Les règles d’appartenance à un groupe dynamique sont limitées
Un lecteur demande s’il est possible de créer un groupe Office 365 dynamique pour tous les administrateurs globaux. Cela semble être une demande intéressante, alors plongeons et effectuons quelques recherches. Un groupe Office 365 dynamique est comme tout autre groupe dynamique Azure Active Directory. Il dépend d’une règle d’adhésion pour définir l’adhésion. Azure Active Directory exécute des processus en arrière-plan pour utiliser la règle afin d’interroger l’annuaire et de renvoyer une liste de membres. La clé de la réponse réside donc dans le fait de savoir s’il est possible de construire une règle d’appartenance pour interroger Azure Active Directory afin de trouver les comptes qui sont des administrateurs globaux.
Règles d’appartenance pour les groupes dynamiques
La documentation Microsoft sur la façon de construire des règles d’appartenance pour les groupes dynamiques nous indique l’ensemble des propriétés prises en charge pour les règles. En lisant la liste, nous découvrons rapidement qu’il n’y a aucun moyen d’interroger les rôles détenus par les comptes. Azure Active Directory prend en charge un ensemble de rôles qui peuvent être attribués aux utilisateurs. Celui qui nous intéresse est le rôle d’administrateur de société, également connu sous le nom d’administrateur global ou de locataire. Pour trouver les comptes qui détiennent ce rôle, nous pouvons exécuter la commande PowerShell :
# Découvrir l’ensemble des administrateurs globaux Get-AzureADDirectoryRoleMember -ObjectId (Get-AzureADDirectoryRole | ? {$_.DisplayName -eq « Company Administrator »}).ObjectId |Format-Table ObjectId, DisplayName>
Ces cmdlets se trouvent dans le module Azure AD (V2).
Trouver une propriété à utiliser
Bien que ce soit bon de pouvoir trouver l’ensemble des administrateurs globaux, cela ne nous aide pas à construire une règle d’adhésion pour un groupe Office 365 dynamique. Cependant, ce que nous pouvons faire, c’est trouver une propriété dans l’ensemble pris en charge par les règles d’adhésion et l’utiliser pour marquer nos administrateurs de locataires. Par exemple, nous pouvons utiliser la propriété JobTitle et dire que toute personne dont l’intitulé de poste est « Administrateur global Office 365 » doit être incluse dans le groupe dynamique. Cette décision prise, nous pouvons mettre à jour les comptes des administrateurs globaux actuels pour qu’ils aient la bonne valeur :
# S’assurer que les administrateurs locataires ont le titre de poste correct. $Admins = Get-AzureADDirectoryRoleMember -ObjectId (Get-AzureADDirectoryRole | ? {$_.DisplayName -eq « Company Administrator »}).ObjectId | Select ObjectId, DisplayName ForEach ($Admin in $Admins) { If ($Admin.DisplayName -ne « Microsoft Rights Management Services ») { Set-AzureADUser -Object $Admin.ObjectId -JobTitle « Administrateur global Office 365 » }}
Le compte Microsoft Rights Management Services est exclu parce qu’il n’est pas utilisé par les humains.
L’hybride est différent
Si vous êtes dans une organisation hybride, vous pouvez utiliser les quinze propriétés étendues synchronisées depuis Active Directory et renseigner ces valeurs en exécutant la cmdlet Set-Mailbox. Ces propriétés ne sont pas disponibles dans un locataire cloud-only, car le schéma n’est pas étendu pour permettre la synchronisation des propriétés à partir de l’annuaire sur site.
Création d’un groupe Office 365 dynamique avec PowerShell
Nous pouvons maintenant créer notre groupe dynamique Office 365. Il est plus facile de le faire via l’interface graphique du portail Azure AD, mais voici comment créer le groupe dynamique avec PowerShell :
# Créer un groupe dynamique Office 365 New-AzureADMSGroup -DisplayName « Global Tenant Administrators » -Description « Dynamic Office 365 Group for all the global tenant administrators » -MailEnabled $True -SecurityEnabled $True -MailNickname Office365GlobalAdmins -GroupTypes « DynamicMembership », « Unified » -MembershipRule « (User.JobTitle -eq « »Office 365 Global Administrator » ») » -MembershipRuleProcessingState « On
Après un court moment, le travail en arrière-plan pour calculer l’appartenance au groupe se terminera et vous pourrez vérifier si les bons membres sont présents. Encore une fois, l’interface graphique est le moyen le plus simple de vérifier l’appartenance :
Figure 1 : Vérification de l’appartenance à un groupe Office 365 dynamique
La vérification de la vue d’ensemble du groupe nous indique quand Azure Active Directory a calculé l’adhésion pour la dernière fois :
Figure 2 : vérification de la date du dernier calcul de l’appartenance à un groupe Office 365 dynamique
Solution parfaite
C’est une solution imparfaite bien qu’elle fonctionne ! Si le titre de poste d’un administrateur global est défini correctement, il fera partie du groupe dynamique Office 365. Il serait préférable qu’Azure Active Directory prenne en charge la possibilité d’inclure un ensemble plus étendu de requêtes dans les groupes dynamiques. Cela pourrait arriver à l’avenir, mais pour le moment, nous ne pouvons travailler qu’avec ce que nous avons. De plus, si un groupe de distribution dynamique fonctionne pour vous, la solution décrite par Vasil Michev fonctionne, car Exchange Online est plus flexible qu’Azure Active Directory en termes de filtres de destinataires qu’il prend en charge. C’est le genre de défi pratique que nous abordons à de nombreux endroits dans l’eBook Office 365 for IT Pros.