Introduction : pourquoi le portail de création d'un groupe compte vraiment
Dans un environnement Microsoft 365 et Microsoft Entra ID, la création d'un groupe semble être une opération banale. Pourtant, une réalité technique souvent ignorée se cache derrière cette action : selon le portail utilisé, les attributs sous-jacents securityEnabled et mailEnabled ne sont pas positionnés de la même façon. Un groupe Microsoft 365 créé depuis le Centre d'administration Microsoft 365 ne présente pas la même configuration technique que son équivalent créé depuis Teams ou via l'API Microsoft Graph.
Cette subtilité a des implications directes sur la gouvernance des identités, l'attribution des droits d'accès et la cohérence des politiques de sécurité. Cet article détaille ces différences portail par portail et propose une approche structurée pour éviter les incohérences dans votre annuaire.
Attention aux valeurs par défaut
Deux groupes créés avec le même nom et le même type apparent peuvent avoir des comportements radicalement différents selon le portail de création. Ce point est critique pour toute politique Zero Trust ou d'accès conditionnel.
Cartographie des portails et des types de groupes
Cinq portails principaux permettent la création de groupes dans l'écosystème Microsoft 365 :
- Portail Microsoft Entra (entra.microsoft.com)
- Centre d'administration Microsoft 365 (admin.microsoft.com)
- Exchange Admin Center (admin.exchange.microsoft.com)
- Teams Admin Center (admin.teams.microsoft.com)
- Microsoft Graph API
Chacun de ces portails supporte un sous-ensemble différent des cinq types de groupes disponibles.
Groupes de sécurité
Les groupes de sécurité (securityEnabled = true, mailEnabled = false) sont créables depuis :
- Le portail Entra
- Le Centre d'administration Microsoft 365
- L'API Microsoft Graph
Ils ne sont pas disponibles depuis l'Exchange Admin Center ni le Teams Admin Center. Ce type de groupe est le plus couramment utilisé pour l'attribution de rôles, la gestion des licences et le ciblage de politiques d'accès conditionnel.
Groupes Microsoft 365
Les groupes Microsoft 365 (securityEnabled + mailEnabled = true) sont les plus polyvalents et les plus complexes en termes de valeurs par défaut. Ils peuvent être créés depuis presque tous les portails, mais avec des attributs différents selon l'origine — un point développé en détail dans la section suivante.
Groupes de distribution et groupes Ă extension messagerie
Les groupes de distribution (securityEnabled = false, mailEnabled = true) et les groupes de sécurité à extension messagerie (mail-enabled security groups) relèvent principalement de la messagerie Exchange. Leur création est disponible depuis :
- Le Centre d'administration Microsoft 365
- L'Exchange Admin Center
- L'API Microsoft Graph
Le portail Entra ne permet pas leur création directe.
Groupes dynamiques
Les groupes dynamiques (appartenance basée sur des règles d'attributs) sont pleinement supportés par le portail Entra et l'API Graph. Le Centre d'administration Microsoft 365 offre un support partiel, limité aux groupes de sécurité dynamiques. Les groupes Microsoft 365 dynamiques ne peuvent pas y être créés.
| Type de groupe | Portail Entra | M365 Admin Center | Exchange Admin Center | Teams Admin Center | Graph API |
|---|---|---|---|---|---|
| Groupe de sécurité | ✅ | ✅ | ❌ | ❌ | ✅ |
| Groupe Microsoft 365 | âś… | âś… | âś… | âś… (via Team) | âś… |
| Groupe de distribution | ❌ | ✅ | ✅ | ❌ | ✅ |
| Groupe de sécurité à extension messagerie | ❌ | ✅ | ✅ | ❌ | ✅ |
| Groupe dynamique (sécurité) | ✅ | ✅ (partiel) | ❌ | ❌ | ✅ |
| Groupe dynamique (M365) | ✅ | ❌ | ❌ | ❌ | ✅ |
Le piège des valeurs par défaut pour les groupes Microsoft 365
C'est sur ce type de groupe que les écarts de configuration sont les plus significatifs et les plus susceptibles d'engendrer des comportements inattendus.
| Portail de création | securityEnabled | mailEnabled |
|---|---|---|
| Portail Entra | true | true |
| M365 Admin Center | false | true |
| Exchange Admin Center | false | true |
| Teams (Team-created) | true | true |
| Microsoft Graph API | Défini explicitement | Défini explicitement |
La différence clé se situe entre le Centre d'administration Microsoft 365 et le portail Teams : un groupe créé lors de la création d'une équipe Teams se voit attribuer securityEnabled = true, alors que le même type de groupe créé depuis le Centre d'administration Microsoft 365 aura securityEnabled = false.
Cette distinction a des conséquences concrètes :
- Un groupe avec
securityEnabled = falsene peut pas être utilisé pour cibler certaines politiques d'accès conditionnel. - Il ne peut pas être utilisé pour l'attribution de rôles Azure ou Microsoft 365.
- Les campagnes d'audit et de nettoyage des groupes peuvent produire des résultats incohérents si ce paramètre n'est pas pris en compte.
Vérification via Microsoft Graph
Pour auditer les valeurs réelles de vos groupes existants, vous pouvez interroger l'API Graph. La commande PowerShell suivante via le module Microsoft.Graph permet de récupérer ces attributs pour tous vos groupes.
1# Connexion au module Microsoft Graph2Connect-MgGraph -Scopes "Group.Read.All"3 4# Récupération des groupes avec leurs attributs securityEnabled et mailEnabled5Get-MgGroup -All | Select-Object DisplayName, SecurityEnabled, MailEnabled, GroupTypes | Sort-Object DisplayName | Format-Table -AutoSizePour aller plus loin et filtrer uniquement les groupes Microsoft 365 dont securityEnabled est à false (potentiellement mal configurés pour vos besoins) :
1# Filtrage des groupes Microsoft 365 avec securityEnabled = false2Get-MgGroup -All -Filter "groupTypes/any(c:c eq 'Unified') and securityEnabled eq false" |3 Select-Object DisplayName, SecurityEnabled, MailEnabled |4 Sort-Object DisplayNamePourquoi ces différences impactent directement votre gouvernance
Dans une approche Zero Trust et Identity First, la cohérence de la configuration des objets d'annuaire est non négociable. Des groupes hétérogènes — créés indifféremment depuis Teams, le Centre d'administration ou le portail Entra — génèrent un parc difficile à auditer et exposent l'organisation à plusieurs risques :
- Politiques d'accès conditionnel inefficaces : un groupe ciblé dans une politique peut ne pas se comporter comme attendu si
securityEnabledest Ăfalse. - Attribution de licences ou de rĂ´les incohĂ©rente : certains scĂ©narios d'attribution nĂ©cessitent des groupes de sĂ©curitĂ© activĂ©s.
- Complexité des audits de conformité : un auditeur ou un outil de gouvernance comme Microsoft Entra ID Governance ou Purview peut produire des rapports erronés si les types de groupes ne sont pas standardisés.
- Surface d'attaque élargie : des groupes mal configurés peuvent accorder des accès non intentionnels.
Bonne pratique de gouvernance
Documentez explicitement, dans votre runbook de gouvernance des identités, quel portail ou quelle méthode doit être utilisé pour chaque type de groupe. Intégrez cette règle dans vos processus d'onboarding des équipes IT.
Recommandations pour standardiser la création de groupes
Face à ces divergences, trois approches complémentaires permettent de reprendre le contrôle.
1. Privilégier l'API Microsoft Graph pour l'automatisation
L'API Graph est la seule interface qui permet de définir explicitement securityEnabled et mailEnabled lors de la création, sans valeurs par défaut imposées. Elle est donc idéale pour les processus automatisés et reproductibles.
Exemple de création d'un groupe Microsoft 365 avec securityEnabled = true via PowerShell et le module Microsoft.Graph :
1# Connexion avec les droits nécessaires2Connect-MgGraph -Scopes "Group.ReadWrite.All"3 4# Création d'un groupe Microsoft 365 avec les deux attributs explicitement définis5$groupParams = @{6 DisplayName = "Equipe-Projet-Alpha"7 MailNickname = "equipe-projet-alpha"8 Description = "Groupe Microsoft 365 pour le projet Alpha"9 GroupTypes = @("Unified")10 MailEnabled = $true11 SecurityEnabled = $true12 Visibility = "Private"13}14 15New-MgGroup -BodyParameter $groupParamsRéférence Microsoft
La documentation officielle de la ressource group dans Microsoft Graph est disponible sur learn.microsoft.com. Elle détaille l'ensemble des propriétés supportées lors de la création et de la mise à jour des groupes.
2. Standardiser le portail de référence par type de groupe
Si votre organisation n'est pas encore prête à automatiser toutes les créations de groupes, définissez au minimum un portail de référence pour chaque type :
- Groupes de sécurité → Portail Entra ou PowerShell
- Groupes Microsoft 365 → Portail Entra (pour garantir
securityEnabled = true) - Groupes de distribution → Exchange Admin Center
- Groupes dynamiques → Portail Entra
3. Implémenter une politique de nommage et d'audit régulier
La politique de nommage des groupes dans Entra ID (via les paramètres de groupe) permet d'appliquer des préfixes ou suffixes qui facilitent l'identification du type et de l'origine des groupes. Couplée à des revues d'accès périodiques via Microsoft Entra ID Governance, elle constitue un filet de sécurité efficace.
1# Vérification de la politique de nommage actuelle2Connect-MgGraph -Scopes "Directory.Read.All"3Get-MgGroupSettingTemplate | Where-Object { $_.DisplayName -eq "Group.Unified" }Point critique pour les migrations
Lors d'une migration ou d'une consolidation de tenants, vérifiez systématiquement les attributs securityEnabled et mailEnabled de chaque groupe importé. Des outils comme Microsoft Entra Connect ou des scripts PowerShell dédiés sont indispensables pour éviter de reproduire des incohérences existantes dans le nouvel environnement.
Références techniques
Pour approfondir les concepts abordés dans cet article, les ressources officielles suivantes sont recommandées :
- Ressource group dans Microsoft Graph API — Référence complète des propriétés et opérations disponibles.
- Comparer les groupes dans Microsoft 365 — Vue d'ensemble des types de groupes et de leurs cas d'usage.
- Gérer les groupes Entra ID — Guide de gestion depuis le portail Entra.
- Accès conditionnel et groupes — Impact des groupes dans les politiques d'accès conditionnel.
- Module PowerShell Microsoft.Graph — Documentation du module PowerShell officiel pour Graph API.
Conclusion : standardiser pour maîtriser son annuaire
Le portail utilisé pour créer un groupe dans Microsoft 365 et Entra ID influe directement sur ses attributs techniques et, par conséquent, sur son comportement dans l'ensemble de l'écosystème. Cette réalité — souvent découverte lors d'audits ou d'incidents — justifie une approche proactive et documentée de la gouvernance des groupes.
Les équipes IT soucieuses de sécurité et de conformité ont tout intérêt à :
- Auditer l'existant avec les scripts PowerShell présentés ci-dessus.
- Standardiser les méthodes de création en privilégiant l'API Microsoft Graph pour les processus automatisés.
- Documenter les règles dans un runbook accessible à toutes les équipes concernées.
- Planifier des revues régulières via Microsoft Entra ID Governance pour maintenir la cohérence dans le temps.
C'est à ce prix que l'on obtient un annuaire auditable, cohérent et véritablement aligné sur les principes du Zero Trust.
