Administrer Google Workspace : quels sont les rôles à disposition des administrateurs ?
En tant qu’entreprise ou association, l’administration des utilisateurs et de la sécurité est un facteur de plus en plus crucial. Cependant, administrer est un terme très large et différents rôles et compétences bien distincts peuvent […]
Ce que vous allez découvrir
- Comprendre les rôles d’administrateur et le principe du “less privilege”
- Les rôles prédéfinis
- Les rôles personnalisés
- Comment attribuer un rôle d’administrateur ?
- Conclusion
Administrer Google Workspace : quels sont les rôles à disposition des administrateurs ?
En tant qu’entreprise ou association, l’administration des utilisateurs et de la sécurité est un facteur de plus en plus crucial. Cependant, administrer est un terme très large et différents rôles et compétences bien distincts peuvent être nécessaires. Des pleins pouvoirs au simple rôle de création d’utilisateurs en passant par le monitoring de l’activité des utilisateurs, la liste est longue et il est simple de s’y perdre.
Dans cet article, nous allons explorer les principaux rôles d’administrateur proposés par Google. Préparez-vous, vous aurez de la lecture !
Comprendre les rôles d’administrateur et le principe du “less privilege”
👉Avant même d’attaquer dans le vif du sujet, commençons par expliquer l’importance de la granularité des rôles d’administrateur. Pourquoi ne pas donner le plein pouvoir à qui le demande ?
Sur Google Workspace, il est vivement conseillé d’appliquer le principe du “less privilege” : c’est-à-dire de donner le moins de privilèges possible à vos collaborateurs et de les faire évoluer au besoin.
En effet, en raisonnant ainsi, vous limitez de très nombreux risques tels que :
- les actions non désirables, volontaires ou involontaires ;
- les difficultés d’investigation en cas de problème ;
- l’impact d’un incident de sécurité sur le compte d’un administrateur ;
- etc.
Les rôles prédéfinis
👀Bien heureusement, la console d’administration Google s’accompagne de dix rôles d’administrateurs prédéfinis. Ces rôles ont été pensés et conçus afin de répondre aux besoins de la majorité des entreprises sur des actions communes.
Un rôle d’administrateur, ce n’est pas moins d’une centaine de paramètres réglables et donc d’une centaine de cases à cocher. Une tâche si fastidieuse que Google ne pouvait pas vous laisser un tel travail !
Voici ci-dessous une brève description des rôles présents dans la console :
Super administrateur
Commençons par le plus simple : le super administrateur. Un super admin est en quelque sorte le patron : il a possède les droits et peut réaliser absolument tout sur la console. Ne donnez ce rôle qu’en cas d’extrême nécessité et conservez si possible un compte séparé pour réaliser de telles actions !
Exemple : je garde mon compte christopher.heintz@numericoach.fr pour mes tâches quotidiennes et j’utilise un compte admin@numericoach.fr pour les tâches d’administration sensibles.
Administrateur des groupes
Ce rôle très répandu permet un accès complet à la gestion des groupes : création, monitoring, paramétrage, suppression et ainsi de suite. De nombreuses organisations dédient la gestion des groupes à un expert compétent en interne ou externe (listes de diffusions, boîtes e-mail collaboratives etc.). A la différence de l’éditeur des groupes, l’administrateur a également accès aux informations des utilisateurs et de la structure organisationnelle.
Lecteur des groupes
Vous l’aurez peut-être deviné : ce rôle est très proche de celui d’administrateur des groupes. La seule différence est que seule la lecture des groupes sera possible. Par exemple, l’administrateur pourra consulter les groupes existants et les analyser mais sans les modifier.
Editeur des groupes
L’éditeur des groupes, quant à lui, est assez subtil car très proche de l’administrateur. Avec ce rôle, un administrateur sera en capacité de modifier et de gérer les groupes existants mais n’aura pas accès aux informations utilisateurs dans la console d’administration. Notez que ce rôle est en phase de test au moment de l’écriture de cet article et peut être amené à changer par la suite.
Administrateur des comptes utilisateurs
Imaginez que vous avez missionné un collaborateur (ou un prestataire) pour gérer vos utilisateurs : création, réinitialisation de mot de passe, suppression, suspension etc. Voici le rôle parfait pour vous !
Administrateur du centre d’assistance
Il s’agit ici d’un rôle très limité. En effet, l’administrateur du centre d’assistance se limite à la visibilité des utilisateurs et à la réinitialisation du mot de passe en cas de difficultés de connexion. Gardez en tête que ce rôle est totalement pertinent si vous appliquez le principe du “less privilege” : le moins de droits possible !
Administrateur des services
Nous entrons ici dans un rôle plus complet. En effet, un tel administrateur pourra visualiser et modifier l’ensemble des paramètres des services Google. De Gmail au Drive en passant par les services supplémentaires et applications, l’administrateur de service dispose au total de 95 rôles. En revanche, il ne pourra par exemple pas modifier, ajouter ou supprimer un utilisateur !
Administrateur de l’espace de stockage
L’espace de stockage est un enjeu important pour de nombreuses organisations. En effet, bien que la plupart des licences disposent d’un stockage très large, il est recommandé de limiter le stockage inutile (notamment afin de réduire l’impact carbone des utilisateurs).
Dans cette optique, l’administrateur de l’espace de stockage a pour but de visualiser les utilisateurs les plus volumineux et de réaliser des transferts de fichiers Drive au besoin afin d’alléger ce stockage.
Administrateur Directory Sync
Soyons honnêtes ! Ce rôle ne servira qu’à peu de lecteurs de cet article. Si vous disposez d’un annuaire d’entreprises type Active Directory (pour gérer par exemple vos sessions Windows), il est commun de vouloir mettre en place une synchronisation de cet annuaire avec Google. Ce rôle d’administrateur a pour unique objectif de mettre en place cette synchronisation !
💡Si vous êtes curieux et souhaitez creuser davantage ce sujet, voici un article de Numeriblog vous expliquant ce principe et vous présentant GCDS, le logiciel de synchronisation LDAP 100% Google. Cliquez-ici pour y accéder !
Administrateur des appareils mobiles
Terminons en beauté avec un des rôles prédéfinis les plus importants : celui de l’administration des mobiles ! La console d’administration, ce n’est pas que des utilisateurs mais aussi des appareils (mobiles, Chrome etc.). L’administrateur des appareils mobiles a pour rôle de gérer la flotte mobile de l’organisation.
Les rôles personnalisés
😶🌫️A ce stade, les rôles qui vous ont été présentés répondent à une bonne partie de vos besoins. Que faire si vous souhaitez être encore plus spécifique et attribuer un rôle qui ne rentre dans aucune case ? Par exemple, comment faire pour définir un administrateur dédié à la messagerie ?
Google vous offre la possibilité de créer des rôles personnalisés d’administrateur, c’est-à-dire de mettre vous-même les mains dans le cambouis afin d’obtenir un résultat 100% personnalisé et adapté à vos besoins.
Pour créer un rôle personnalisé, rendez-vous dans votre console d’administration et suivez le chemin suivant :
- rendez-vous dans la rubrique Comptes puis Rôles d’administrateur ;
- dans le bandeau du haut, cliquez sur Créer un rôle ;
- entrez alors un nom représentatif de votre souhait et une description (facultatif) ;
- enfin, sélectionnez l’ensemble des droits associés à ce rôle (courage !) puis validez.
Comment attribuer un rôle d’administrateur ?
Nous touchons déjà à la fin de ces explications sur les rôles d’administrateur. A ce stade, si vous lisez ce paragraphe, vous touchez le but ! Mais comment attribuer ces nouveaux rôles aux collaborateurs qui vont vous épauler sur la console ?
Pour attribuer un rôle d’administrateur, plusieurs options sont à votre disposition. En voici une :
- rendez-vous dans la rubrique Comptes puis Rôles d’administrateur ;
- passez votre souris sur un rôle prédéfini ou personnalisé et sélectionnez Attribuer un rôle d’administrateur sur la droite ;
- pour terminer, choisissez le ou les utilisateur(s) destinataires du rôle et validez.
💡L’astuce Numericoach : comme bon nombre de paramètres de l’administration Google, vous pouvez ici aussi attribuer un rôle d’administrateur uniquement sur une unité organisationnelle et un groupe d’utilisateurs. Ainsi, par exemple, différents collaborateurs peuvent s’occuper de différentes unités de l’entreprise !
Conclusion
En conclusion, la console d’administration Google vous offre de nombreux choix afin d’attribuer les bons rôles d’administrateur en fonction des besoins de votre organisation. Gardez en tête que ces tâches complexes peuvent être dispersées entre plusieurs collaborateurs tout en conservant un principe restrictif, c’est-à-dire en ne donnant que le moins de droits possibles.
Si vous êtes administrateur et souhaitez faire part de votre expérience et astuces, n’hésitez pas à utiliser le champ des commentaires ! A l’inverse, si vous vous sentez en difficulté face à ces tâches si essentielles, n’hésitez pas à vous faire accompagner. Numericoach se tient à votre disposition et nous avons hâte de discuter de votre projet !
- Articles connexes
- Plus de l'auteur