none
Exchange 2016 multi-tenant - cloisonner l'administration d'une organisation

    Discussion générale

  • Bonjour, 

    Je souhaite mettre en place une plateforme Exchange 2016 en multi-tenant (Mode hosting sous Exchange 2010).
    L'installation et le paramétrage d'Exchange ne pose pas de soucis mais lorsque j'ajoute un compte Administrateur à mon organisation Exchange, celui-ci peut visualiser l'ensemble des comptes Exchange du serveur (Users, Groupes, Listes...) de toutes les autres organisations.
    La modification est autorisée que pour son organisation.

    J'essaye de cloisonner la gestion avec RBAC notamment en modifiant la portée d'écriture sur l'OU de l'organisation concernée mais ça ne change rien.

    Quelqu'un aurait-il une solution à ce problème autre que de partir vers des outils tiers qui remplacent l'utilisation du centre d'administration Exchange.

    Merci pour vos retours.
    lundi 23 octobre 2017 13:39

Toutes les réponses

  • Bonjour JKermorvant,


    Il faudra savoir que vous ne pouvez pas supprimer les "build-in" admin rôles, mais vous pouvez ajouter l'administrateur dans le groupe Gestion des serveurs et specifier ses permissions :
    https://technet.microsoft.com/fr-fr/library/dd351175(v=exchg.160).aspx

    Cordialement,
    Teodora


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    mardi 24 octobre 2017 10:22
    Modérateur
  • Merci Teodora, 

    Je vais tester ça de suite et ferai un retour rapidement.

    Cordialement,

    JKermorvant

    mardi 24 octobre 2017 13:06
  • Bonjour Teodora,

    Merci pour votre réponse.

    Je ne souhaite pas supprimer les "build-in" admin rôles existant qui sont attribués à mon compte d'Administrateur par défaut.
    Je détail un peu plus ma demande, je me rend compte qu'en ayant le nez dedans, je n'ai pas été assez précis.

    Chaque Organisation est définie dans une OU de l'Active Directory :
    - OU-Exchange 
          - OU-Tenant1
          - OU-Tenant2

    J'ai une organisation "Tenant1" qui à son propre domaine de messagerie, users, Address List...
    ### Tenant1 : 
    Global Address List : "Tenant1_GAL"
    Address List de Salle : "Tenant1 - Toutes les salles"
    Address List All-Users : "Tenant1 - Tous les utilisateurs"
    Address List de Contact : "Tenant1 - Tous les contacts"
    Address List de Groupe : "Tenant1 - Tous les listes de distribution"
    Offline Address Book : "Tenant1_OAB"
    Address Book Policy ABP : "Tenant1_ABP"
    Email Address Policy : "Tenant1_EAP"

    J'ai créé un compte "Admin-Tenant1" qui doit administrer cette organisation (Création, suppression...) dans le même principe qu'en Exchange 2010.

    A Côté, j'ai créé une autre organisation "Tenant2" avec elle même son propre administrateur d'organisation.

    Le cloisonnement des utilisateurs se fait bien au niveau des différents carnet d'adresses. 
    Le problème survient sur les droits à accorder aux administrateurs des organisations pour qu'ils ne puissent voir uniquement leur organisation.

    Pour le paramétrage, j'ai créé un nouveau groupe de rôle et attribué un certains nombres de rôles prédéfinis.
    Exemple :
    Je crée un groupe de rôle "Tenant1-Management"
    J'ajoute le rôle "Distribution Group" uniquement
    Je modifie la portée d'écriture vers mon OU concernée "domain.local/Exchange/Tenant1".
    J'ajoute le compte "Admin-Tenant1" au groupe de rôle.

    Avec cette configuration, le compte "Admin-Tenant1" pourra visualiser les utilisateurs de l'organisation Tenant2.

    J'espère avoir été un peu plus clair sur ma demande.

    Cordialement,
    JKermorvant
    mardi 24 octobre 2017 13:36
  • Re-bonjour JKermorvant,

    Il y a des solutions offertes dans le thread suivant, qui peuvent aussi être appliquées pour la version Exchange 2016 :
    https://social.technet.microsoft.com/Forums/ie/en-US/e1581bca-c533-48ef-94eb-9f796a72dac9/how-to-setup-admins-for-seperate-ous-in-exchange-2013-so-that-each-ous-admin-can-only-see-the?forum=exchangesvrdeploy
    Sinon, Azure offre la possibilité “Restrict-Access-To-Tenants“ :
    https://vanhybrid.com/2017/02/02/microsoft-releases-new-tenant-restriction-capability/

    Cordialement,
    Teodora


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    mercredi 25 octobre 2017 09:36
    Modérateur
  • Merci Teodora, 

    J'ai déjà tenté la première solution qui ne corrige malheureusement pas le soucis comme indiqué en bas du thread.

    Je ne connaissais pas l'option "Restrict-Access-To-Tenants", je vais voir si ça peut correspondre à mon besoin.

    Je reviens poster le résultat.

    Merci encore pour votre aide.

    Cordialement,

    JKermorvant

    mercredi 25 octobre 2017 13:00
  • L'option "Restrict-Access-To-Tenants" est disponible uniquement sur Azure d'après ce que j'ai pu lire.

    Je ne vois pas de méthode pour de la configuration sur une plate-forme Exchange autonome.

    Cordialement,

    JKermorvant


    mercredi 25 octobre 2017 13:27
  • Bonjour,

    Je suis très intéresser par votre sujet car je suis dans la même situation avez-vous trouvez une solution à ce problème ?

    Cordialement,

    Devinekoi

    jeudi 12 juillet 2018 09:12