Introduction
La gestion des groupes de sécurité et des paramètres associés est au cœur de la sécurisation dans Entra ID. Récemment, Microsoft a introduit de nouvelles fonctionnalités qui enrichissent les capacités de contrôle grâce à des modèles de paramètres pour les groupes de sécurité. Ces fonctionnalités comprennent :
- La prise en charge des labels de conteneur Purview.
- Le contrôle de l'accès invité pour les groupes de sécurité.
Ce guide vous accompagnera dans la découverte de ces nouveautés et leur configuration.
Comprendre les modèles de paramètres pour les groupes de sécurité
Pour faciliter la gestion des groupes de sécurité, deux modèles de paramètres de répertoire ont été introduits :
- Group.Security (ID : d209f6fa-3839-4d70-b83f-60b1c64d0e8f) : configuration globale des groupes de sécurité.
- Group.Security.Policies (ID : 7e0abea2-5c20-405f-9658-bfc9a523fd49) : configuration spécifique pour un groupe.
1Get-MgGroupSettingTemplateGroupSettingTemplate | ? {$_.DisplayName -like "Group.Security*"} | select *Ces modèles intègrent les paramètres suivants :
| Nom du paramètre | Description | Type |
|---|---|---|
| AllowToAddGuests | Indique si les invités sont autorisés. | System.Boolean |
| EnableMIPLabels | Indique si les labels Purview sont activés. | System.Boolean |
Comment configurer ces paramètres ?
L'opération se fait via les cmdlets PowerShell ou l'API Graph. Voici un exemple :
Connexion à Graph
Connectez-vous avec les permissions nécessaires.
1Connect-MgGraph -Scopes "GroupSettings.ReadWrite.All"Vérification de l'existence d'un objet
Utilisez l'ID du modèle pour vérifier s'il existe déjà.
1$res = Get-MgGroupSetting | ? {$_.TemplateId -eq "d209f6fa-3839-4d70-b83f-60b1c64d0e8f"}Création ou mise à jour de l'objet
Créez ou mettez à jour les paramètres globaux.
1# Mise à jour d'un objet existant2if ($res) { Update-MgGroupSetting -GroupSettingId $res.Id -Values (@{'name'='AllowToAddGuests';'value'='false'}) }3 4# Création d'un nouvel objet5New-MgGroupSetting -TemplateId d209f6fa-3839-4d70-b83f-60b1c64d0e8f -Values (@{'name'='AllowToAddGuests';'value'='false'})Attention
Si un groupe est déjà associé à un label de conteneur, certaines modifications peuvent échouer avec un message d'erreur lié aux restrictions de labels.
Support des labels de sensibilité pour les groupes de sécurité
Les labels Purview permettent de contrôler l'accès invité et la sécurisation des groupes. Cependant, leur activation est limitée à des configurations globales et nécessite les steps suivants :
Activer les labels Purview
Configurer le paramètre EnableMIPLabels
Utilisez les cmdlets PowerShell pour activer cette fonctionnalité globalement.
1Connect-MgGraph -Scopes "GroupSettings.ReadWrite.All"2 3$res = Get-MgGroupSetting | ? {$_.TemplateId -eq "d209f6fa-3839-4d70-b83f-60b1c64d0e8f"}4if ($res) { Update-MgGroupSetting -GroupSettingId $res.Id -Values (@{'name'='EnableMIPLabels';'value'='true'}) }Exécuter la synchronisation des labels
Synchronisez les labels Purview avec Entra ID.
1Execute-AzureADLabelSyncAssignation des labels à un groupe existant
L'assignation directe d'un label à un groupe peut être effectuée via PowerShell ou l'API Graph. Par exemple :
1Connect-MgGraph -Scopes "Group.ManageProtection.All"2 3# Assignation d'un label4Update-MgGroup -GroupId c20a48cc-3931-47e7-95fd-911224c600bb -AssignedLabels @{labelId = "97de4155-a502-43c4-bf15-51cd8447c07e"}1PATCH https://graph.microsoft.com/v1.0/groups/37e85861-5e4e-4670-9dfd-07e22a6787792{3 "assignedLabels": [4 {5 "labelId": "97de4155-a502-43c4-bf15-51cd8447c07e"6 }7 ]8}
Bon à savoir
Une fois qu'un label est assigné à un groupe, il ne peut ni être modifié ni supprimé, que ce soit via l'interface utilisateur ou des méthodes API.
Conclusion
Ces nouvelles fonctionnalités d'Entra ID offrent aux professionnels IT davantage de contrôle granulaire sur la gestion des accès et la sécurisation des groupes. Que ce soit par les paramètres globaux ou spécifiques, ou par les labels Purview, chaque méthode apporte flexibilité et robustesse dans l'administration.
Dans le prochain article, nous explorerons les restrictions liées à l'utilisation des settings et labels dans le service.
