Azure AD / Types de groupe Microsoft 365, caractéristiques, capacités

La planification et la gestion des identités et du cycle de vie basés sur les groupes peuvent être très complexes dans un environnement Azure AD en raison des différents types de groupes disponibles et des diverses sources de groupe disponibles dans un locataire connecté à une infrastructure d’identité sur site ou même à Exchange Online. Comprendre les cas d’utilisation de chaque type de groupe et où ses attributs et son appartenance peuvent être gérés peut être complexe. Microsoft a publié le «Comparer les groupes» qui aborde partiellement ce sujet, mais pas avec le niveau de détail requis pour ceux qui planifient la structure de gestion des identités de groupe pour une adoption de Microsoft 365. Les informations fournies ci-dessous visent à combler cette lacune.

Regrouper les sources et les types dans un locataire Microsoft 365/Azure AD

Types de groupes Azure AD natifs

Premièrement, les groupes dans Azure AD peuvent provenir directement d’Azure AD. Seuls deux types de groupes peuvent provenir directement d’Azure AD :

• Sécurité (Azure AD natif)
• Microsoft 365

Autres types de groupes Azure AD

De plus, les groupes Azure AD peuvent provenir de l’extérieur d’Azure AD en étant synchronisés dans Azure AD à partir d’une source connectée telle qu’Exchange Online ou d’un ou plusieurs environnements Active Directory locaux (qui peuvent également inclure des organisations et des attributs Exchange locaux). Actuellement, de nombreuses entreprises, sinon la plupart, qui ont un Microsoft 365/Azure Ad Tenant ont configuré des identités sur site pour se synchroniser avec Azure AD via Azure AD Connect ou une autre solution de gestion des identités. Selon la configuration de cette solution de synchronisation des identités, divers types de groupes locaux seront synchronisés avec Azure AD (et les services Microsoft 365 connectés). De même, les groupes provenant d’Exchange Online peuvent apparaître dans Azure AD. Plus précisément, les types de groupes qui proviennent de ces autres sources, mais qui peuvent apparaître dans Azure AD incluent les types suivants :

• Sécurité (synchronisée depuis AD)
• Sécurité activée par la messagerie (depuis AD/Exchange ou Exchange Online)
• Distribution (depuis AD/Exchange ou Exchange Online)

Caractéristiques et capacités du groupe par type et source

Liste des types de groupe

Le tableau suivant décrit les caractéristiques et capacités disponibles d’un groupe en fonction de son type et de sa source (Origine/Maître). Les types de groupe inclus sont les suivants :

• Sécurité (quelle que soit la source, Azure AD ou AD) : peut être utilisée comme principal de sécurité dans diverses listes de contrôle d’accès pour les autorisations sur les dossiers, les étiquettes, les politiques, les sites, les applications, etc. De nombreuses autres utilisations potentielles.
• Microsoft 365 (la source est toujours Azure AD) : peut être utilisé comme un groupe de sécurité (en tant que principal de sécurité), mais est également la source d’adhésion pour Microsoft Teams, les planificateurs, les boîtes aux lettres de groupe, les sites SharePoint en ligne basés sur des groupes et d’autres services Microsoft 365 .
• Distribution (la source est toujours Exchange sur site/AD ou Exchange Online) : peut être utilisée pour la distribution de courrier électronique et certaines autres applications comme le ciblage d’audience dans SharePoint Online.
• Distribution dynamique (la source est toujours Exchange sur site ou Exchange Online) : peut être utilisée pour la distribution du courrier. Ne se synchronise pas de l’environnement source vers Azure AD – n’apparaît jamais dans Azure AD.
• Mail-Enabled Security (: identique à la sécurité plus la distribution des e-mails. N’est pas considéré comme une meilleure pratique à utiliser dans la plupart des cas (il est généralement préférable de séparer la distribution des e-mails des applications du groupe de sécurité).

Liste des sources de groupe (origine/maître)

Le tableau suivant décrit les caractéristiques et capacités disponibles d’un groupe en fonction de son type et de sa source (Origine/Maître). Les sources de groupe incluses sont les suivantes :

• AD : une forêt Active Directory (un ou plusieurs domaines) hébergée en dehors d’Azure AD (généralement sur site, mais peut être hébergée dans un environnement cloud).
• Azure AD : le service d’annuaire associé à un locataire Microsoft Azure / Microsoft 365
• EOP : Exchange sur site. Une organisation Exchange connectée à un environnement Active Directory.
• EXO : Échange en ligne. Une organisation Exchange Online connectée à l’environnement Exchange Online et connectée à un locataire Azure AD / Microsoft 365