Ils se pourraient que ces articles t interessent plus que les autres

Microsoft 365 sécurité

Microsoft 365 : Sécuriser la création de groupe

Nous allons regarder aujourd’hui comment sécuriser la création de groupe Microsoft 365.
Beaucoup d’utilisateurs utilisent les solutions infonuagique Microsoft 365, mais très peu pensent sécurité.

Si je dois donner un exemple, ce serait par rapport à Microsoft Teams. Il suffit juste qu’un utilisateur est la possibilité de créer des Groupes Microsoft 365 pour qu’il puisse par la suite donner des accès à des personnes qui ne devraient pas les avoir. Cela pourrait être encore plus dramatique si c’était des accès à des personnes externes.
Il ne s’agit pas d’une erreur au niveau de la sécurité loin de là, il faut juste penser à sécuriser nos outils de travail.

1- Création d’un groupe de sécurité

Pour commencer, nous allons créer un groupe de sécurité pour les utilisateurs qui auront le droit de création de groupe.

Connectons-nous au portal admin 365 en allant sur https://admin.microsoft.com/AdminPortal/Home#/homepage puis entrons notre identifiant admin de connexion.

Créons ensuite un groupe de sécurité :

Création groupe de sécurité

Nous l’appellerons “UtilisateurCreateurDeGroupe” bien sûr, vous pouvez le nommer comme bon vous semble 😉 .

Note : désolé, je n’ai pas trouvé un autre moyen que d’utiliser PowerShell ! Pensons également à ceux qui n’aiment pas cela 🙂

2- Connexion à l’aide de Powershell

Connectons-nous d’abord à Microsoft Online grâce à Powershell. Exécutons Windows Powershell en tant qu’administrateur puis utilisons les commandes suivantes pour la connexion :

Install-module msonline
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session

Vérifions qu’aucun module AzureAD est installé.

Get-InstalledModule -Name "AzureAD*"

Si oui, exécutons la commande :

Uninstall-Module AzureAD
Uninstall-Module AzureADPreview

Installons le Module Azure AD Preview

Install-Module AzureADPreview

Puis, importons-le

Import-Module AzureADPreview
Connect-AzureAD
3- Gestion de la création de groupe

Nous allons maintenant désactiver l’option de création de groupe pour notre organisation.

Commençons par vérifier la configuration actuelle Azure AD Directory

(Get-AzureADDirectorySetting).Values

Si aucune valeur n’apparait, c’est parce qu’aucune configuration n’a encore été crée donc créons-une :

$Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
$Setting = $Template.CreateDirectorySetting()
New-AzureADDirectorySetting -DirectorySetting $Setting

Les valeurs importantes que nous devons modifier sont GroupCreationAllowedGroupId et EnableGroupCreation.

Appliquons les modifications :

$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $False
$Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "UtilisateurCreateurDeGroupe").objectid
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting

Note : Vous avez remarqué que j’ai ajouté notre groupe “UtilisateurCreateurDeGroupe ” dans la syntaxe précédente.

Vérifions que les valeurs ont bien été appliquées :

(Get-AzureADDirectorySetting).Values
Microsoft 365 - résultat groupe

EnableGroupCreation devrait être à False et l’ID dans GroupCreationAllowedGroupId devrait correspondre à l’ID résultant de cette commande :

Get-AzureADGroup -SearchString "UtilisateurCreateurDeGroupe" 

Super ! Vous avez réussi à sécuriser la création de groupe Microsoft 365 pour les utilisateurs n’appartenant pas au groupe “UtilisateurCreateurDeGroupe”

Partagez cet article sur vos réseaux !

Je ne suis plus confiné, Fan de foot mais aussi des nouvelles geeks. On discute ici et on règle les comptes sur FIFA.

You don't have permission to register
>