Décentraliser la gestion de M365 avec les unités administratives

J’ai récemment été impliqué dans un projet de migration d’un  grand groupe Panafricain vers M365 . L’administration d’une plateforme M365 dans un contexte ou le groupe partait d’un modèle décentralisé vers une plateforme centralisée posait un challenge  a résoudre.

La problématique était de permettre aux administrateurs du groupe de gérer les utilisateurs de leurs pays respectifs, un peu dans le modèle des unités d’organisation Active Directory. La fonctionnalité Azure AD qui permet de le faire s’appelle les unités administratives.

L’utilisation des Unités administratives permet de mettre sur pied un modèle de délégation d’administration pour les larges organisations dans M365.

Scénario de déploiement

il peut être utile de restreindre l’étendue d’administration à l’aide d’unités administratives dans les organisations qui sont composées de divisions indépendantes de tout type. Prenons l’exemple d’une grande université qui se compose de nombreuses écoles autonomes (école de commerce, école d’ingénieurs, etc.). Chaque école a une équipe d’administrateurs informatiques qui contrôlent les accès, gèrent les utilisateurs et définissent les stratégies pour leur école.

Un administrateur central peut :

  • Créer une unité administrative pour l’école de commerce.
  • Remplir l’unité administrative avec uniquement les élèves et le personnel de l’école de commerce.
  • Créer un rôle avec des autorisations d’administration seulement sur les utilisateurs Azure AD de l’unité administrative de l’école de commerce.

Ajouter l’équipe informatique de l’école de commerce au rôle avec son étendue.

Conditions de Licences

L’utilisation d’unités administratives nécessite une licence Azure AD Premium P1 pour chaque administrateur d’une unité administrative et des licences Azure AD Free pour les membres des unités administratives