Gestion des utilisateurs et des groupes
Les utilisateurs dans Azure Active Directory
Dans Azure Active Directory, on retrouve deux types principaux d’utilisateurs : un utilisateur dit from cloud, c’est-à-dire créé directement dans l’annuaire Azure Active Directory, et un utilisateur dit synchronisé qui, lui, est créé dans l’annuaire Active Directory local de l’entreprise, avant d’être synchronisé avec AAD Connect vers Azure Active Directory.
On retrouve également des utilisateurs cloud provenant d’une source externe appelés utilisateurs invités ou encore guest users.
Nous allons aborder ici la création, la gestion des utilisateurs Azure Active Directory from cloud, en interface graphique, via le portail Azure Active Directory, et en PowerShell avec le module Azure AD.
Nous verrons dans ce chapitre uniquement la gestion des utilisateurs et groupes from cloud Azure Active Directory. Les utilisateurs synchronisés, les utilisateurs invités en B2B et les groupes synchronisés depuis un annuaire Active Directory local seront abordés plus tard dans le livre.
1. Création des utilisateurs
Dans cette section, nous allons aborder la création des utilisateurs en interface graphique et en PowerShell.
a. Création des utilisateurs en interface graphique
Afin de créer un utilisateur standard dans Azure Active Directory, il suffit de vous rendre dans l’Azure Active Directory Admin Center, puis de sélectionner Utilisateurs :
Cliquez ensuite sur Nouvel utilisateur, puis Créer un utilisateur, et saisissez ensuite les informations suivantes :
-
Cochez l’option Créer un utilisateur.
-
Nom d’utilisateur : ce sera l’UPN (User Principal Name) de l’utilisateur et c’est avec cette information que l’utilisateur va se connecter à Azure Active Directory...
Les groupes dans Azure Active Directory
Comme dans un annuaire classique dans Azure Active Directory nous rencontrons aussi la notion de groupe, destiné à faciliter la gestion quotidienne des administrateurs en plaçant une population dans un groupe Azure Active Directory.
Nous allons voir que Microsoft a apporté plusieurs changements et améliorations au niveau de la gestion des groupes en prenant en compte l’avis des utilisateurs.
1. Types de groupes
Azure Active Directory dispose de deux types de groupes :
-
Groupes de sécurité
-
Groupes Microsoft 365
a. Groupes de sécurité
Les groupes de sécurité permettent d’assigner à leurs membres des restrictions et des droits au niveau des services cloud. Par exemple, la création d’un groupe de sécurité pour les règles de sécurité de Microsoft Intune afin que tous les membres de ce groupe puissent recevoir ces règles définies dans le MDM de Microsoft, ou encore en affectant un groupe de sécurité donnant l’accès à une application métier aux membres de ce groupe.
Les membres de ce type de groupes peuvent être des utilisateurs, des appareils, d’autres groupes ou encore des services principaux.
b. Groupes Microsoft 365
Les groupes de type Microsoft 365 permettent aux entreprise de faire de la collaboration via des outils tels que Microsoft Teams. Lorsqu’on crée un Teams, il y a un groupe Microsoft 365 qui est créé afin de permettre la collaboration de tous les membres qui sont dans ce groupe.
Les groupes Microsoft 365 offrent également plusieurs moyens de collaboration à leurs membres tels qu’une boîte aux lettres, un site SharePoint Online, un calendrier, etc.
Ces groupes Microsoft 365 peuvent contenir des utilisateurs, des services principaux ou encore des utilisateurs...
La gestion des licences
La gestion de licences est un point crucial car sans licences, les utilisateurs Azure Active Directory ne peuvent pas bénéficier des services cloud. Il est donc primordial de bien comprendre cette partie afin d’affecter de la bonne manière les licences aux utilisateurs de l’annuaire Azure Active Directory.
1. Présentation des licences
Dans Azure Active Directory, chaque produit fait partie d’une licence que l’on doit attribuer aux utilisateurs afin qu’ils puissent bénéficier de ces services cloud.
Par exemple, pour pouvoir bénéficier des fonctionnalités Azure Active Directory et ses services avancés, l’utilisateur doit posséder une licence Azure Active Directory P1 ou P2. Même chose concernant Microsoft 365 : si l’utilisateur souhaite disposer d’une boîte e-mail, accéder au portail Microsoft 365, OneDrive Online, SharePoint Online, il est obligatoire de lui assigner une licence Microsoft 365.
2. Affectation des licences
Au niveau de l’affectation, nous pouvons envisager plusieurs façons de procéder :
-
affectation de licence à un utilisateur en interface graphique
-
affectation de licence à un utilisateur en PowerShell
-
affectation de licence à un groupe en interface graphique
-
affectation de licence à un groupe en PowerShell
Pour qu’un utilisateur puisse être licencié, sa localisation doit être indiquée au niveau de ses paramètres.
Deux modes d’affectation existent :
-
Le mode direct : si on affecte une licence à un utilisateur. Comme on peut l’observer sur le schéma suivant, l’administrateur assigne des licences à chaque utilisateur de manière directe :
-
Le mode hérité : si on attribue une licence au groupe, tout membre...