Comment gérer les permissions d’administration d’Office 3655 au sein d’une entité d’ensemble ?
Une organisation disposant d’un environnement Office 365 bien administré est forcément bien plus productive qu’une organisation dont l’environnement Office 365 est mal géré.
Une bonne administration implique que les utilisateurs puissent gérer l’accès à leurs sites en fonction de leurs stratégies de gouvernance et partager les documents de la façon la plus fluide possible.
Pour ce faire, des administrateurs Office 365 sont nécessaires pour prendre en charge la gestion :
des paramètres d’audit ;
des types de contenus et des stratégies relatives aux documents d’archive;
de l’encadrement du partage des informations ;
et de bien plus encore !
Cependant, l’architecture d’Office 365 est conçue de telle manière que former une équipe d’administrateurs disposant de la bonne combinaison de permissions pour gérer efficacement les espaces de travail numériques (Groups, Teams, sites SharePoint, etc.) peut constituer un défi pour une grande organisation diversifiée.
Pour l’essentiel, les organisations ont le choix entre accorder à leurs utilisateurs des niveaux d’accès qui restreignent les capacités des administrateurs à les gérer OU permettre à leurs administrateurs de s’impliquer dans ces processus, c’est-à-dire leur donner accès à TOUS les scopes dans Office 365.
Qu’entend-on par administration générale ?
La solution privilégiée par Microsoft, et qu’elle recommande à ses clients, est de mettre un place une SEULE entité CENTRALISÉE. Cette recommandation vaut également pour les clients organisés en divisions ou en sites géographiques distincts, ou qui géraient plusieurs fermes SharePoint par le passé (c’est la raison pour laquelle Microsoft a ajouté de puissantes fonctionnalités multigéographiques).
Une telle approche facilite la collaboration et empêche les silos de données. Toutefois, cet assouplissement des barrières traditionnelles liées à l’existence de plusieurs serveurs SharePoint locaux gérés séparément fait que la question de l’administration se pose à présent en termes de tout ou rien. Il n’y a plus, au sein de l’entité globale, de blocs plus petits pouvant être gérés par des administrateurs dédiés.
Les administrateurs généraux ont accès à la totalité de l’entité Office 365.
Un responsable informatique auparavant uniquement chargé de l’administration de l’instance de SharePoint 2016 du service marketing Amérique du Nord de Contoso peut par exemple se voir tout à coup accorder l’accès à l’environnement SharePoint Online de l’ensemble de l’entreprise, incluant notamment les divisions japonaise, allemande et d’autres divisions. En effet, Office 365 ne prévoit pas de rôle subordonné à celui d’administrateur SharePoint.
Confrontées à ce problème, les organisations équipées d’Office 365 ont généralement deux possibilités : 1) Réduire le nombre d’administrateurs généraux, ou 2) Accepter le risque potentiel qui découle de l’octroi d’un pouvoir excessif aux administrateurs.
Les deux possibilités présentent leur lot d’inconvénients : d’une part, réduire le nombre d’administrateurs signifie qu’un plus petit nombre de personnes gère les données tandis que des personnes compétentes restent sur la touche et d’autre part, des risques excessifs et non gérés sont également inacceptables. Pour les organisations gérant des informations sensibles ou étant soumises à la Réglementation américaine sur le trafic d’armes au niveau international (ITAR) ou à d’autres réglementations tout aussi draconiennes, la deuxième alternative peut ne pas être envisageable du tout.
Alors, comment faut-il gérer les permissions des administrateurs Office 365 pour accorder aux bonnes personnes les droits d’accès et permissions adaptés qui leur permettront d’effectuer leur travail et d’autres tâches ? Voici trois conseils pour vous mettre sur la bonne voie.
Conseil n° 1 : régulièrement afficher et contrôler les rôles d’administrateur Office 365
Il existe plusieurs rôles d’administrateur dans Office 365 qu’il est important de connaître et de savoir afficher.
Pour afficher les rôles disponibles dans le centre d’administration d’Office 365, accédez à Rôles > Rôles, puis sélectionnez un rôle pour ouvrir le volet contenant des informations détaillées à son sujet. Sélectionnez l’onglet Permissions pour afficher la liste détaillée des actions qu’un administrateur disposant de ce rôle est autorisé à réaliser.
Vous pouvez également afficher une liste plus complète en cliquant ici. Les rôles essentiels à connaître sont les suivants :
Administrateur général
L’administrateur général dispose d’un accès illimité aux paramètres et données de l’organisation. Un administrateur général est seul habilité à modifier le mot de passe d’un autre administrateur général.
Administrateur de facturation
L’administrateur de facturation gère les achats, les abonnements et les tickets support. Il peut aussi surveiller l’intégrité des services.
Administrateur de service
L’administrateur de service est responsable de la gestion des demandes de service adressées à Microsoft concernant des problèmes liés aux services. Il surveille aussi le tableau de bord des services et le centre de messages et peut voir des informations importantes dans le centre d’administration de Microsoft 365, telles que l’intégrité d’un service et les notifications relatives aux modifications et aux versions. L’administrateur de service dispose uniquement d’une permission de lecture des paramètres de configuration des utilisateurs.
Administrateur de mot de passe (du service technique)
L’administrateur de mot de passe gère la réinitialisation des mots de passe des utilisateurs. Il peut gérer les demandes de service et surveiller l’intégrité des services.
Administrateur de gestion des utilisateurs
L’administrateur de gestion des utilisateurs est habilité à réinitialiser les mots de passe, surveiller l’intégrité des services, ajouter/supprimer des comptes utilisateurs et gérer les demandes de service. Il ne peut pas créer de nouveaux administrateurs ni en supprimer.
Administrateur de conformité
Les utilisateurs titulaires de ce rôle sont autorisés à gérer les fonctionnalités relatives à la conformité dans le centre de conformité Microsoft 365, le centre d’administration Microsoft 365, Azure et le centre de sécurité et conformité Office 365. Ces utilisateurs peuvent également gérer toutes les fonctionnalités du centre d’administration Exchange et du centre d’administration de Microsoft Teams et Skype Entreprise ainsi que créer des tickets supports pour Azure et Microsoft 365.
Administrateurs des applications (SharePoint, Exchange, PowerBI, Skype, Dynamics 365, Teams)
Les administrateurs de ces différentes applications Office 365 disposent de capacités d’édition de rapports, de configuration de paramètres, de gestion de contenu et de gestion des permissions.
Administrateur de recherche
Les utilisateurs ayant ce rôle disposent d’un accès illimité à toutes les fonctions de gestion de la recherche Microsoft dans le centre d’administration Microsoft 365. Les administrateurs de recherche peuvent déléguer les rôles d’administrateur de recherche et d’éditeur de recherche à des utilisateurs, créer et gérer des contenus tels que les signets, les questions et réponses et les emplacements. De plus, ces utilisateurs peuvent afficher le centre de messages, surveiller l’intégrité des services et créer des demandes de service.
Administrateur de support de service
Les utilisateurs ayant ce rôle peuvent ouvrir des demandes de support concernant Azure et des services Office 365 auprès de Microsoft ainsi qu’afficher le tableau de bord de services et le centre de messages dans le portail Azure et le centre d’administration Microsoft 365.
Les administrateurs peuvent consulter les rôles attribués aux différents utilisateurs dans le centre d’administration Office 365 en accédant à Utilisateurs actifs dans l’onglet UTILISATEURS dans la barre latérale gauche. Il est possible de sélectionner une vue prédéfinie pour identifier les administrateurs généraux.
Les utilisateurs de la solution Cloud Management d’AvePoint peuvent aussi facilement gérer de façon centralisée les permissions d’Office 365 et les tâches de configuration regroupées dans un écran unique. La solution permet également de mettre en place un processus d’approbation. Par ailleurs, Policy Enforcer est capable d’annuler automatiquement des modifications incompatibles avec les règles applicables apportées par des administrateurs ou des utilisateurs.
Conseil n° 2 : toujours attribuer le rôle le plus restrictif aux administrateurs
Les principaux cadres de gestion des risques et normes de sécurité appliquent un principe de moindre permission. Pour l’essentiel, celui-ci consiste à accorder aux utilisateurs le niveau d’accès et de permission minimum requis pour leur permettre d’effectuer leur travail.
Même s’il peut être tentant de désigner un bataillon d’administrateurs généraux pour venir à bout de la charge de travail, cela constitue un risque pour la sécurité et posera des problèmes si l’organisation fait l’objet d’un audit dans le cadre d’une certification de sécurité ou d’une réglementation relative aux données.
Une fois ces stratégies mises en place, vous pourrez envisager de les faire appliquer en temps réel en recourant à des solutions capables d’annuler tout paramétrage de sécurité ou toute modification de configuration non autorisés effectués indifféremment par les utilisateurs ou les administrateurs.
Conseil n° 3 : créer des rôles d’administrateur personnalisés pour des espaces de travail donnés dans SharePoint, Office 365 Groups et Microsoft Teams
Imaginez pouvoir découper votre entité Office 365 centrale en blocs distincts plus faciles à gérer, pouvant être administrés au niveau des divisions et évitant d’avoir à accorder l’accès à l’ensemble de l’entité.
Tandis que cette fonctionnalité n’existe pas encore d’origine dans Office 365, Cloud Management d’AvePoint vous donne la possibilité de déléguer l’administration d’Office 365 au sein de votre entité. Tout en assurant une structure et un niveau de sécurité comparables à ceux des entités isolées, cette application vous permet de tirer pleinement parti des fonctionnalités de collaboration d’Office 365.
Ceci peut être particulièrement intéressant pour les organismes gouvernementaux et les grandes organisations, qui peuvent ainsi permettre à des informaticiens plus proches de l’activité ou de la mission de participer à la gestion des permissions et du contenu ainsi qu’à la création de rapports au sein de leur division.
Ainsi, le gouvernement national de la Californie pourrait par exemple être affilié à une entité Office 365 unique, mais il serait en mesure de créer des administrateurs Office 365 dédiés pour le Ministère des transports, qui n’auraient alors accès qu’aux espaces de travail et aux données correspondants.
John Hodges is Senior Vice President of Product Strategy at AvePoint, focusing on developing compliance solutions that address modern data privacy, classification, and data protection needs for organizations worldwide. Since joining AvePoint in 2008, John has worked directly with the company’s product management and research & development teams to cultivate creative ideas and bridge the gap between sales and technology – providing a practical target for innovation and a focused message for sales and marketing. John has been actively engaged in the SharePoint community for several years, working with many Fortune 500 companies to drive sustainable adoption of Microsoft technology and optimize SharePoint’s larger purpose-built implementations. John’s insights and opinions on modern Information Technology can be found in various industry publications, as well as throughout this numerous speaking sessions in webinars and at events worldwide.