Accueil > Déléguer la gestion des utilisateurs et des équipements dans Azure AD et Intune
Hichem Mabrouki
11 octobre 2022
Read this post in English

Déléguer la gestion des utilisateurs et des équipements dans Azure AD et Intune

Déléguer la gestion des utilisateurs et des équipements dans Azure AD et Intune

Dans cet article, nous allons répondre à la question suivante : Comment déléguer la gestion des utilisateurs et des équipements à des administrateurs régionaux dans une organisation multi-régions ?

La première partie sera consacrée à la présentation de la notion d’« unité administrative » dans Azure Active Directory. Cette ressource permettra de déléguer les rôles d’administration des utilisateurs à l’équipe support régionale pour qu’elle gère uniquement les utilisateurs de sa région.

La seconde partie sera consacrée à la présentation de la notion RBAC et ”Scope Tag” dans Endpoint Management (Intune). Cette fonctionnalité permettra de déléguer la gestion des équipements aux supports IT régionaux. Ces derniers ne pourront gérer que les équipements de leur région.

 

Les unités administratives dans azure AD

 

Les unités administratives sont des conteneurs qui permettent de grouper des utilisateurs et des machines (PC, smartphone, ablette…). Ces objets peuvent être affectés dynamiquement ou manuellement dans ces conteneurs. Après affectation des objets, il faut choisir un rôle dans une liste prédéfinie et l’assigner à des administrateurs. Il est aussi possible de créer un rôle customisé et l’affecter à l’administrateur.

 

Unités administratives dans azure AD

 

Notre étude de cas est une organisation multinationale répartie sur plusieurs régions (France, Tokyo, USA, Australie).

Ci-dessous un exemple de création d’une unité administrative pour la région France.

1. Créer un utilisateur «USER-POC-Administrator » pour administrer les utilisateurs de l’AU (Administrative Unit) France

 

Création utilisateur USER POC Administrator

 

2. Dans le portail Azure AD : choisir « unité administrative » => ajouter.

 

Unité Administrative dans le portail Azure AD

 

Dans « Assign roles », choisir « User Administrator » et sélectionner l’utilisateur créé dans l’étape 1 :

 

Add administrative Unit

 

Enfin, cliquer sur créer.

 

Add Assignments

 

3. Pour affecter des utilisateurs dans l’unité administrative créée précédemment, cliquer sur « AU-AAD-France-Users » puis « utilisateurs » puis « ajouter membres » et choisir des utilisateurs ou des groupes.

Pour affecter des utilisateurs dynamiquement, il faut changer le type de l’unité administrative à dynamique, puis créer une règle d’affectation.

Dans administrative, cliquer sur « AU-AAD-France-Users » > propriétés > changer le type pour « dynamique user » :

 

Dynamique User dans AU AAD France Users

 

Pour sélectionner les utilisateurs de France qui ont la propriété pays == France, la règle dynamique est la suivante :

(user.country -contains "France")

Tout utilisateur qui a la propriété pays == France sera affecté dynamiquement à l’unité administrative « AU-AAD-France-Users ».

Les utilisateurs de l’AU « AU-AAD-France-Users » seront gérés par l’administrateur «USER-POC-Administrator ». Ce dernier aura toutes les permissions du rôle « User Administrator », à savoir : reset du mot de passe, changement des propriétés, affectation de licence, etc.

Les autres administrateurs régionaux peuvent visualiser les utilisateurs de l’AU « AU-AAD-France-Users », mais n’ont pas les droits d’administration. Pour cacher les utilisateurs aux autres administrateurs régionaux, il faut créer l’AU par code en utilisant Microsoft Graph. La propriété « visibility » contrôle si l’unité administrative et ses membres sont masqués ou publics. Lorsque la valeur est définie sur « HiddenMembership », seuls les membres de l’unité administrative peuvent répertorier d’autres membres de l’unité administrative.

Ci-dessous le code d’une fonction en Python pour créer une unité administrative avec l’option « HideMemebership » :

 

Création d'une unité administrative avec option HideMemebership

 

Formation Cybersecurite Microsoft SC100

 

 

Endpoint Management (Intune) RBAC et Scope Tag

 

Dans Intune, on peut utiliser le contrôle d’accès basé sur les rôles (RBAC) et les balises d’étendue (scope tags) pour s’assurer que les bons administrateurs ont le bon accès et la bonne visibilité sur les objets qu’ils gèrent dans Intune. Les rôles déterminent les permissions d’un administrateur, alors que les balises étendues déterminent les objets qu’un administrateur peut voir.

Prenons l’exemple d’une organisation multi-régions. Chaque région a sa propre équipe de support IT pour la gestion des PC. On veut que les administrateurs de la région « France » aient le contrôle total sur les PC de la région France, à savoir :

  • Appliquer des mises à jour
  • Appliquer un profil de configuration
  • Auditer les PC selon une stratégie de conformité
  • Configurer Defender for Endpoint, Bitlocker, Windows Firewall
  • Redémarrer, scanner, inventorier

Pour répondre à ce besoin, voici les étapes à suivre :

 

Etape I : Dans Azure AD

 

  • Créer un groupe de sécurité et ajouter tous les PC de la région France via une affectation dynamique ou directe « GR-AAD-France-DeviceList » :

 

Création d'un groupe de sécurité avec affectation dynamique

 

  • Créer un groupe de sécurité pour les administrateurs des équipements de la région « France » « GR-AAD-France-Devices-Administrators » :

 

Création groupe de sécurité

 

Etape 2 : Dans Intune

 

  • Créer un scope tag pour le groupe « GR-AAD-France-DeviceList ». Dans le centre d’administration Intune è administration du tenant è Rôles è Scopes (Tags), créer « SC-INTUNE-France-DeviceList » :

Création d'un scope tag

 

Dans « Assignments », ajouter le groupe « GR-AAD-France-DeviceList » :

 

Ajouter le groupe dans Assignments

 

  • Créer un rôle Intune

Dans Rôle, cliquer sur ajouter :

 

Add Custom Role

 

Choisir la liste des permissions :

 

Liste des permissions

 

Dans Scope tags, choisir « SC-INTUNE-France-DeviceList » et cliquer sur « créer ».

Dans la liste des rôles, choisir le rôle créé précédemment et cliquer sur « Assignment » pour ajouter un nouvel assignment « ASS-INTUNE-France-Device-Administrator » :

 

Sélectionner le rôle créé sur Assignment

 

Dans l’onglet groupe d’admin, sélectionner le groupe « GR-AAD-France-Devices-Administrators » :

 

Onglet groupe admin

 

Dans Scope Groups, choisir « GR-AAD-France-DeviceList » :

 

Scope Groups

 

Enfin, dans Scope Tags, choisir le scope « SC-INTUNE-France-DeviceList » :

 

Scope tags

 

En se connectant avec un utilisateur appartenant au groupe « GR-AAD-France-Devices-Administrators » (exp : USER-POC-Administrator) sur le portail Intune et selon les permissions qui lui ont été accordées, l’utilisateur ne voit et ne gère que les PC appartenant au groupe « GR-AAD-France-DeviceList ».

Lors de la création d’une nouvelle stratégie de conformité, l’administrateur de la région « France » ne peut l’affecter qu’à son scope, « SC-INTUNE-France-DeviceList ».

 

Administrateur affectation scope

 

Vous souhaitez en savoir plus sur la sécurité dans le Cloud ? Nous vous invitons à consulter tous les articles de cette série inédite rédigée par nos experts :

 

accompagnement securite Cloud Cyber Cellenza

 

Nos autres articles
Commentaires
Laisser un commentaire

Restez au courant des dernières actualités !
Le meilleur de l’actualité sur le Cloud, le DevOps, l’IT directement dans votre boîte mail.