Espace revendeurs et partenaires
Logo Open Host
Ticket Contactez-nous
Espace revendeurs et partenaires
Loupe

Unités administratives Microsoft 365 : la solution pour structurer un tenant multi-filiales ?

Office 365 - RGPD - Sécurité Publié le 3 juin 2025 par christophe darfeuille
Unités administratives Microsoft 365

De nombreuses entreprises organisées en filiales font face à une problématique bien spécifique lorsqu’elles utilisent Microsoft 365 : comment permettre à chaque équipe informatique de gérer uniquement ses propres utilisateurs, sans interférer avec les autres ? Autrement dit, comment cloisonner la gestion des comptes au sein d’un tenant Microsoft 365 unique ?
Les unités administratives Microsoft 365 apportent une réponse concrète à cette question stratégique, qui touche à la gouvernance IT, à la sécurité et à la scalabilité de l’infrastructure cloud.

Un seul tenant Microsoft 365 pour plusieurs filiales : est-ce viable ?

La bonne nouvelle, c’est que Microsoft 365, via Azure Active Directory (Entra ID), propose des outils puissants pour segmenter la gestion administrative d’une organisation, tout en maintenant une structure unifiée.

La fonctionnalité centrale ici est celle des Unités Administratives (Administrative Units, ou AUs), qui permettent de structurer logiquement les objets de l’annuaire (utilisateurs, groupes, appareils) et d’y associer des droits d’administration délimités par périmètre.

Les outils de cloisonnement disponibles dans Microsoft 365

1. Unités Administratives (AUs)

Les Unités Administratives permettent de regrouper les utilisateurs par entité organisationnelle (filiale, région, service…) et d’y affecter des administrateurs restreints. Chaque équipe informatique locale peut ainsi gérer ses utilisateurs sans avoir accès à ceux des autres filiales.

👉 Ce qu’elles permettent :

  • Délimiter la portée d’un administrateur à un sous-ensemble d’utilisateurs.
  • Éviter les erreurs de gestion entre filiales.
  • Réduire les risques de mauvaise manipulation à grande échelle.

2. Rôles délégués à portée limitée

Combinées aux AUs, les Scoped Admin Roles permettent d’assigner des rôles comme “User Administrator” ou “Groups Administrator” uniquement sur une unité administrative donnée. Cela garantit que les équipes locales restent dans leur périmètre.

3. Attributs d’annuaire et conventions d’organisation

Pour renforcer cette structuration, il est conseillé d’utiliser des attributs de classification (department, company, extensionAttributeX, etc.) qui identifient clairement l’appartenance d’un utilisateur donné à une filiale spécifique. (cela peut aussi se faire par le nom de domaine de messagerie). Ces attributs facilitent les filtres, les politiques conditionnelles, et la visibilité dans les consoles d’administration.

Les avantages d’une approche avec un seul tenant

Choisir de regrouper toutes les filiales dans un tenant Microsoft 365 unique, tout en cloisonnant les accès, présente plusieurs atouts :

Gouvernance centralisée

Un tenant unique facilite la gestion des licences, des politiques de sécurité, de la conformité réglementaire (DLP, archivage, supervision).

Expérience utilisateur cohérente

Les utilisateurs bénéficient d’un annuaire global unifié, d’un partage simplifié entre filiales, et d’une expérience fluide sur Teams, OneDrive, SharePoint…

Réduction des coûts

Moins de redondance dans les abonnements, les configurations, et la maintenance.

Interopérabilité native

Pas besoin de gérer des relations inter-tenants complexes (B2B, invités, etc.), tout est intégré nativement.

Les inconvénients à prendre en compte

Cette architecture n’est cependant pas sans contraintes :

Complexité de mise en œuvre initiale

Configurer correctement les unités administratives, les rôles, et la structure logique requiert une réflexion fine et une planification rigoureuse. Un accompagnement par un expert MS 365 peut s’avérer utile.

Risque d’erreurs globales

Un tenant unique expose potentiellement toute l’organisation à une mauvaise configuration (ex. : mauvaise politique conditionnelle appliquée globalement).

Limites des fonctionnalités

Toutes les fonctionnalités ne sont pas disponibles avec des rôles restreints. Certaines opérations d’administration nécessitent encore des droits plus globaux.

Comparatif : un tenant Microsoft 365 unique vs plusieurs tenants

CritèreTenant unique (avec AUs)Plusieurs tenants
GouvernanceCentraliséeDécentralisée
Expérience utilisateurHomogèneFragmentée
Partage inter-filialesSimple et fluideComplexe à configurer
Autonomie des filialesMoyenne à forte (avec AUs)Très forte
Séparation des risquesLimitéeTotale
Coût de licenceOptimiséPlus élevé
Complexité techniqueMoyenne (architecture interne)Élevée (interopérabilité entre tenants)

Points clés à retenir sur les Unités Administrative de MS 365

Il est tout à fait possible de cloisonner la gestion des utilisateurs par filiale dans un tenant Microsoft 365 unique, à condition d’utiliser les bonnes fonctionnalités : Unités Administratives, rôles à portée restreinte, et une organisation rigoureuse des objets.

Cette approche hybride permet de concilier centralisation et autonomie, tout en maximisant l’efficacité des outils Microsoft 365. Elle s’avère particulièrement pertinente pour les groupes d’entreprises cherchant à rationaliser leur IT sans sacrifier la gouvernance locale.

✅ Licences compatibles avec les Unités Administratives Microsoft 365 (avec délégation)

  • Microsoft 365 E3
  • Microsoft 365 E5
  • Office 365 E3 (avec ajout de Entra ID P1)
  • Office 365 E5
  • Enterprise Mobility + Security (EMS) E3 ou E5
  • Entra ID Premium P1 ou P2 (standalone)

Ces licences incluent Azure AD Premium P1 ou P2, qui est la condition requise pour gérer les AUs avec des administrateurs à portée restreinte.

❌ Licences incompatibles avec les Unités Administratives (ou très limitées)

Voici les abonnements Microsoft 365 qui ne permettent pas l’usage complet des UAs avec délégation de rôles :

Abonnement Microsoft 365Compatibilité UAsRemarques
Microsoft 365 Business Basic❌ Non compatiblePas de support pour les UAs
Microsoft 365 Business Standard❌ Non compatiblePas de support pour les UAs
Microsoft 365 Business Premium❌ Non compatibleInclut Entra ID P1 partiel, mais sans délégation sur UAs
Office 365 Business Essentials❌ Non compatibleAncienne offre équivalente à Business Basic
Office 365 Business Premium (ancienne)❌ Non compatibleAncienne version sans Azure AD P1
Microsoft 365 F1 / F3 (Frontline)⚠️ Partiellement compatibleCertaines limitations fortes dans la délégation
Microsoft 365 A1 (Éducation)❌ Non compatibleAucune gestion des AUs
Microsoft 365 A3 / A5✅ CompatibleSi Entra ID P1/P2 activé

Les unités administratives avec délégation d’administration sont disponibles uniquement dans les licences suivantes :

Que se passe-t-il si vous tentez d’utiliser les UAs sans licence compatible ?

Même si l’interface d’administration affiche les UAs, la délégation de rôles à portée restreinte échouera ou ne sera pas disponible. Seuls les administrateurs globaux pourront voir et gérer les unités, sans possibilité de cloisonner les droits — ce qui annule l’objectif du cloisonnement par filiale.

👉 Besoin d’accompagnement pour structurer votre tenant multi-filiales ? Nos experts Openhost peuvent vous aider à concevoir une architecture sur-mesure et sécurisée.

Contactez nous pour plus d’informations au 02 51 831 839 ou via notre formulaire de contact

FAQ : Vos questions fréquentes sur la gestion d’un tenant Microsoft 365 avec plusieurs filiales

Peut-on limiter les droits d’administration à une filiale dans Microsoft 365 ?

Oui. Grâce aux Unités Administratives (Administrative Units) d’Azure Active Directory, il est possible de segmenter les utilisateurs et d’assigner des administrateurs avec des droits restreints à une filiale spécifique. Cela permet un cloisonnement clair entre les équipes informatiques.

Les unités administratives sont-elles disponibles avec toutes les licences Microsoft 365 ?

Non, les Unités Administratives (UAs) ne sont pas disponibles dans toutes les éditions de Microsoft 365. Leur utilisation, en particulier pour déléguer des rôles administratifs restreints à une sous-organisation, nécessite au minimum une licence Azure Active Directory Premium P1 (désormais appelée Microsoft Entra ID P1).

Cela signifie que seules certaines offres de Microsoft 365 incluent cette fonctionnalité, et d’autres — souvent les versions « Business » — ne permettent pas de créer ni d’utiliser des UAs avec des rôles délégués sans ajouter à chaque utilisateur l’abonnement complémentaire (add-on) Microsoft Entra ID P1.

Quels sont les avantages d’un seul tenant Microsoft 365 pour plusieurs filiales ?

Un tenant unique offre une gouvernance centralisée, une expérience utilisateur cohérente, une réduction des coûts de licence, et une interopérabilité native entre filiales. Cela facilite aussi la collaboration dans Teams, SharePoint ou OneDrive.

Faut-il envisager plusieurs tenants pour séparer totalement les filiales ?

Dans certains cas spécifiques (conformité réglementaire extrême, rachat d’entreprises non intégrées, besoins de souveraineté), avoir plusieurs tenants peut s’imposer. Toutefois, cela engendre une complexité accrue, une expérience utilisateur dégradée, et plus de frais d’administration.

Comment commencer à structurer un tenant multi-filiales dans Microsoft 365 ?

Commencez par :

  • Définir les entités organisationnelles (filiales, BU…).
  • Identifier les utilisateurs et administrateurs de chaque entité.
  • Mettre en place des unités administratives et des rôles délégués.
  • Organiser les objets avec des attributs cohérents (ex : département, société).
    Un audit préalable de votre structure Active Directory peut grandement faciliter cette démarche.

Articles connexes sur les abonnements Microsoft 365

Comparatif des licences Office 365 Entreprise E1, E3 et E5

Cet article détaille les différences entre les licences Office 365 E1, E3 et E5, en mettant en lumière les fonctionnalités spécifiques à chaque plan, notamment celles liées à la sécurité et à la gestion des utilisateurs.

Comparatif des abonnements Microsoft 365 Business Basic, Standard et Premium

Une analyse des offres Microsoft 365 destinées aux PME, avec un focus sur les fonctionnalités de sécurité et de gestion des identités, essentielles pour une administration efficace des utilisateurs.

Microsoft 365 Business Premium et Entreprise : comparatif des offres

Cet article compare les plans Microsoft 365 Business Premium et les offres Entreprise, en soulignant les différences en termes de gestion des identités et de sécurité, éléments clés pour le cloisonnement des utilisateurs.

Autres actualités

Comparatif : Serveur de Fichiers Windows vs SharePoint Online
Sharepoint Publié le 18 novembre 2024 par christophe darfeuille

Comparatif : Serveur de Fichiers Windows vs SharePoint Online

Voici un tableau qui résume les principales différences entre un serveur de fichiers SharePoint Online et Windows..

Lire la suite
L’évolution progressive du télétravail en France
Actualité Publié le 19 juin 2017 par Emilie Olek

L’évolution progressive du télétravail en France

En 2017 le télétravail est de plus en plus présent au sein des entreprises. Le télétravail apporte un vent d’air frais dans les méthodes de travail, ce qui n’est pas pour déplaire. Cette tendance présente de nombreux avantages mais exige cependant une mise en place d’outils de la part des entreprises. Les chiffres du télétravail en […]

Lire la suite
Comment récupérer les dates de dernière connexion de vos utilisateurs dans Azure Active Directory ?
Azure Publié le 24 avril 2023 par Emilie Olek

Comment récupérer les dates de dernière connexion de vos utilisateurs dans Azure Active Directory ?

Important Depuis août 2023, le produit « Azure Active Directory » a été remplacé par « Microsoft Entra ID ». Toutes les licences et fonctionnalités restent inchangées. En savoir plus Si vous travaillez sur un environnement Active Directory depuis plusieurs années, il y a de fortes chances que vous vous soyez déjà demandé comment récupérer la date de dernière […]

Lire la suite
Voir tous les articles