Vous administrez une organisation Microsoft 365 ? Découvrez comment empêcher toute personne autre que les propriétaires d’envoyer des messages à un groupe ; une mesure simple mais cruciale pour réduire le bruit, contenir les risques et garder la communication parfaitement ciblée.
Vue d’ensemble de la problématique
Les groupes Microsoft 365 (souvent appelés « Groupes unifiés ») simplifient la collaboration : boîte aux lettres partagée, calendrier, fichiers OneDrive, Teams, Planner, etc. Par défaut, tous les membres peuvent écrire à l’adresse du groupe (groupe@tenant.onmicrosoft.com). Or, dans certains scénarios — newsletters internes, salons d’annonces à sens unique, groupes de direction — cette ouverture engendre un flot de messages non souhaité, voire des incidents de conformité. La solution ? Autoriser uniquement les propriétaires à envoyer des e‑mails, sans créer une seconde liste de diffusion ni recourir à des règles complexes.
Pourquoi ne pas utiliser l’interface graphique ?
Le Centre d’administration Microsoft 365 et le Centre d’administration Exchange proposent de nombreux réglages, mais ils n’exposent pas celui qui limite l’envoi aux propriétaires. Seul Exchange Online PowerShell le permet aujourd’hui. Cet article démystifie la commande, explique ses effets et propose des scripts prêts à l’emploi pour les environnements de toute taille.
Pré‑requis et préparation
- Rôle d’administrateur Exchange (Organisation Management ou Groups Management).
- Module ExchangeOnlineManagement installé localement ou utilisation d’Azure Cloud Shell.
- Connexion par authentification moderne (MFA prise en charge).
- Patience : la réplication des paramètres peut prendre jusqu’à 30 minutes.
Tutoriel pas à pas
1. Installer et importer le module (une seule fois par poste)
Set-ExecutionPolicy RemoteSigned # si la politique l'exige
Install-Module ExchangeOnlineManagement
Import-Module ExchangeOnlineManagement
2. Se connecter à Exchange Online
Connect-ExchangeOnline
# Saisissez le compte administrateur, validez l'authentification à facteurs multiples le cas échéant.
3. Restreindre l’envoi au(x) propriétaire(s)
Set-UnifiedGroup -Identity "groupe@tenant.onmicrosoft.com" `
-AcceptMessagesOnlyFromSendersOrMembers `
"owner1@tenant.onmicrosoft.com","owner2@tenant.onmicrosoft.com"
Que fait exactement cette commande ?
- Le service Exchange vérifie chaque e‑mail entrant.
- Si l’expéditeur figure dans la liste définie par
-AcceptMessagesOnlyFromSendersOrMembers, le message est distribué. - Tout autre émetteur reçoit un NDR (Non‑Delivery Report) indiquant que l’adresse est réservée.
- Les propriétaires conservent leurs droits natifs et ne sont pas affectés par d’éventuelles règles ultérieures.
Paramètres clés expliqués
| Paramètre | Type | Rôle | Bon à savoir |
|---|---|---|---|
AcceptMessagesOnlyFromSendersOrMembers | Collection | Liste blanche d’expéditeurs | Accepte des adresses individuelles ou des groupes de sécurité. |
RejectMessagesFromSendersOrMembers | Collection | Liste noire d’expéditeurs | Prioritaire si les deux paramètres sont utilisés. |
RequireSenderAuthenticationEnabled | Booléen | Bloquer les expéditeurs externes | À activer pour un canal strictement interne. |
Validation et tests
Vérifier la configuration
Get-UnifiedGroup -Identity "groupe@tenant.onmicrosoft.com" |
Format-List DisplayName,AcceptMessagesOnlyFromSendersOrMembers
Scénarios de test conseillés
| Scénario | Expéditeur | Résultat attendu |
|---|---|---|
| Envoi par un propriétaire | owner1@tenant.onmicrosoft.com | Message remis au groupe |
| Envoi par un membre non‑propriétaire | member@tenant.onmicrosoft.com | NDR généré |
| Envoi par un utilisateur externe | gmail.com | Bloqué si RequireSenderAuthenticationEnabled = $true |
Questions fréquentes
Que se passe‑t‑il si je change de propriétaire ?
La restriction n’est pas dynamique ; si un nouveau propriétaire est nommé, exécutez à nouveau la commande ou automatisez‑la (voir plus bas). L’inverse est vrai : retirer quelqu’un de la liste coupe immédiatement son droit d’envoi.
Puis‑je appliquer la même règle à plusieurs groupes ?
Oui ! Parcourez une liste CSV ou interrogez Azure AD :
$owners = @("owner1@tenant.onmicrosoft.com","owner2@tenant.onmicrosoft.com")
Get-UnifiedGroup -Filter "DisplayName -like '*Annonce*'" |
ForEach-Object {
Set-UnifiedGroup -Identity $_.PrimarySmtpAddress `
-AcceptMessagesOnlyFromSendersOrMembers $owners
}
Qu’en est‑il des équipes Teams ?
Une équipe Teams est adossée à un groupe Microsoft 365. Restreindre l’adresse du groupe ne change rien aux canaux Teams ; seuls les e‑mails envoyés à l’adresse SMTP sont filtrés.
Les règles de transport ne suffisent‑elles pas ?
Elles fonctionnent, mais :
- la maintenance est plus lourde ; chaque nouvel utilisateur nécessite une mise à jour de la règle ;
- les règles ne s’appliquent qu’après la réception : le mail arrive, est scanné, puis rejeté, ce qui alourdit les journaux ;
- les NDR générés par Set‑UnifiedGroup sont plus explicites pour l’utilisateur final.
Bonnes pratiques pour un déploiement sans douleur
- Documentez chaque modification : date, administrateur, groupe concerné.
- Programmez une revue trimestrielle des propriétaires ; les mouvements internes sont fréquents.
- Combinez avec la classification de confidentialité pour indiquer clairement qu’il s’agit d’un canal d’annonces.
- Surveillez les journaux de flux de messagerie pour détecter les expéditeurs bloqués et ajuster le paramètre si nécessaire.
- Si vous avez un grand nombre de groupes, créez un rapport Power BI alimenté par un script PowerShell pour visualiser l’état des permissions.
Automatisation à l’échelle
Dans des organisations de plusieurs milliers de groupes, il est inefficace d’exécuter la commande manuellement. Ci‑dessous, un exemple de script qui :
- Lit un fichier CSV (
Groupes.csv) contenant les adresses SMTP de chaque groupe ; - Applique la restriction à la volée ;
- Consigne le résultat dans un fichier de log pour audit.
# Importer la liste
$GroupList = Import-Csv .\Groupes.csv # Colonne 'Address'
# Définir les expéditeurs autorisés
$Allowed = @("owner1@tenant.onmicrosoft.com","owner2@tenant.onmicrosoft.com")
# Boucle principale
foreach ($grp in $GroupList) {
try {
Set-UnifiedGroup -Identity $grp.Address `
-AcceptMessagesOnlyFromSendersOrMembers $Allowed
"[$(Get-Date)] OK - $($grp.Address)" | Out-File success.log -Append
} catch {
"[$(Get-Date)] KO - $($grp.Address) - $_" | Out-File error.log -Append
}
}
Automatiser ainsi garantit cohérence et traçabilité, indispensables pour la conformité (ISO 27001, SOC 2, etc.).
Gestion du changement côté utilisateur
Une restriction trop abrupte peut surprendre vos collaborateurs. Communiquez :
- Envoyez un mail d’information expliquant la nouvelle politique ;
- Mettez à jour la description du groupe ;
elle apparaît dans Outlook et Teams ; - Créez un message épinglé dans le canal Teams correspondant.
Plus vos utilisateurs comprennent la finalité, moins ils ouvriront de tickets d’assistance.
Annexes : paramètres connexes utiles
HiddenFromAddressListsEnabled: masque l’adresse du groupe dans l’annuaire pour réduire les tentations d’envoi intempestif.SubscriptionEnabled: désactive les notifications automatiques si le groupe sert uniquement d’archive.DisplayName: ajoutez un préfixe « [ANNONCE] » pour signaler visuellement la vocation du groupe.
Conclusion
En une seule commande PowerShell, vous transformez un groupe Microsoft 365 en canal d’annonces contrôlé. Le paramètre -AcceptMessagesOnlyFromSendersOrMembers offre un moyen fiable, réversible et documenté de protéger la boîte de réception collective. Que vous gériez un unique groupe stratégique ou des centaines de listes d’information, la méthode demeure la même : identifier les expéditeurs autorisés, appliquer la règle, tester, puis surveiller dans la durée. La clarté des communications et la tranquillité de vos utilisateurs sont à ce prix.