Microsoft 365 : Sécuriser la création de groupe
Nous allons regarder aujourd’hui comment sécuriser la création de groupe Microsoft 365.
Beaucoup d’utilisateurs utilisent les solutions infonuagique Microsoft 365, mais très peu pensent sécurité.
Si je dois donner un exemple, ce serait par rapport à Microsoft Teams. Il suffit juste qu’un utilisateur est la possibilité de créer des Groupes Microsoft 365 pour qu’il puisse par la suite donner des accès à des personnes qui ne devraient pas les avoir. Cela pourrait être encore plus dramatique si c’était des accès à des personnes externes.
Il ne s’agit pas d’une erreur au niveau de la sécurité loin de là, il faut juste penser à sécuriser nos outils de travail.
1- Création d’un groupe de sécurité
Pour commencer, nous allons créer un groupe de sécurité pour les utilisateurs qui auront le droit de création de groupe.
Connectons-nous au portal admin 365 en allant sur https://admin.microsoft.com/AdminPortal/Home#/homepage puis entrons notre identifiant admin de connexion.
Créons ensuite un groupe de sécurité :
Nous l’appellerons “UtilisateurCreateurDeGroupe” bien sûr, vous pouvez le nommer comme bon vous semble 😉 .
Note : désolé, je n’ai pas trouvé un autre moyen que d’utiliser PowerShell ! Pensons également à ceux qui n’aiment pas cela 🙂
2- Connexion à l’aide de Powershell
Connectons-nous d’abord à Microsoft Online grâce à Powershell. Exécutons Windows Powershell en tant qu’administrateur puis utilisons les commandes suivantes pour la connexion :
Install-module msonline
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session
Vérifions qu’aucun module AzureAD est installé.
Get-InstalledModule -Name "AzureAD*"
Si oui, exécutons la commande :
Uninstall-Module AzureAD
Uninstall-Module AzureADPreview
Installons le Module Azure AD Preview
Install-Module AzureADPreview
Puis, importons-le
Import-Module AzureADPreview
Connect-AzureAD
3- Gestion de la création de groupe
Nous allons maintenant désactiver l’option de création de groupe pour notre organisation.
Commençons par vérifier la configuration actuelle Azure AD Directory
(Get-AzureADDirectorySetting).Values
Si aucune valeur n’apparait, c’est parce qu’aucune configuration n’a encore été crée donc créons-une :
$Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
$Setting = $Template.CreateDirectorySetting()
New-AzureADDirectorySetting -DirectorySetting $Setting
Les valeurs importantes que nous devons modifier sont GroupCreationAllowedGroupId et EnableGroupCreation.
Appliquons les modifications :
$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $False
$Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "UtilisateurCreateurDeGroupe").objectid
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting
Note : Vous avez remarqué que j’ai ajouté notre groupe “UtilisateurCreateurDeGroupe ” dans la syntaxe précédente.
Vérifions que les valeurs ont bien été appliquées :
(Get-AzureADDirectorySetting).Values
EnableGroupCreation devrait être à False et l’ID dans GroupCreationAllowedGroupId devrait correspondre à l’ID résultant de cette commande :
Get-AzureADGroup -SearchString "UtilisateurCreateurDeGroupe"
Super ! Vous avez réussi à sécuriser la création de groupe Microsoft 365 pour les utilisateurs n’appartenant pas au groupe “UtilisateurCreateurDeGroupe”
3 Ways to manage Microsoft 365 groups
Microsoft 365, ils ont frappés fort !