il n'est pas possible d'affecter des groupes depuis cette blade, néanmoins il est possible de le faire après que l'AU soit créé en l'éditant.
Dans l'exemple suivant, le rôle User Administrator sera affecté
![](/image.axd?picture=/BUGUET Florian/Article_024/PIS_articles_024_04.PNG)
Une fois l'affectation faite, finir la création en cliquant sur Next: Review + create >
![](/image.axd?picture=/BUGUET Florian/Article_024/PIS_articles_024_05.PNG)
Puis Create
![](/image.axd?picture=/BUGUET Florian/Article_024/PIS_articles_024_06.PNG)
![](/image.axd?picture=/BUGUET Florian/Article_024/PIS_articles_024_07.PNG)
L'Administrative Unit créé est alors affiché
![](/image.axd?picture=/BUGUET Florian/Article_024/PIS_articles_024_08.PNG)
Déléguer une Administrative Unit à un groupe
Cliquer sur le nom de l'AU précédemment créée, puis sous Manage choisir la blade Roles and administrators et clique sur le rôle a délégué
![](/image.axd?picture=/BUGUET Florian/Article_024/PIS_articles_024_09.PNG)
La blade affichée n'est plus la même que lors de la création de l'AU, c'est la blade de délégation PIM qui s'affiche. Cliquer sur Active assignments puis Add assignments
![](/image.axd?picture=/BUGUET Florian/Article_024/PIS_articles_024_10.PNG)
Cliquer sur No member selected et choisir le groupe à déléguer
![](/image.axd?picture=/BUGUET Florian/Article_024/PIS_articles_024_11.PNG)
Cliquer sur Next
![](/image.axd?picture=/BUGUET Florian/Article_024/PIS_articles_024_12.PNG)
Choisir le mode d'affectation, il est recommandé de choisir un Assignment type Active avec une durée d'affectation Permanently assigned étant donné que les AU sont déjà restreintes en termes de périmètre et des opérations disponibles.
![](/image.axd?picture=/BUGUET Florian/Article_024/PIS_articles_024_13.PNG)
Clique sur Assign
![](/image.axd?picture=/BUGUET Florian/Article_024/PIS_articles_024_14.PNG)
Les affectations sont visibles depuis le sous-menu PIM précédémment évoqué
![](/image.axd?picture=/BUGUET Florian/Article_024/PIS_articles_024_15.PNG)
Les délégations des Administrative Units les plus utiles en septembre 2022
Besoin |
Rôle |
Réinitialisation de mot de passe |
Helpdesk administrator (ne permet pas de reset des mots de passes de comptes à privilèges) ou Password administrator |
Edition d'utilisateur |
User administrator |
Gestion des methodes d'authentifications utilisateurs (MFA/SSPR) |
Authentication Administrator (confére également les droits User administrator) |
Gestion des groupes |
Groups administrator |
Gestion des ordinateurs |
Cloud device administrator |
Gestion des équipements Teams |
Teams devices administrator |
Remarque : il n'est pas possible de créer des utilisateurs directement depuis une AU
Remarque 2 : les autres rôles donnent soient trop de permissions et ne sont pas conseillés, car proche des droits sur tout le tenant soit n'ont aucune répercussion de délégation.
Pour aller plus loin
Sur le même blog : PowerShell - créer et déléguer des Administrative Units