Exchange online : Comment déléguer facilement vos droits d’administration.


La mise en place de la solution Exchange online pose dans certaines entreprises notamment internationales le problème de la délégation d’accès de gestion. La ou l’environnement Exchange Onpremise permettait de créer des espaces de gestion distincte, Exchange online dont l’annuaire Azure Ad ne comportent pas d’unité organisationnelle, ne permet pas de base, de reproduire ces espaces de gestion.

Si l’on prend l’exemple d’une entreprise internationale comme workingtogether.corp dont les équipes de gestions sont réparties à la fois en Europe, en Asie et en Amérique et qui veut distinguer les prérogatives de gestion en fonction de l’appartenance soit à une région (APAC,NAM,EMEA) soit à un pays, cette dernière va devoir recourir à la mise en place de ce que l’on appelle les RBAC ou Rôle Based Access control.

Dans cet exemple nous allons illustrer comme facilement mettre en place cette délégation de façon à ce que chaque équipe de région ne puisse intervenir que sur les objets de messagerie (Boites aux lettres utilisateurs, Boites de salle, Boite aux lettres d’équipement, Boite aux lettres partagées, contact de messagerie, Listes de distribution) dont ils ont la responsabilité. Pas plus, pas Moins

Petite présentation des RBAC sur Exchange Online.

Les RBAC sont des outils très élaborés, souples qui permettent de définir à la fois une étendue d’objet (Scope), des rôles (Permissions), et enfin des groupes de rôles. Groupes de rôles qui vont contenir vos fameux administrateurs Régionaux.

Dans Exchange Online, ces RABC sont en place par défaut et définissent un modèle de droits qui prend en compte l’intégralité des objets de messagerie d’Exchange Online ce que, en l’occurrence la société workingtogether.corp ne veut pas. Au contraire elle entend bien dans un premier temps séparer (Scoper) ces droits par plaque continentale (APAC, NAM, EMEA)

Définir le Scope par région

Pour définir l’étendue (scope) il faut être en mesure de filtrer l’ensemble des objets de messagerie d’Exchange online qui vont être de la responsabilité de la plaque APAC, NAM ou EMEA. Si vous regarder l’ensemble des propriétés de chaque objet de messagerie dans Exchange online listé ci-dessous

  • UserMailbox
  • LinkedMailbox
  • SharedMailbox
  • RoomMailbox
  • EquipmentMailbox
  • MailUser
  • RemoteUserMailbox
  • RemoteRoomMailbox
  • RemoteEquipmentMailbox
  • RemoteSharedMailbox

Vous vous apercevrez assez rapidement de deux choses :

La première est qu’il est difficile de trouver un champ commun à tous ces objets indiquant cette fameuse zone de responsabilité et la seconde, que très peu de champs vous permettent de déterminer si tel ou tel objet devra dépendre de la responsabilité de la plaque APAC, EMEA ou NAM. Le plus simple est donc de choisir un champ CustomAttribute dans lequel vous préciserez la valeur en question à savoir APAC, NAM, EMEA

Une fois cette valeur positionnée, les choses sérieuses peuvent commencer.

Pour définir votre scope connectez-vous en PowerShell avec les droits d’administration sur Exchange online et une fois connecter tapez les commandes suivantes

  • New-ManagementScope -Name « APAC Scope » -RecipientRestrictionFilter « $_.CustomAttribute10 -Like ‘APAC*' »
  • New-ManagementScope -Name « APAC Scope » -RecipientRestrictionFilter « $_.CustomAttribute10 -Like ‘EMEA*' »
  • New-ManagementScope -Name « APAC Scope » -RecipientRestrictionFilter « $_.CustomAttribute10 -Like ‘NAM*' »

Pour ceux qui comme moi oublie tout les temps les commandes à passer pour se connecter sur Exchange online les voici 

  • $secpasswd = ConvertTo-SecureString « YOURPASSWORD » -AsPlainText -Force
  • $mycreds = New-Object System.Management.Automation.PSCredential (« YOURACCOUNT », $secpasswd)
  • $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $mycreds -Authentication Basic -AllowRedirection
  • Import-PSSession $Session

 

Votre scope est maintenant défini, nous allons passer à la partie création des rôles de gestion

Création des rôles de gestion

Les fonctionnalités RBAC sont très souples et peuvent répondre à des modèles de délégations très complexes. Dans notre cas précis, nous allons nous baser sur le modèle RBAC déjà présent par default dans Exchange online. De ce fait, nous allons créez les même prérogatives (rôles) et groupe de prérogatives (Groupe de Rôle) que ceux qui existent déjà mais que nous allons limiter au 3 scopes préalablement définis.

Une des groupes de rôles qui nous intéressent afin de donner la possibilité aux administrateurs de région de gérer les objets de messagerie qui les concerne, se nomme « Mail Recipient » illustré ci-dessous

Dans ce groupe de rôle se trouve les rôles Distribution Groups, Mail Recipient Creation, Mail recipients, Message tracking, Migration, Move Mailboxes,Recipient Policies, reset Password, Team Mailboxes

Bien que nous ne soyons pas obligés de le faire, nous allons recréer à l’identique ces rôles pour les trois régions EMEA, APAC, NAM.

Dans l’absolu on pourrait se servir de ces groupes déjà existants mais comme nous ne sommes pas à l’abri de spécificités régionales nous allons les recréer à l’identique de façon à être autonome et de pas avoir à toucher aux rôles par défaut. Les commandes suivantes créez ces rôles ainsi que le groupe de rôle

  • New-ManagementRole -Name « APAC Distribution Groups » -Parent « Distribution Groups »
  • New-ManagementRole -Name « APAC Mail Recipient Creation » -Parent « Mail Recipient Creation »
  • New-ManagementRole -Name « APAC Mail recipients » -Parent « Mail recipients »
  • New-ManagementRole -Name « APAC Mail Message Tracking » -Parent « Message Tracking »
  • New-ManagementRole -Name « APAC Mail Migration » -Parent « Migration »
  • New-ManagementRole -Name « APAC Mail Move Mailboxes » -Parent « Move Mailboxes »
  • New-ManagementRole -Name « APAC Recipient Policies » -Parent « Recipient Policies »
  • New-ManagementRole -Name « APAC Reset Password » -Parent « Reset Password »
  • New-ManagementRole -Name « APAC Team Mailboxes » -Parent « Team Mailboxes »

 

  • New-RoleGroup -Name « APAC Recipient Management » -Role « APAC Distribution Groups », »APAC Mail Recipient Creation », »APAC Mail recipients », »APAC Mail Message Tracking », »APAC Mail Migration », »APAC Mail Move Mailboxes », »APAC Recipient Policies », »APAC Reset Password », »APAC Team Mailboxes » -CustomRecipientWriteScope « APAC Scope »

 

PS même chose à faire pour EMEA et NAM

Une fois ces rôles créés nous allons donner la touche finale à notre œuvre . Nous allons créez un groupe de rôle pour chaque région (NAM, APAC, EMEA) qui va inclure l’ensemble de ces rôles et qui va les affecter sur les étendues respectives

  • New-RoleGroup -Name « APAC Recipient Management » -Role « APAC Distribution Groups », »APAC Mail Recipient Creation », »APAC Mail recipients », »APAC Mail Message Tracking », »APAC Mail Migration », »APAC Mail Move Mailboxes », »APAC Recipient Policies », »APAC Reset Password », »APAC Team Mailboxes » –CustomRecipientWriteScope « APAC Scope »

 

PS même chose à faire pour EMEA et NAM

Une fois réalisé, il ne vous reste plus qu’à ajouter vos administrateurs locaux dans ces fameux groupes comme le montre la figure suivante

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s