Les règles d'adhésion aux groupes dynamiques sont limitées
Un lecteur demande s'il est possible de créer un groupe dynamique Office 365 pour tous les administrateurs globaux. Cela semble être une demande intéressante, alors allons-y et faisons quelques recherches. Un groupe dynamique Office 365 est comme n'importe quel autre groupe dynamique dans Azure Active Directory. Cela dépend d'une règle d'appartenance pour définir l'appartenance. Azure Active Directory exécute des processus en arrière-plan pour utiliser la règle pour interroger l'annuaire et renvoyer une liste de membres. La clé de la réponse est donc de savoir s'il est possible de créer une règle d'appartenance pour interroger Azure Active Directory afin de trouver des comptes qui sont des administrateurs globaux.
Règles d'adhésion pour les groupes dynamiques
La documentation Microsoft sur la création de règles d'adhésion pour les groupes dynamiques nous indique l'ensemble des propriétés prises en charge pour les règles. En lisant la liste, nous avons rapidement découvert qu'il n'y a aucun moyen d'interroger les rôles des comptes. Azure Active Directory prend en charge un ensemble de rôles pouvant être attribués aux utilisateurs. Celui qui nous intéresse est le rôle d'administrateur d'entreprise, également appelé administrateur global ou tenant. Pour trouver les comptes qui ont ce rôle, nous pouvons exécuter la commande PowerShell :
# Découvrir l'ensemble des administrateurs globaux Get-AzureADDirectoryRoleMember -ObjectId (Get-AzureADDirectoryRole|? $_.DisplayName -eq "Company Administrator").ObjectId |Format-Table ObjectId, DisplayName>
Ces applets de commande se trouvent dans le module Azure AD (V2).
Trouver une propriété à utiliser
Bien qu'il soit agréable de pouvoir trouver l'ensemble des administrateurs globaux, cela ne nous aide pas à créer une règle d'appartenance pour un groupe dynamique Office 365. Cependant, ce que nous pouvons faire, c'est trouver une propriété dans l'ensemble de règles d'adhésion pris en charge et l'utiliser pour étiqueter nos gestionnaires de locataires. Par exemple, nous pouvons utiliser la propriété JobTitle et dire que toute personne dont le titre est "Office 365 Global Administrator" doit être incluse dans le groupe dynamique. Une fois cette décision prise, nous pouvons mettre à jour les comptes d'administrateur global actuels à la valeur correcte :
# Assurez-vous que les gestionnaires de locataires ont le titre correct. $Admins = Get-AzureADDirectoryRoleMember -ObjectId (Get-AzureADDirectoryRole|? $_.DisplayName -eq "Company Admin"). ID d'objet|Sélectionnez ObjectId, DisplayName ForEach ($Admin dans $Admins) If ($Admin.DisplayName -ne "Microsoft Rights Management Services") Set-AzureADUser -Object $Admin. ObjectId -JobTitle « Administrateur général d'Office 365 »
Le compte Microsoft Rights Management Services est exclu car il n'est pas utilisé par des humains.
l'hybride est différent
Si vous êtes dans une organisation hybride, vous pouvez utiliser les quinze propriétés étendues synchronisées à partir d'Active Directory et remplir ces valeurs en exécutant la cmdlet Set-Mailbox. Ces propriétés ne sont pas disponibles dans un locataire cloud uniquement, car le schéma n'est pas étendu pour permettre la synchronisation des propriétés à partir de l'annuaire sur site.
Créer un groupe dynamique Office 365 avec PowerShell
Nous pouvons maintenant créer notre groupe dynamique Office 365. Il est plus simple de le faire via l'interface graphique du portail Azure AD, mais voici comment créer le groupe dynamique à l'aide de PowerShell :
# Créer un groupe dynamique Office 365 New-AzureADMSGroup -DisplayName "Global Tenant Administrators" -Description "Dynamic Office 365 Group for all global tenant administrators" -MailEnabled $True -SecurityEnabled $True -MailNickname Office365GlobalAdmins -GroupTypes "DynamicMembership", "Unified" – MembershipRule "(User.JobTitle -eq ""Office 365 Global Administrator")" -MembershipRuleProcessingState "On
Après un court laps de temps, le travail de fond pour calculer l'appartenance au groupe sera terminé et vous pourrez vérifier si les bons membres sont présents. Encore une fois, l'interface graphique est le moyen le plus simple de vérifier l'appartenance :
Figure 1 : Vérification de l'appartenance au groupe dynamique Office 365
La vérification de la vue d'ensemble du groupe nous indique quand Azure Active Directory a calculé l'appartenance pour la dernière fois :
Figure 2 : Vérification de la dernière date calculée de l'adhésion au groupe dynamique Office 365
solution parfaite
C'est une solution imparfaite bien que cela fonctionne! Si l'intitulé du poste d'un administrateur global est configuré correctement, il fera partie du groupe dynamique Office 365. Il serait préférable qu'Azure Active Directory prenne en charge la possibilité d'inclure un ensemble plus large de requêtes dans les groupes dynamiques. Cela pourrait arriver à l'avenir, mais pour le moment, nous ne pouvons travailler qu'avec ce que nous avons. De plus, si un groupe de distribution dynamique fonctionne pour vous, la solution décrite par Vasil Michev fonctionne car Exchange Online est plus flexible qu'Azure Active Directory dans les filtres de destinataires qu'il prend en charge. C'est le genre de défi pratique que nous abordons à de nombreux endroits dans le livre électronique Office 365 pour les professionnels de l'informatique.