Dans Microsoft Teams, chaque équipe repose sur un Microsoft 365 Group. Ce groupe définit les membres, les propriétaires, et contrôle indirectement l’accès à tout ce qui gravite autour : SharePoint, Planner, OneNote, etc.
Dans la pratique, beaucoup d’équipes sont créées avec un seul propriétaire. Sur le moment, cela ne pose aucun problème. L’équipe fonctionne, les membres collaborent, les fichiers sont partagés.
Le problème survient plus tard.
Lorsque ce propriétaire quitte l’organisation, change de rôle, ou voit son compte désactivé, l’équipe devient orpheline. Personne ne peut ajouter ou retirer des membres. Les paramètres ne peuvent plus être modifiés. Et l’IT doit intervenir pour restaurer une situation qui aurait pu être évitée.
C’est pour cette raison qu’une bonne pratique largement recommandée consiste à exiger au minimum deux propriétaires par équipe Teams.
Deux propriétaires garantissent la continuité opérationnelle. Ils réduisent la dépendance aux administrateurs globaux. Ils permettent de maintenir la gouvernance au plus près des équipes métiers.
Mais encore faut-il être capable d’identifier les équipes qui ne respectent pas cette règle.
Automatiser la vérification des propriétaires
Plutôt que d’attendre qu’un incident survienne, il est possible d’automatiser la détection des équipes qui n’ont qu’un seul propriétaire.
Voici une approche moderne basée sur Microsoft Graph PowerShell :
Connect-MgGraph -Scopes "Group.Read.All"
$groups = Get-MgGroup -Filter "resourceProvisioningOptions/Any(x:x eq 'Team')" -All
foreach ($group in $groups) {
$owners = Get-MgGroupOwner -GroupId $group.Id -All
if ($owners.Count -lt 2) {
[pscustomobject]@{
TeamName = $group.DisplayName
TeamId = $group.Id
OwnerCount = $owners.Count
}
}
}Ce script parcourt toutes les équipes Teams du tenant et identifie celles qui ont moins de deux propriétaires. Il peut ensuite être enrichi pour :
- exporter les résultats en CSV
- envoyer une notification aux propriétaires existants
- alerter une équipe de gouvernance
- ou déclencher un processus correctif
La valeur n’est pas seulement dans la détection, mais dans la régularité.
Transformer une règle en contrôle continu
Exécuter ce contrôle une fois après un audit est utile.
L’exécuter automatiquement chaque mois est stratégique.
Intégré dans Azure Automation ou planifié via une tâche sécurisée, ce type de script devient un mécanisme de gouvernance continue. Il permet de détecter les nouvelles équipes créées sans second propriétaire et d’agir avant qu’elles ne deviennent problématiques.
Dans un environnement comportant des centaines ou des milliers d’équipes, cette simple automatisation permet d’éviter l’accumulation progressive d’équipes orphelines.
Attention à la mise en œuvre
Imposer deux propriétaires ne signifie pas ajouter un compte technique générique à toutes les équipes. Cela reviendrait à déplacer le problème plutôt qu’à le résoudre.
La bonne approche consiste à :
- désigner un second responsable métier
- éviter les comptes de service comme propriétaires permanents
- s’assurer que les propriétaires comprennent leur rôle
L’objectif n’est pas de compliquer la gestion. C’est de sécuriser la continuité.
Une règle simple, un impact réel
La gouvernance Microsoft 365 n’est pas faite uniquement de politiques complexes et de contrôles avancés. Parfois, une règle simple a un impact majeur.
Exiger au moins deux propriétaires par équipe Teams est l’une de ces règles. Elle réduit le risque opérationnel, simplifie le support IT et améliore la résilience organisationnelle.
Et avec quelques lignes de script, elle peut devenir une règle vérifiée automatiquement plutôt qu’une simple recommandation oubliée.