Microsoft 365 : Sécuriser la création de groupe

Nous allons regarder aujourd’hui comment sécuriser la création de groupe Microsoft 365.
Beaucoup d’utilisateurs utilisent les solutions infonuagique Microsoft 365, mais très peu pense sécurité.

Si je dois donner un exemple, ce serait par rapport à Microsoft Teams. Il suffit juste qu’un utilisateur est la possibilité de créer des Groupes Microsoft 365 pour qu’il puisse par la suite donner des accès à des personnes qui ne devraient pas les avoir. Cela pourrait être encore plus dramatique si c’était des accès à des personnes externes.
Il ne s’agit pas d’une erreur au niveau de la sécurité loin de là, il faut juste penser à sécuriser nos outils de travail.

1- Création d’un groupe de sécurité

Pour commencer, nous allons tout d’abord créer un groupe de sécurité pour les utilisateurs qui auront le droit de création de groupe.

Connectons-nous au portal admin 365 en allant sur https://admin.microsoft.com/AdminPortal/Home#/homepage puis entrons notre identifiant admin de connexion.

Créons ensuite un groupe de sécurité :

Nous l’appellerons « UtilisateurCreateurDeGroupe » bien sûr, vous pouvez le nommer comme bon vous semble .

Note : désolé, je n’ai pas trouvé un autre moyen que d’utiliser PowerShell ! Pensons également à ceux qui n’aiment pas cela

2- Connexion à l’aide de Powershell

Connectons-nous d’abord à Microsoft Online grâce à Powershell. Exécutons Windows Powershell en tant qu’administrateur puis utilisons les commandes suivantes pour la connexion :

Install-module msonline
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session

Vérifions qu’aucun module AzureAD est installé.

Get-InstalledModule -Name "AzureAD*"

Si oui, exécutons la commande :

Uninstall-Module AzureAD
Uninstall-Module AzureADPreview

Installons le Module Azure AD Preview

Install-Module AzureADPreview

Puis, importons-le

Import-Module AzureADPreview
Connect-AzureAD

3- Gestion de la création de groupe

Nous allons maintenant désactiver l’option de création de groupe pour notre organisation.

Commençons par vérifier la configuration actuelle Azure AD Directory

(Get-AzureADDirectorySetting).Values

Si aucune valeur n’apparait, c’est parce qu’aucune configuration n’a encore été crée donc créons-une :

$Template = Get-AzureADDirectorySettingTemplate | where {$_.DisplayName -eq 'Group.Unified'}
$Setting = $Template.CreateDirectorySetting()
New-AzureADDirectorySetting -DirectorySetting $Setting

Les valeurs importantes que nous devons modifier sont GroupCreationAllowedGroupId et EnableGroupCreation.

Appliquons les modifications :

$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
$Setting["EnableGroupCreation"] = $False
$Setting["GroupCreationAllowedGroupId"] = (Get-AzureADGroup -SearchString "UtilisateurCreateurDeGroupe").objectid
Set-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id -DirectorySetting $Setting

Note : Vous avez remarqué que j’ai ajouté notre groupe « UtilisateurCreateurDeGroupe  » dans la syntaxe précédente.

Vérifions que les valeurs ont bien été appliquées :

(Get-AzureADDirectorySetting).Values

EnableGroupCreation devrait être à False et l’ID dans GroupCreationAllowedGroupId devrait correspondre à l’ID résultant de cette commande :

Get-AzureADGroup -SearchString "UtilisateurCreateurDeGroupe" 

Super ! Vous avez réussi à sécuriser la création de groupe Microsoft 365 pour les utilisateurs n’appartenant pas au groupe « UtilisateurCreateurDeGroupe »

3 Ways to manage Microsoft 365 groups

Azure AD Preview Gallery

Microsoft 365, ils ont frappés fort !