<p>Bonjour,</p>
<p>C’est une excellente question qui touche à l’une des <strong>limitations les plus frustrantes</strong> de Microsoft Teams dans les environnements d’entreprise multinationaux ou multi-entités. Les <strong>Unités d’Administration (Administrative Units)</strong> dans <strong>Microsoft Entra ID (anciennement Azure Active Directory)</strong> permettent de déléguer la gestion des utilisateurs et des groupes à des administrateurs spécifiques — mais leur intégration avec le <strong>Centre d’administration Teams</strong> est effectivement très limitée. Voici une analyse complète de la situation et toutes les alternatives disponibles.</p>
<hr>
<h2><a name="p-34563-comprendre-pourquoi-les-units-dadministration-ne-fonctionnent-pas-dans-teams-1" class="anchor" href="#p-34563-comprendre-pourquoi-les-units-dadministration-ne-fonctionnent-pas-dans-teams-1" aria-label="Heading link"></a>Comprendre pourquoi les Unités d’Administration ne fonctionnent pas dans Teams</h2>
<h3><a name="p-34563-comportement-actuel-et-ses-limites-2" class="anchor" href="#p-34563-comportement-actuel-et-ses-limites-2" aria-label="Heading link"></a>Comportement actuel (et ses limites)</h3>
<p>Les <strong>Unités d’Administration (AU)</strong> ont été conçues principalement pour déléguer la gestion des <strong>utilisateurs</strong> et <strong>groupes</strong> dans Entra ID. Leur portée dans Teams est structurellement limitée :</p>
<div class="md-table">
<table>
<thead>
<tr>
<th>Fonctionnalité</th>
<th>Fonctionne avec les AU</th>
<th>Ne fonctionne PAS avec les AU</th>
</tr>
</thead>
<tbody>
<tr>
<td>Réinitialisation de mot de passe des utilisateurs d’une AU</td>
<td><img src="/images/emoji/twitter/white_check_mark.png?v=15" title=":white_check_mark:" class="emoji only-emoji" alt=":white_check_mark:" loading="lazy" width="20" height="20"></td>
<td></td>
</tr>
<tr>
<td>Gestion des licences des utilisateurs d’une AU</td>
<td><img src="/images/emoji/twitter/white_check_mark.png?v=15" title=":white_check_mark:" class="emoji only-emoji" alt=":white_check_mark:" loading="lazy" width="20" height="20"></td>
<td></td>
</tr>
<tr>
<td>Accès au Centre d’administration Teams</td>
<td></td>
<td><img src="/images/emoji/twitter/cross_mark.png?v=15" title=":cross_mark:" class="emoji only-emoji" alt=":cross_mark:" loading="lazy" width="20" height="20"></td>
</tr>
<tr>
<td>Gestion des équipes Teams spécifiques</td>
<td></td>
<td><img src="/images/emoji/twitter/cross_mark.png?v=15" title=":cross_mark:" class="emoji only-emoji" alt=":cross_mark:" loading="lazy" width="20" height="20"></td>
</tr>
<tr>
<td>Attribution de politiques Teams à une AU</td>
<td></td>
<td><img src="/images/emoji/twitter/cross_mark.png?v=15" title=":cross_mark:" class="emoji only-emoji" alt=":cross_mark:" loading="lazy" width="20" height="20"></td>
</tr>
<tr>
<td>Restriction à certaines équipes dans l’admin Teams</td>
<td></td>
<td><img src="/images/emoji/twitter/cross_mark.png?v=15" title=":cross_mark:" class="emoji only-emoji" alt=":cross_mark:" loading="lazy" width="20" height="20"></td>
</tr>
</tbody>
</table>
</div><blockquote>
<p><strong>Résumé</strong> : Le <strong>Centre d’administration Teams</strong> (<code>admin.teams.microsoft.com</code>) ne respecte pas les périmètres définis par les Unités d’Administration. Un administrateur délégué via une AU voit soit tout, soit rien — il n’y a pas de filtrage par AU dans Teams Admin Center.</p>
</blockquote>
<h3><a name="p-34563-pourquoi-cette-limitation-existe-t-elle-3" class="anchor" href="#p-34563-pourquoi-cette-limitation-existe-t-elle-3" aria-label="Heading link"></a>Pourquoi cette limitation existe-t-elle ?</h3>
<p>Teams Admin Center est construit sur le modèle <strong>RBAC (Role-Based Access Control)</strong> de Microsoft 365, qui est différent du modèle d’Unités d’Administration d’Entra ID. Les deux systèmes ne sont pas encore pleinement intégrés. Microsoft a été sollicité de nombreuses fois sur ce point via le portail de feedback, et c’est un sujet en attente d’évolution.</p>
<hr>
<h2><a name="p-34563-alternatives-pour-dlguer-ladministration-teams-par-paysrgion-4" class="anchor" href="#p-34563-alternatives-pour-dlguer-ladministration-teams-par-paysrgion-4" aria-label="Heading link"></a>Alternatives pour déléguer l’administration Teams par pays/région</h2>
<h3><a name="p-34563-alternative-1-rles-teams-scoped-avec-groups-scoped-5" class="anchor" href="#p-34563-alternative-1-rles-teams-scoped-avec-groups-scoped-5" aria-label="Heading link"></a>Alternative 1 : Rôles Teams scoped (avec Groups Scoped)</h3>
<p>Depuis 2022-2023, Microsoft Teams supporte une forme de <strong>délégation scopée</strong> via l’affectation de rôles à des <strong>groupes de sécurité</strong> contenant les administrateurs concernés. Cela ne repose pas sur les AU mais permet d’approcher le résultat voulu.</p>
<p><strong>Rôles disponibles dans Teams Admin Center pouvant être délégués :</strong></p>
<div class="md-table">
<table>
<thead>
<tr>
<th>Rôle</th>
<th>Permissions</th>
<th>Adapté pour</th>
</tr>
</thead>
<tbody>
<tr>
<td>Administrateur du service Teams</td>
<td>Accès complet à Teams Admin Center</td>
<td>Admin global Teams</td>
</tr>
<tr>
<td>Administrateur des appareils Teams</td>
<td>Gestion des appareils certifiés Teams</td>
<td>Support hardware</td>
</tr>
<tr>
<td>Administrateur des communications Teams</td>
<td>Gestion des stratégies de voix/conférence</td>
<td>Admin téléphonie</td>
</tr>
<tr>
<td>Spécialiste du support des communications Teams</td>
<td>Accès en lecture aux appels et réunions</td>
<td>Support N1</td>
</tr>
</tbody>
</table>
</div><p><strong>Procédure d’attribution d’un rôle Teams à un groupe :</strong></p>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Connexion à Microsoft Graph
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
Récupérer l'ID du rôle "Administrateur des communications Teams"
$role = Get-MgDirectoryRole | Where-Object {$_.DisplayName -eq "Teams Communications Administrator"}
Récupérer l'ID du groupe de sécurité des admins du pays X
$group = Get-MgGroup -Filter "displayName eq 'Admins-Teams-France'"
Assigner le rôle au groupe
New-MgDirectoryRoleMember -DirectoryRoleId $role.Id -BodyParameter @{
"@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$($group.Id)"
}
</code></pre>
<h3><a name="p-34563-alternative-2-stratgies-teams-scopes-par-groupe-6" class="anchor" href="#p-34563-alternative-2-stratgies-teams-scopes-par-groupe-6" aria-label="Heading link"></a>Alternative 2 : Stratégies Teams scopées par groupe</h3>
<p>La délégation la plus fine disponible aujourd’hui dans Teams passe par les <strong>stratégies (Policies)</strong> appliquées à des groupes de sécurité distincts par pays. Un administrateur global crée les politiques, et les apply à des groupes définis.</p>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Connexion à Teams PowerShell
Connect-MicrosoftTeams
Lister toutes les stratégies de messagerie existantes
Get-CsTeamsMessagingPolicy
Créer une stratégie spécifique pour les utilisateurs d'un pays
New-CsTeamsMessagingPolicy -Identity "Politique-France" -AllowUserChat $true
-AllowGiphy $false -GiphyRatingType "Strict"
-AllowUserEditMessage $true `
-AllowUserDeleteMessage $true
Appliquer la stratégie à un groupe de sécurité (Group Policy Assignment)
New-CsGroupPolicyAssignment -GroupId "groupe-id-utilisateurs-france" -PolicyType TeamsMessagingPolicy
-PolicyName "Politique-France" `
-Rank 1
</code></pre>
<h3><a name="p-34563-alternative-3-microsoft-365-groups-management-avec-au-niveau-des-quipes-7" class="anchor" href="#p-34563-alternative-3-microsoft-365-groups-management-avec-au-niveau-des-quipes-7" aria-label="Heading link"></a>Alternative 3 : Microsoft 365 Groups Management avec au niveau des équipes</h3>
<p>Si l’objectif est de limiter quelles <strong>équipes Teams</strong> un administrateur délégué peut gérer, une approche est de créer des <strong>groupes de gestion dédiés</strong> et d’utiliser les paramètres de propriétaire de groupe Microsoft 365 :</p>
<ol>
<li>Chaque équipe Teams est associée à un <strong>groupe Microsoft 365</strong></li>
<li>Le propriétaire du groupe Microsoft 365 peut gérer l’appartenance à l’équipe</li>
<li>Un administrateur pays peut être <strong>propriétaire</strong> uniquement des groupes Microsoft 365 correspondant aux équipes de son pays</li>
</ol>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Ajouter un utilisateur comme propriétaire d'un groupe Microsoft 365 spécifique
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$groupId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" # ID du groupe Teams France
$userId = "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy" # ID de l'admin France
New-MgGroupOwner -GroupId $groupId -BodyParameter @{
"@odata.id" = "https://graph.microsoft.com/v1.0/users/$userId"
}
</code></pre>
<h3><a name="p-34563-alternative-4-portail-dauto-service-microsoft-entra-8" class="anchor" href="#p-34563-alternative-4-portail-dauto-service-microsoft-entra-8" aria-label="Heading link"></a>Alternative 4 : Portail d’auto-service Microsoft Entra</h3>
<p>Pour les tâches de gestion des utilisateurs (réinitialisation de mot de passe, gestion des groupes), les Unités d’Administration <strong>fonctionnent bien</strong> dans le portail <strong>Entra ID</strong> (<code>entra.microsoft.com</code>). Il est possible d’y donner aux administrateurs pays l’accès à la gestion de leurs utilisateurs sans passer par Teams Admin Center.</p>
<hr>
<h2><a name="p-34563-feuille-de-route-et-feedback-microsoft-9" class="anchor" href="#p-34563-feuille-de-route-et-feedback-microsoft-9" aria-label="Heading link"></a>Feuille de route et feedback Microsoft</h2>
<p>Microsoft est conscient de cette limitation. Vous pouvez :</p>
<ol>
<li><strong>Voter pour la fonctionnalité</strong> sur le portail de feedback Microsoft : <a href="https://feedbackportal.microsoft.com/feedback/forum/ad198462-1c1c-ec11-b6e7-0022481f2c24">feedbackportal.microsoft.com</a> — recherchez “Administrative Units Teams”</li>
<li><strong>Suivre le Microsoft 365 Roadmap</strong> : <a href="https://www.microsoft.com/en-us/microsoft-365/roadmap">microsoft.com/en-us/microsoft-365/roadmap</a> pour des annonces sur l’intégration AU dans Teams</li>
</ol>
<hr>
<h2><a name="p-34563-rsum-de-lapproche-recommande-10" class="anchor" href="#p-34563-rsum-de-lapproche-recommande-10" aria-label="Heading link"></a>Résumé de l’approche recommandée</h2>
<p>Pour donner aux administrateurs d’un pays spécifique l’accès <strong>uniquement</strong> à certaines équipes via le site d’administration Teams, la meilleure combinaison actuelle est :</p>
<ol>
<li><strong>Créer des groupes de sécurité par pays</strong> dans Entra ID (ex: <code>Admins-Teams-France</code>, <code>Admins-Teams-Allemagne</code>)</li>
<li><strong>Attribuer des rôles Teams limités</strong> (ex: Spécialiste support communications) à ces groupes via PowerShell</li>
<li><strong>Déléguer la propriété des groupes Microsoft 365</strong> des équipes Teams concernées aux admins pays — ils peuvent ainsi gérer les membres sans avoir accès aux paramètres globaux</li>
<li><strong>Utiliser les stratégies scopées par groupe</strong> pour appliquer des configurations spécifiques par pays sans accès admin global</li>
</ol>
<p>Cette combinaison, bien que moins élégante que les Unités d’Administration, offre une sécurité et une granularité satisfaisantes en attendant que Microsoft améliore l’intégration AU-Teams.</p>
<p>N’hésitez pas à préciser votre architecture (combien de pays, combien d’équipes Teams, quel type d’actions les admins pays doivent pouvoir effectuer) pour affiner les recommandations.</p>
<hr>
<p><em>Ayi NEDJIMI — Consultant IT & Microsoft 365 / Teams</em><br>
<em>Pour une architecture de délégation d’administration Teams adaptée à votre organisation : <a href="https://ayinedjimi-consultants.fr">ayinedjimi-consultants.fr</a></em></p>
