Administrateur(s) délégué(s) à votre service

Voyons comment accorder à un vos prestataires l’accès à tout ou partie de vos applications.

Ils pourront ainsi vous assister lors de la mise en œuvre, vous accompagner dans l’utilisation et vous faire profiter des évolutions.

Quelques rappels

Tenant

Lorsque vous souscrivez pour la première fois à l’un des services cloud de Microsoft (Office 365, Dynamics365…), un ‘Tenant’ vous est attribué.

Vous devenez en quelque sorte locataire d’un logement au sein de la résidence ‘Microsoft’.

Il en est de même s’il s’agit d’une version d’évaluation (vous êtes logés gracieusement le premier mois !).

Depuis Business Central, vous trouverez l’identifiant de votre ‘Tenant’ (ou « ID de l’abonné Microsoft Entra ») en accédant à la page « Aide et support » (via l’icône ? en haut à droite). Ces informations sont affichées en bas de  page : « ID de l’abonné Microsoft Entra : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, environnement : yyyyyyyyyy (Production) »

Vous pouvez alors créer vos utilisateurs via le centre d’administration Microsoft 365 (https://entra.microsoft.com) qui sont ainsi inscrits sur le registre des personnes habilitées à entrer dans votre logement.

Chaque tenant/logement dispose de tous les services proposés par Microsoft, mais la plupart requièrent un abonnement dont le tarif est généralement fixé par utilisateur (voir https://www.wanamics.fr/licences_engagement/).

Abonnements et licences utilisateurs

Vous devez donc souscrire un abonnement à chacun des services souhaités (dont Business Central en particulier) en précisant pour chacun le nombre de licences nécessaires.

Vous pourrez alors les allouer aux utilisateurs concernés (voir https://www.wanamics.fr/attribuer-des-licences-aux-utilisateurs/)

Une licence n’est pas nominative et peut être réallouée (suite au départ d’un salarié pour l’affecter à son successeur par exemple).

Avant qu’il puissent accéder à Business Central, vous devez les y déclarer et leur accorder des autorisations selon leur rôle (voir https://www.wanamics.fr/autorisations-et-controle-interne/ et/ou https://www.wanamics.fr/groupes-de-securite/).

Administrateur(s) délégué(s)

Vous pouvez accorder à vos prestataires agréés par Microsoft, des droits d’accès à tout ou partie des services au sein de votre tenant/logement.
Ils n’ont pas besoin d’une de vos licences pour accéder à vos services.

Plusieurs partenaires peuvent collaborer à vos côtés selon leurs domaines de compétences.

L’un de ces partenaires peut ainsi vous accompagner pour la mise en œuvre de Business Central, un autre pour Power BI, un troisième sur l’administration Microsoft 365 (Office, Teams, SharePoint…) par exemple.

C’est ce que Microsoft appelle une relation d’administration granulaire (GDAP : Granular Delegated Admin Privileges).

Chacun de ces partenaires vous soumet une demande de relation en précisant les droits requis.

Ce message contient un lien vous permettant de confirmer à Microsoft que vous souhaitez lui accorder ces droits pour une durée déterminée (2 ans maximum).

Vous pourrez cependant y mettre fin à tout moment (voir Arrêt dirigé par le client d’une relation d’administration granulaire – Partner Center | Microsoft Learn)

Pour sécuriser juridiquement cette relation, un contrat de confidentialité (ou NDA : Non Disclosure Agreement) dont vous trouverez ici un exemple peut être judicieux.

Notez que vous pouvez accorder des droits distincts pour chacun de vos environnements (voir Improve your Dynamics 365 Business Central security: Just-in-Time access for partners).
Ainsi, vous pouvez autoriser un partenaire à intervenir sur un environnement de test (sandbox) sans pour autant le laisser intervenir sur votre environnement de production.

Fourniture de licences et/ou délégation

Un même partenaire peut bien sûr vous proposer ses prestations et vous fournir les licences Microsoft des solutions correspondantes, mais ce n’est pas une obligation.

La fourniture des licences n’est pas une condition pour disposer des droits d’administrateur délégués et réciproquement.

Notez que, si vous avez connus les ‘Change Partner’ de l’époque NAV, ceux-ci n’ont plus cours aujourd’hui.

Vous pouvez d’ailleurs, pour un même service (Business Central par exemple…) acquérir des licences auprès de plusieurs partenaires. Il faudra cependant veiller à ne pas accorder simultanément les mêmes délégations à plusieurs partenaires qui pourraient se rejeter la balle.

Vous pourrez dans ce cas, mettre fin à la relation accordée au premier (et l’inviter si nécessaire à vous soumettre une nouvelle demande de relation avec des délégations réduites).

Processus du côté prestataire

Les liens ci-après sont réservés aux partenaires qui disposent à cet effet d’un identifiant ‘MPN’ (Microsoft Partner Network) pour accéder au « Microsoft Partner Center » (voir Se connecter à vos clients – Partner Center | Microsoft Learn et Obtenir des autorisations d’administration granulaires pour gérer le service d’un client – Partner Center | Microsoft Learn).

Ce partenaire préciser alors les délégations demandées. Pour Business Central,  elles figureront  généralement parmi les suivantes :

SectionRôleDescriptionRemarque
CollaborationDynamics 365 administratorCan manage all aspects of the Dynamics 365 product.Nécessaire
 Dynamics 365 Business Central AdministratorCan access Dynamics 365 Business Central environments and perform all administrative tasks on the environments.Nécessaire
 Power platform administratorCan create and manage all aspects of Microsoft Dynamics 365, PowerApps, and Microsoft Flows.Facultatif
IdentityApplication administratorCan create and manage all aspects of app registrations and enterprise apps.Facultatif (API authentication)
 User administratorCan manage all aspects of users and groups, including resetting passwords for limited admins.Facultatif
 License administratorAbility to assign, remove and update license assignments.Facultatif
 Helpdesk administratorCan reset passwords for non-administrators and Helpdesk administrators.Facultatif
OtherService support administratorCan read service health information and manage support tickets.Facultatif

Notez que seules les 2 premières sont nécessaires pour l’administration de Business Central mais que quelques autres seront utiles, en particulier si vous souhaitez confier à votre partenaire la gestion des utilisateurs et des licences qui leur sont attribuées et/ou l’intégration avec d’autres applications.

Voir aussi :

Dynamics 365 Business Central: the Dynamics 365 Business Central Administrator role for granular administration – Stefano Demiliani

Lorsque le client aura accepté cette relation, le partenaire pourra y associer les « Security Groups » souhaités :

Dès lors votre prestataire aura accès à l’administration de Business Central via l’URL : https://businesscentral.dynamics.com/{{VotreTenant}}
({{VotreTenant}} est indifféremment l’identifiant de votre ‘Tenant’ ou votre domaine tel que déclaré auprès de Microsoft).

Attention

La « File d’attente des travaux » (JobQueue), n’est pas autorisée aux administrateurs délégués.

Le mécanisme de WebHook étant basé sur cette fonctionnalité, les modifications apportées par un administrateur délégué ne seront transmises que lors d’une modification ultérieure par un utilisateur disposant d’une licence (voir Dynamics 365 Business Central and Power Automate Connector: create, modify, delete triggers things to know. – Stefano Demiliani).

Voir aussi Restricted access to Business Central as delegated administrator

Les flux Power Automate étant basés sur les mêmes fonctionnalités, ils ne peuvent être activés par un administrateur délégué.

Il est cependant possible d’accorder à un administrateur délégué une licence « External Accountant » (gratuite).

Voir aussi :

Lien Permanent pour cet article : https://www.wanamics.fr/administrateurs-delegues-a-votre-service/

1 ping

  1. […] Voir aussi Administrateur(s) délégué(s) à votre service. […]

Laisser un commentaire