Hichem Mabrouki

11 octobre 2022

Read this post in English

Déléguer la gestion des utilisateurs et des équipements dans Azure AD et Intune

Dans cet article, nous allons répondre à la question suivante : Comment déléguer la gestion des utilisateurs et des équipements à des administrateurs régionaux dans une organisation multi-régions ?

La première partie sera consacrée à la présentation de la notion d’« unité administrative » dans Azure Active Directory. Cette ressource permettra de déléguer les rôles d’administration des utilisateurs à l’équipe support régionale pour qu’elle gère uniquement les utilisateurs de sa région.

La seconde partie sera consacrée à la présentation de la notion RBAC et ”Scope Tag” dans Endpoint Management (Intune). Cette fonctionnalité permettra de déléguer la gestion des équipements aux supports IT régionaux. Ces derniers ne pourront gérer que les équipements de leur région.

Les unités administratives dans azure AD

Les unités administratives sont des conteneurs qui permettent de grouper des utilisateurs et des machines (PC, smartphone, ablette…). Ces objets peuvent être affectés dynamiquement ou manuellement dans ces conteneurs. Après affectation des objets, il faut choisir un rôle dans une liste prédéfinie et l’assigner à des administrateurs. Il est aussi possible de créer un rôle customisé et l’affecter à l’administrateur.

Unités administratives dans azure AD

Notre étude de cas est une organisation multinationale répartie sur plusieurs régions (France, Tokyo, USA, Australie).

Ci-dessous un exemple de création d’une unité administrative pour la région France.

1. Créer un utilisateur «USER-POC-Administrator » pour administrer les utilisateurs de l’AU (Administrative Unit) France

Création utilisateur USER POC Administrator

2. Dans le portail Azure AD : choisir « unité administrative » => ajouter.

Unité Administrative dans le portail Azure AD

Dans « Assign roles », choisir « User Administrator » et sélectionner l’utilisateur créé dans l’étape 1 :

Add administrative Unit

Enfin, cliquer sur créer.

Add Assignments

3. Pour affecter des utilisateurs dans l’unité administrative créée précédemment, cliquer sur « AU-AAD-France-Users » puis « utilisateurs » puis « ajouter membres » et choisir des utilisateurs ou des groupes.

Pour affecter des utilisateurs dynamiquement, il faut changer le type de l’unité administrative à dynamique, puis créer une règle d’affectation.

Dans administrative, cliquer sur « AU-AAD-France-Users » > propriétés > changer le type pour « dynamique user » :

Dynamique User dans AU AAD France Users

Pour sélectionner les utilisateurs de France qui ont la propriété pays == France, la règle dynamique est la suivante :

(user.country -contains "France")

Tout utilisateur qui a la propriété pays == France sera affecté dynamiquement à l’unité administrative « AU-AAD-France-Users ».

Les utilisateurs de l’AU « AU-AAD-France-Users » seront gérés par l’administrateur «USER-POC-Administrator ». Ce dernier aura toutes les permissions du rôle « User Administrator », à savoir : reset du mot de passe, changement des propriétés, affectation de licence, etc.

Les autres administrateurs régionaux peuvent visualiser les utilisateurs de l’AU « AU-AAD-France-Users », mais n’ont pas les droits d’administration. Pour cacher les utilisateurs aux autres administrateurs régionaux, il faut créer l’AU par code en utilisant Microsoft Graph. La propriété « visibility » contrôle si l’unité administrative et ses membres sont masqués ou publics. Lorsque la valeur est définie sur « HiddenMembership », seuls les membres de l’unité administrative peuvent répertorier d’autres membres de l’unité administrative.

Ci-dessous le code d’une fonction en Python pour créer une unité administrative avec l’option « HideMemebership » :

Création d'une unité administrative avec option HideMemebership

Endpoint Management (Intune) RBAC et Scope Tag

Dans Intune, on peut utiliser le contrôle d’accès basé sur les rôles (RBAC) et les balises d’étendue (scope tags) pour s’assurer que les bons administrateurs ont le bon accès et la bonne visibilité sur les objets qu’ils gèrent dans Intune. Les rôles déterminent les permissions d’un administrateur, alors que les balises étendues déterminent les objets qu’un administrateur peut voir.

Prenons l’exemple d’une organisation multi-régions. Chaque région a sa propre équipe de support IT pour la gestion des PC. On veut que les administrateurs de la région « France » aient le contrôle total sur les PC de la région France, à savoir :

Appliquer des mises à jour
Appliquer un profil de configuration
Auditer les PC selon une stratégie de conformité
Configurer Defender for Endpoint, Bitlocker, Windows Firewall
Redémarrer, scanner, inventorier

Pour répondre à ce besoin, voici les étapes à suivre :

Etape I : Dans Azure AD

Créer un groupe de sécurité et ajouter tous les PC de la région France via une affectation dynamique ou directe « GR-AAD-France-DeviceList » :

Création d'un groupe de sécurité avec affectation dynamique

Créer un groupe de sécurité pour les administrateurs des équipements de la région « France » « GR-AAD-France-Devices-Administrators » :

Création groupe de sécurité

Etape 2 : Dans Intune

Créer un scope tag pour le groupe « GR-AAD-France-DeviceList ». Dans le centre d’administration Intune è administration du tenant è Rôles è Scopes (Tags), créer « SC-INTUNE-France-DeviceList » :

Création d'un scope tag

Dans « Assignments », ajouter le groupe « GR-AAD-France-DeviceList » :

Ajouter le groupe dans Assignments

Créer un rôle Intune

Dans Rôle, cliquer sur ajouter :

Add Custom Role

Choisir la liste des permissions :

Liste des permissions

Dans Scope tags, choisir « SC-INTUNE-France-DeviceList » et cliquer sur « créer ».

Dans la liste des rôles, choisir le rôle créé précédemment et cliquer sur « Assignment » pour ajouter un nouvel assignment « ASS-INTUNE-France-Device-Administrator » :

Sélectionner le rôle créé sur Assignment

Dans l’onglet groupe d’admin, sélectionner le groupe « GR-AAD-France-Devices-Administrators » :

Onglet groupe admin

Dans Scope Groups, choisir « GR-AAD-France-DeviceList » :

Scope Groups

Enfin, dans Scope Tags, choisir le scope « SC-INTUNE-France-DeviceList » :

Scope tags

En se connectant avec un utilisateur appartenant au groupe « GR-AAD-France-Devices-Administrators » (exp : USER-POC-Administrator) sur le portail Intune et selon les permissions qui lui ont été accordées, l’utilisateur ne voit et ne gère que les PC appartenant au groupe « GR-AAD-France-DeviceList ».

Lors de la création d’une nouvelle stratégie de conformité, l’administrateur de la région « France » ne peut l’affecter qu’à son scope, « SC-INTUNE-France-DeviceList ».

Administrateur affectation scope

Vous souhaitez en savoir plus sur la sécurité dans le Cloud ? Nous vous invitons à consulter tous les articles de cette série inédite rédigée par nos experts :

Nos autres articles

Procédure pas à pas pour activer Windows LAPS avec Azure AD

Hichem Mabrouki

Cloud

7 septembre 2023

Windows LAPS (Local Administrator Password Solution) est une solution développée par Microsoft pour la gestion des mots de passe des...

Utiliser le service Event Grid dans un contexte privé pour prévenir les intrusions

Haythem Brigui

Software Development

9 mai 2023

L’intégration des systèmes est devenue une nécessité pour les entreprises modernes. Les solutions d’intégration telles qu’Azure Event Grid, un produit...

Accès sécurisé à l’interface utilisateur Swagger avec Azure Active Directory

Bilel Ben Amor

Cloud

3 novembre 2022

Dans cet article, nous allons aujourd’hui vous expliquer comment sécuriser l’accès aux interfaces Swagger pour les applications ASP.NET Core avec Azure Active Directory....