Unités administratives

Les unités administratives dans Microsoft Entra ID vous permettent de limiter les autorisations d’administration à des parties spécifiques de votre Microsoft Entra organization. Vous pouvez créer, supprimer et modifier des unités administratives dans Microsoft Entra. Dans Microsoft Entra, vous gérez les utilisateurs ou les groupes membres de l’unité administrative. Cette fonctionnalité vous permet de subdiviser vos organization en unités plus petites et d’affecter des administrateurs spécifiques pour gérer uniquement les membres de ces unités. Les groupes de rôles Microsoft Purview vous permettent d’affecter des administrateurs à des unités administratives spécifiques. Les solutions Microsoft Purview qui prennent en charge les unités administratives limitent la visibilité et les autorisations de gestion aux membres de l’unité.

Par exemple, vous pouvez utiliser des unités administratives pour déléguer des autorisations aux administrateurs pour chaque région géographique dans une grande organization multinationale, ou pour regrouper l’accès administrateur par service au sein de votre organization. Vous pouvez créer des stratégies spécifiques à une région ou un service ou afficher l’activité des utilisateurs à la suite de ces stratégies et de l’affectation d’unité administrative. Vous pouvez également utiliser des unités administratives comme étendue initiale pour une stratégie, où la sélection des utilisateurs éligibles à la stratégie dépend de l’appartenance à des unités administratives.

Si vous utilisez des étendues adaptatives pour les stratégies de conformité, consultez Fonctionnement des étendues adaptatives avec Microsoft Entra unités administratives.

Prise en charge des unités administratives dans Microsoft Purview

Les solutions de conformité Microsoft Purview suivantes prennent en charge les unités administratives :

La configuration des unités administratives passe automatiquement aux fonctionnalités suivantes :

• Alertes :
  • Les alertes DLP ne sont visibles que par les utilisateurs des unités administratives affectées
• Explorateur d’activités :
  • Les événements d’activité ne sont visibles que par les utilisateurs des unités administratives affectées
• Étendues adaptatives :
  • Les administrateurs restreints peuvent sélectionner, créer, modifier et afficher des étendues adaptatives uniquement pour les utilisateurs des unités administratives attribuées à ces administrateurs
  • Lorsqu’un administrateur restreint configure une stratégie qui utilise des étendues adaptatives, l’administrateur peut sélectionner uniquement les étendues adaptatives affectées à ses unités administratives
• Journal d’audit :
  • Accès à la recherche
• Conformité des communications :
  • Recherche et configuration des stratégies : les administrateurs restreints peuvent créer ou gérer des stratégies uniquement pour les utilisateurs affectés à leurs unités administratives.
  • Alertes et correspondances de stratégie : les administrateurs restreints peuvent examiner les activités des utilisateurs uniquement pour les utilisateurs au sein des unités administratives qui leur sont attribuées.
• Gestion du cycle de vie des données et gestion des enregistrements :
  • Recherche de stratégie : les administrateurs restreints voient uniquement les stratégies des utilisateurs au sein des unités administratives qui leur sont attribuées
  • Révision et vérification des destructions : les administrateurs restreints peuvent ajouter des réviseurs uniquement à partir des unités administratives qui leur sont affectées, et voir les révisions de destruction et les éléments supprimés uniquement des utilisateurs au sein des unités administratives qui leur sont attribuées.
• Gestion des risques internes :
  • Recherche et configuration des stratégies : les administrateurs restreints peuvent créer ou gérer des stratégies uniquement pour les utilisateurs affectés à leurs unités administratives.
  • Activités des utilisateurs : les administrateurs restreints peuvent commencer les activités de scoring ou examiner les activités des utilisateurs uniquement pour les utilisateurs au sein des unités administratives qui leur sont attribuées.
  • Alertes et cas : les administrateurs restreints peuvent afficher et examiner les alertes et les cas uniquement pour les utilisateurs au sein des unités administratives qui leur sont attribuées.

Autorisations pour les unités administratives

Pour affecter un membre du groupe de rôles à une unité administrative, les administrateurs doivent se voir attribuer le rôle Gestion des rôles. Pour plus d’informations sur les rôles et les groupes de rôles Microsoft Purview, consultez Groupes de rôles dans Microsoft Purview.

Vous pouvez affecter des membres de groupe de rôles à des unités administratives au sein des groupes de rôles intégrés suivants :

• Conformité des communications
• Administrateurs de conformité des communications
• Analystes de la conformité des communications
• Enquêteurs sur la conformité des communications
• Administrateur de conformité
• Administrateurs des données de conformité
• Lecteur général
• Protection des informations
• Administrateurs Information Protection
• Analyste Information Protection
• Enquêteurs Information Protection
• Lecteurs Information Protection
• Gestion des risques internes
• Administrateurs de gestion des risques internes
• Analystes de la gestion des risque internes.
• Approbateurs de gestion des risques internes
• Enquêteurs de la gestion des risque internes.
• Approbateurs de session de gestion des risques internes
• Gestion de l’organisation
• Gestion des enregistrements
• Administrateur de sécurité
• Opérateur de sécurité
• Lecteur de sécurité

Lorsque vous attribuez des groupes de rôles, vous pouvez sélectionner des membres ou des groupes individuels, puis sélectionner l’option Attribuer des unités d’administration pour sélectionner les unités administratives que vous définissez dans Microsoft Entra ID :

Ces administrateurs, appelés administrateurs restreints, peuvent sélectionner une ou plusieurs unités administratives qui leur sont attribuées pour définir automatiquement l’étendue initiale des stratégies qu’ils créent ou modifient. Ce n’est que si les administrateurs n’ont pas d’unités administratives affectées (administrateurs non restreints) qu’ils peuvent affecter des stratégies à l’ensemble du répertoire sans avoir à sélectionner des unités administratives individuelles.

Prérequis pour les unités administratives

Avant de configurer des unités administratives pour les solutions de conformité Microsoft Purview, assurez-vous que vos organization et utilisateurs répondent aux exigences d’abonnement et de licence suivantes :

• licences Microsoft Entra ID P1 ou P2

• Licences Microsoft Purview :

  • Microsoft 365 E5/A5/G5
  • Conformité Microsoft 365 E5/A5/G5/F5 ou Conformité & de sécurité F5
  • gouvernance Microsoft 365 E5/A5/G5/F5 Information Protection &
  • Microsoft 365 E5/A5/F5 Insider Risk Management

Configurer et utiliser des unités administratives

Effectuez les étapes suivantes pour configurer et utiliser des unités administratives avec des solutions de conformité Microsoft Purview :

1. Créez des unités administratives pour restreindre l’étendue des autorisations de rôle dans Microsoft Entra ID.

2. Ajouter des utilisateurs et des groupes de distribution aux unités administratives.

   Importante

   Les membres des groupes de distribution dynamiques ne deviennent pas automatiquement membres d’une unité administrative.

3. Si vous créez des unités administratives basées sur une région géographique ou un département, configurez des unités administratives avec des règles d’appartenance dynamique.

   Remarque

   Vous ne pouvez pas ajouter de groupes à une unité administrative qui utilise des règles d’appartenance dynamique. Si nécessaire, créez deux unités administratives, une pour les utilisateurs et une pour les groupes.

4. Utilisez l’un des groupes de rôles des solutions de conformité Microsoft Purview qui prennent en charge les unités administratives pour attribuer des unités administratives aux membres.

Lorsque ces administrateurs restreints créent ou modifient des stratégies qui prennent en charge les unités administratives, ils peuvent sélectionner des unités administratives afin que seuls les utilisateurs de ces unités administratives soient éligibles à la stratégie :

• Les administrateurs non restreints n’ont pas besoin de sélectionner des unités administratives dans le cadre de la configuration de la stratégie. Ils peuvent conserver la valeur par défaut de l’ensemble du répertoire ou sélectionner une ou plusieurs unités administratives.
• Les administrateurs restreints doivent sélectionner une ou plusieurs unités administratives dans le cadre de la configuration de la stratégie.

Plus loin dans la configuration de la stratégie, les administrateurs qui sélectionnent des unités administratives doivent inclure ou exclure (si pris en charge) des utilisateurs individuels et des groupes des unités administratives qu’ils ont précédemment sélectionnées pour la stratégie.

Pour plus d’informations sur les unités administratives propres à chaque solution prise en charge, consultez les sections suivantes :

• Pour l’audit : Accès d’étendue aux journaux d’audit à l’aide d’unités administratives
• Pour la conformité des communications : envisagez les unités administratives si vous souhaitez étendre les autorisations utilisateur à une région ou un service
• Pour la gestion du cycle de vie des données : prise en charge des unités administratives
• Pour DLP : stratégies restreintes d’unité administrative
• Pour la gestion des risques internes : envisagez d’utiliser des unités administratives si vous souhaitez étendre les autorisations utilisateur à une région ou un service
• Pour la gestion des enregistrements : prise en charge des unités administratives
• Pour l’étiquetage de confidentialité : prise en charge des unités administratives

Prise en charge des unités administratives pour les sites SharePoint

Microsoft Purview prend désormais en charge l’ajout de sites SharePoint à des unités administratives. Cette fonctionnalité vous permet d’adapter la visibilité et le contrôle de gestion des administrateurs Microsoft Purview dans le portail Microsoft Purview. Cette prise en charge n’est disponible que pour les stratégies d’étiquetage automatique microsoft Information Protection et les stratégies de protection contre la perte de données Microsoft qui prennent en charge l’application aux sites SharePoint.

Le remplissage complet d’une requête peut prendre jusqu’à cinq jours. Les modifications ne sont pas immédiates. Attendez que la requête soit entièrement renseignée avant d’associer une stratégie à une unité administrative.

Configurer des unités administratives pour les sites SharePoint

Suivez ces étapes pour configurer et utiliser des unités administratives. Ces étapes vous guident tout au long de la création d’une unité administrative, comment associer des ressources à cette unité administrative et comment affecter des membres du groupe de rôles de conformité Microsoft Purview à des unités administratives. Une fois que vous avez créé des unités administratives, procédez comme suit pour associer des sites SharePoint à l’unité administrative.

Les clients Microsoft Purview ayant droit à cette fonctionnalité peuvent désormais accéder aux unités administratives sous les paramètres Rôles et étendues du portail Microsoft Purview. Dans Unités administratives, sélectionnez une unité administrative et modifiez-la pour associer des sites SharePoint à l’unité administrative.

Pour effectuer les étapes suivantes afin de configurer des sites SharePoint au sein d’unités administratives à utiliser dans Microsoft Purview, vous devez disposer du rôle gestionnaire d’extensions d’unité d’administration . Un administrateur disposant de droits de gestion des rôles dans Microsoft Purview attribue ce rôle, soit à l’aide d’un groupe de rôles intégré avec ce rôle, soit à l’aide d’un groupe de rôles personnalisé.

1. Accédez au portail Microsoft Purview.
2. Sélectionnez paramètres , puis rôles et étendues.
3. Sélectionnez Unités administratives.
4. Sélectionnez une unité administrative existante dans la liste.
5. Sélectionnez Modifier.
6. Créez une requête pour associer des sites SharePoint à l’unité administrative.
7. Utilisez l’un des groupes de rôles des solutions de conformité Microsoft Purview qui prennent en charge les unités administratives pour attribuer des unités administratives aux membres.

Les requêtes pour associer des sites SharePoint à des unités administratives prennent en charge les propriétés de site pour l’URL du site, le nom du site et RefinableString00-RefinableString99. Ces requêtes s’appliquent à la fois aux sites SharePoint et aux comptes OneDrive, à l’exception des sites SharePoint de canal partagé. Les noms des propriétés des sites sont basés sur les propriétés gérées des sites SharePoint. Pour plus d’informations sur l’association de propriétés personnalisées à des propriétés managées (RefinableString00-RefinableString99), voir Utilisation des propriétés de site SharePoint personnalisées pour appliquer la rétention Microsoft 365 avec des étendues de stratégie adaptative.

Tester votre requête

Pour tester votre requête avec la recherche SharePoint, procédez comme suit :

1. Avec un compte affecté au rôle d’administrateur SharePoint, accédez à https://<your_tenant>.sharepoint.com/search.
2. Utilisez la barre de recherche pour entrer la requête affichée dans le résumé de la requête pour vos sites SharePoint dans l’unité administrative.
3. Vérifiez que les résultats de la recherche correspondent aux URL de site attendues pour votre unité administrative. Si ce n’est pas le cas, vérifiez votre requête et les URL auprès de l’administrateur approprié pour Microsoft Office SharePoint Online.

Lorsque les administrateurs restreints créent ou modifient des stratégies qui prennent en charge les unités administratives, ils peuvent sélectionner des unités administratives afin que seuls les sites, utilisateurs ou groupes SharePoint de ces unités administratives soient éligibles pour la stratégie :

• Les administrateurs non restreints n’ont pas besoin de sélectionner des unités administratives dans le cadre de la configuration de la stratégie. Ils peuvent conserver la valeur par défaut de l’ensemble du répertoire ou sélectionner une ou plusieurs unités administratives.
• Les administrateurs restreints doivent sélectionner une ou plusieurs unités administratives dans le cadre de la configuration de la stratégie.

Les administrateurs qui sélectionnent des unités administratives ne peuvent pas inclure ou exclure des sites SharePoint individuels. Les sites SharePoint prennent en charge l’application à tous les sites associés à l’unité administrative.

Afficher les détails de l’appartenance au site SharePoint de l’unité administrative dans Purview

Après avoir créé une requête SharePoint pour une unité administrative dans Microsoft Purview, vous pouvez afficher les membres du site de l’unité administrative. Vous pouvez uniquement afficher l’appartenance des utilisateurs et des groupes d’une unité administrative à partir du portail Microsoft Entra ID.

Effectuez les étapes suivantes pour accéder à la page des détails du membre pour voir les membres du site SharePoint d’une unité administrative dans Microsoft Purview :

1. Accédez au portail Microsoft Purview à l’adresse purview.microsoft.com.
2. Sélectionnez paramètres , puis rôles et étendues.
3. Sélectionnez Unités administratives.
4. Sélectionnez une unité administrative existante dans la liste.
5. Sélectionnez Détails du membre.
6. Affichez la liste des membres du site SharePoint.
7. Vérifiez la colonne État dans la liste, qui indique Ajouté pour les sites ajoutés à l’unité administrative ou Supprimé si le site se trouvait précédemment dans l’unité administrative, mais qu’il est supprimé une fois qu’il n’y a plus de correspondance pour la requête SharePoint.
8. Utilisez la fonction Exporter pour télécharger une liste des sites affichés dans un fichier CSV.

Pour plus d’informations sur les unités administratives et le site SharePoint dans les solutions Microsoft Purview, voir :

• DLP : stratégies restreintes d’unité administrative
• Étiquettes de confidentialité : prise en charge des unités administratives