Les RBAC (Role Based Access Control) ou comment définir la granularité d’administration avec les groupes de rôles.
Office 365 : Définissez les rôles
Un groupe de rôles d’administrateur est un groupe de sécurité universel intégré auquel des droits d’administration ont été attribués. Les groupes de rôles permettent d’attribuer plus facilement les droits d’administration aux utilisateurs appropriés. Le Panneau de configuration Exchange peut désormais être utilisé pour créer un groupe de rôles à partir de zéro ou en copiant le paramètre d’un groupe de rôles existant.
Des rôles RBAC peuvent également être ajoutés et supprimés
Un groupe de rôle est défini par sa portée d’écriture. La portée d’écriture définit la limite administrative dans laquelle les membres du groupe de rôles sont autorisés à apporter des modifications. En d’autres termes, la portée d’écriture définit l’emplacement où les membres du groupe de rôles peuvent apporter des modifications. Pour les rôles d’administrateur intégrés qui permettent aux utilisateurs de modifier des objets, la portée d’écriture par défaut correspond à l’organisation entière.
Vous pouvez également créer des portées d’écriture personnalisées en fonction du filtrage des destinataires.
Par exemple : « Tous les utilisateurs où Service est égal à finances ». Si vous créez un groupe de rôles et si vous attribuez le rôle Options de l’utilisateur à l’aide de la portée d’écriture personnalisée, les membres du groupe de rôles peuvent afficher et modifier les paramètres de compte dans la page Options de la boîte aux lettres uniquement pour les boîtes aux lettres où « Service est égal à finances ». Une portée d’écriture peut être exclusive ou non. Une portée d’écriture exclusive permet d’isoler des boîtes aux lettres spécifiques de sorte qu’elles ne puissent être gérées que par des administrateurs désignés. Par exemple, Si un administrateur non spécifié tente de modifier une propriété de boîte aux lettres de façon à ce que cette dernière soit définie par la portée d’écriture exclusive, la modification échouera.
Pour consulter ou modifier les membres des groupes de rôles et leur portée d’écriture depuis l’interface, sélectionnez le panneau de configuration Exchange, puis Gérer l’organisation, Rôles et audits, Rôles d’administrateurs. Voir figure 2.
Les rôles suivants sont déjà définis par défaut : voir tableau ci-dessous.
Si votre organisation nécessite la conception de groupes de rôles spécifiques, notamment par exemple, si vous souhaitez une administration déléguée pour chaque entité, il est possible de créer de nouvelles RBAC à l’aide de PowerShell. Pour ceci, je vous invite à consulter l’article en ligne suivant qui vous permettra de connaître les commandes PowerShell associées à la gestion des groupes de rôles.
Pour vous familiariser avec les groupes de rôles, vous pourrez par exemple verrouiller la configuration par défaut d’Office 365. En effet, celle-ci permet aux utilisateurs de changer leur nom d’affichage depuis leur portail. Pour modifier la stratégie d’attribution de rôle par défaut pour empêcher l’ensemble des utilisateurs de modifier leur nom d’affichage, consultez la fiche suivante.
|
Role d’administrateur |
Explication |
|
Gestion de la découverte (Discovery Management) |
Utilisez Recherche dans plusieurs boîtes aux lettres pour rechercher dans les boîtes aux lettres de votre organisation des messages électroniques et d’autres types de messages qui contiennent des mots clés spécifiques. |
|
Support technique (Help Desk) |
Réinitialisez les mots de passe des utilisateurs et gérez les paramètres sur la page Options du compte basé sur un nuage des utilisateurs. Pour aider à résoudre certains problèmes relatifs aux utilisateurs, les membres peuvent également afficher, mais sans pouvoir modifier, l’ensemble des boîtes aux lettres, des groupes de distribution et des contacts externes de l’organisation. Dans Office 365 pour les entreprises, vous ne pouvez pas réinitialiser les mots de passe dans le Panneau de configuration Exchange ni dans Windows PowerShell. Pour permettre à un utilisateur de réinitialiser les mots de passe dans le portail Microsoft Online Services, vous devez attribuer le rôle d’administrateur de mot de passe Office 365 à l’utilisateur du portail Microsoft Online Services. |
|
Gestion de l’organisation (Organization Management) |
Gérez tous les aspects de l’organisation basée sur un nuage. Par défaut, le compte que vous avez spécifié pendant l’inscription initiale dans le service de messagerie électronique basé sur un nuage est membre de ce groupe de rôles. Il s’agit d’un groupe de rôles très puissant. Seuls les utilisateurs qui exécutent des tâches d’administration au niveau de l’organisation qui peuvent concerner votre organisation entière doivent être membres de ce groupe de rôles. |
|
Gestion des destinataires (Recipient Management) |
Créez et gérez les boîtes aux lettres, les groupes de distribution et les contacts externes. Les membres peuvent également importer de nouveaux utilisateurs, suivre les messages envoyés et reçus par les utilisateurs et gérer les paramètres Exchange ActiveSync pour l’organisation. |
|
Gestion des enregistrements (Records Management) |
Créez et gérez des règles à l’échelle de l’organisation, également appelées règles de transport. Les membres peuvent également suivre les messages envoyés et reçus par les utilisateurs. |
|
Gestion de la messagerie unifiée (UM Management) |
Gérez des configurations de serveur de messagerie unifiée, des propriétés de messagerie unifiée sur les boîtes aux lettres, des invites de messagerie unifiée et une configuration de standard automatique de messagerie unifiée. |
|
Afficher uniquement la gestion de l’organisation (View-Only Organization Management) |
Affichez, sans pouvoir modifier, l’ensemble des boîtes aux lettres, des groupes de distribution et des contacts externes de l’organisation. Les membres peuvent également consulter des paramètres pour les stratégies d’attribution de rôle, les règles de transport et les paramètres à l’échelle de l’organisation. |
Téléchargez cette ressource
Préparer l’entreprise aux technologies interconnectées
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Baromètre de la Transformation digitale 2024 en France
- Le secteur financier reste dans la ligne de mire des cyberattaquants
- CyberPatriot ®, le SOC de dernière génération de CHEOPS TECHNOLOGY
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
- Intégration et utilisation de l’IA en 3 conseils clés
