Le Blog Technique

Azure – déléguer les Administrative Units

par Florian Buguet | 4 Sep 2022 | Azure AD

Une présentation des Administrative Units (AU) a été réalisée dans l’article suivant : Azure – présentation des Administrative Units

Créer et déléguer une Administrative Unit

Lorsqu’une Administrative Unit est en phase de création, il est proposé de réaliser la délégation via Privileged Identity Management (PIM).

Création d’une Administrative Unit

Choix du nom de la nouvelle AU

En bas de la blade choisir Next: Assign roles >

Affecter les rôles qui doivent être délégués à des utilisateurs.

Remarque : il n’est pas possible d’affecter des groupes depuis cette blade, néanmoins il est possible de le faire après que l’AU soit créé en l’éditant.

Dans l’exemple suivant, le rôle User Administrator sera affecté

Une fois l’affectation faite, finir la création en cliquant sur Next: Review + create >

Puis Create

L’Administrative Unit créé est alors affiché

Déléguer une Administrative Unit à un groupe

Cliquer sur le nom de l’AU précédemment créée, puis sous Manage choisir la blade Roles and administrators et clique sur le rôle a délégué

La blade affichée n’est plus la même que lors de la création de l’AU, c’est la blade de délégation PIM qui s’affiche. Cliquer sur Active assignments puis Add assignments

Cliquer sur No member selected et choisir le groupe à déléguer

Cliquer sur Next

Choisir le mode d’affectation, il est recommandé de choisir un Assignment type Active avec une durée d’affectation Permanently assigned étant donné que les AU sont déjà restreintes en termes de périmètre et des opérations disponibles.

Clique sur Assign

Les affectations sont visibles depuis le sous-menu PIM précédémment évoqué

Les délégations des Administrative Units les plus utiles en septembre 2022

Besoin	Rôle
Réinitialisation de mot de passe	Helpdesk administrator (ne permet pas de reset des mots de passes de comptes à privilèges) ou Password administrator
Edition d’utilisateur	User administrator
Gestion des methodes d’authentifications utilisateurs (MFA/SSPR)	Authentication Administrator (confére également les droits User administrator)
Gestion des groupes	Groups administrator
Gestion des ordinateurs	Cloud device administrator
Gestion des équipements Teams	Teams devices administrator

Remarque : il n’est pas possible de créer des utilisateurs directement depuis une AU

Remarque 2 : les autres rôles donnent soient trop de permissions et ne sont pas conseillés, car proche des droits sur tout le tenant soit n’ont aucune répercussion de délégation.

Pour aller plus loin

Sur le même blog : PowerShell – créer et déléguer des Administrative Units

Azure – présentation des Administrative Units

par Florian Buguet | 3 Sep 2022 | Azure AD

Les Administratives Unites (AU) sont similaires aux Organisational Units dans l’Active Directory OnPremises. Ce sont des containers logiques qui permettent de grouper des utilisateurs, des ordinateurs ou des groupes. L’affectation de ces objets peut être faie de 3 manières différentes : assigned, dynamic user et dynamic device. Les Administrative Units sont encore en cours de développement, mais quelques fonctionalités sont d’ores et déjà disponibles.

Les prérequis des Administrative Units

Une licence Azure AD Premium P1 est requise pour chaque utilisateur qui administre une AU.
Une licence Azure AD Free est nécessaire pour chaque membre d’une AU.

Dans le cas où une règle d’inclusion dynamique serait utilisée, chaque membre de l’ADU doit avoir une licence Azure AD Premium P1.

Pour pouvoir crééer, modifier ou supprimer des AU, il est nécessaire d’avoir soit le rôle Azure Global Administrator soit Privileged Role Administrator.

Accéder aux Administrative Units

Les Administrative Units peuvent être gérer via portal.azure.com > Azure Active Directory > Administrative Units

Depuis cette blade, il est possible de consulter la liste des Administrative Units déjà créés et de les ouvrir pour voir ce qu’elles contiennent. Il est également possible d’en créer de nouvelles avec le bouton Add.

Une fois dans une Administrative Units la blade Users est sélectionnée par défaut, l’ensemble des utilisateurs contenus dans l’AU sont listés au millieu de l’écran. Dans le menu Manage plusieurs blades sont disponibles

La blade Properties permet de choisir le nom de l’AU, sa description et la façon dont les objets sont provisionnés dans l’AU

Les blades Groups et Devices listent respectivement les groupes et les ordinateurs de l’AU.

La blade Roles and administrators permet d’affecter via PIM (Privileged Identity Management) des délégations sur l’AU.

Certains rôles, bien qu’ils puissent être affectés n’ont pas d’incidence sur les délégations des AU.

La blade Dynamic membership rules apparaît si l’affectation des objets à l’AU est dynamique, elle permet de choisir les règles d’inclusions des objets dans l’AU.

Pour aller plus loin

Sur le même blog : Azure – déléguer les Administrative Units

Sur le même blog : PowerShell – créer et déléguer des Administrative Units

Intune : configurer l’appartenance à un groupe d’utilisateurs locaux dans Endpoint Security

par Seifeddine Zaier | 27 Août 2022 | Intune

Des nouveaux paramètres sont disponibles pour configurer l’appartenance à un groupe d’utilisateurs locaux dans Intune Endpoint Security.

Les nouveaux paramètres sont dérivés du policy configuration service provider (CSP) LocalUsersAndGroups et sont fournis sous la forme d’un modèle intégré (built-in template) dans la section Account protection de Endpoint Security.

Auparavant, ces paramètres ne pouvaient être configurés que via un script PowerShell, des stratégies OMA-URI personnalisées ou une GPO.

Pour accéder à ces nouveaux paramètres, connectez-vous au Microsoft Endpoint Manager admin center et sélectionnez Endpoint security > Account protection. Sélectionnez Create Policy et choisissez Windows 10 and later comme plateforme et Local user group membership comme template.

Sources:

https://techcommunity.microsoft.com/t5/intune-customer-success/new-settings-available-to-configure-local-user-group-membership/ba-p/3093207

Toutes les astuces #tech des collaborateurs de PI Services.

Retrouvez les articles à la une

Azure – déléguer les Administrative Units

Créer et déléguer une Administrative Unit

Déléguer une Administrative Unit à un groupe

Les délégations des Administrative Units les plus utiles en septembre 2022

Pour aller plus loin

Azure – présentation des Administrative Units

Les prérequis des Administrative Units

Accéder aux Administrative Units

Pour aller plus loin

Intune : configurer l’appartenance à un groupe d’utilisateurs locaux dans Endpoint Security

Derniers articles

MECM (SCCM) : Script de maintenance WSUS pour changer wsyncmgr purge des mises à jour expirées de 7 jours à 0 jour

Powershell : Trouver la date de dernière connexion d’un utilisateur.

Script – API Vmware VCenter – Get VM infos

Powershell : Comparer une date manuellement saisie avec un format spécifique à la date du last logon d’un utilisateur dans Active Directory

SCCM – SQL Queries – Deployments,Assignments,Updates

Catégories

Archives

Auteurs/Autrices