CoreView repose sur Graph pour l’exécution des actions de gestion. À partir du panneau Graph management, vous pouvez autoriser l’utilisation du module Microsoft Graph. Ce faisant, vous accorderez certaines autorisations permettant à CoreView d’exécuter des actions spécifiques.
Cependant, les autorisations par défaut attribuées à l’application Graph enregistrée dans CoreView peuvent ne pas suffire pour exécuter certaines actions. Pour des raisons de sécurité, CoreView n’attribue pas de rôles en votre nom. Ainsi, selon votre scénario opérationnel, il peut être nécessaire d’attribuer des rôles supplémentaires à l’application Graph Management.
Pour garantir un fonctionnement sans faille, veuillez consulter le tableau de la documentation Microsoft afin d’identifier les rôles requis.
Un scénario : actions sensibles
Un scénario classique implique des actions pouvant être utilisées pour modifier des données utilisateur sensibles.
Ces actions peuvent inclure la réinitialisation du mot de passe d’un utilisateur ou la mise à jour du numéro de téléphone professionnel (businessPhones), du numéro de téléphone mobile (mobilePhone), ou d’autres adresses e-mail pour l’utilisateur (otherMails).
Dans l’article Update user, la documentation Microsoft précise :
Dans les scénarios applicatifs uniquement, en plus des autorisations Microsoft Graph, l’application doit se voir attribuer un rôle administrateur à privilèges plus élevé comme indiqué dans Qui peut effectuer des actions sensibles.
Les propriétés suivantes ne peuvent pas être mises à jour par une application disposant uniquement d’autorisations applicatives : aboutMe , birthday , employeeHireDate , interests , mySite , pastProjects , responsibilities , schools , et skills .
Dans l’article Travailler avec les utilisateurs dans Microsoft Graph, la documentation Microsoft précise également dans l’article quelles actions sur l’objet utilisateur sont considérées comme sensibles, et qui peut effectuer des actions sensibles. Vous pouvez vous référer à ces deux derniers tableaux pour savoir quels rôles attribuer à l’application Graph dans CoreView afin d’effectuer les actions souhaitées.
Prenons l’exemple de l’action de gestion « Gérer le mot de passe ». Cliquez sur l’accordéon ci-dessous pour voir l’exemple :
Afficher l’exemple
Une action de gestion essentielle impactée par cette condition est « Gérer le mot de passe », qui permet la réinitialisation des mots de passe des utilisateurs non administrateurs ainsi que des utilisateurs avec des rôles d’administrateur.
Pour activer l’action de gestion « Gérer le mot de passe », vous devrez attribuer un ou plusieurs rôles à l’application Graph :
Gérer les mots de passe des utilisateurs non administrateurs uniquement
User Administrator Ce rôle ne permet pas de modifier les profils de mot de passe des utilisateurs ayant des rôles d’administrateur. Attribuez ce rôle si vous souhaitez modifier les mots de passe des utilisateurs non administrateurs.
Gérer les mots de passe des utilisateurs administrateurs et non administrateurs
Privileged Authentication AdministratorAvec ce rôle, vous pouvez également modifier les mots de passe des utilisateurs avec des rôles d’administrateur. Attribuez ce rôle si vous devez modifier les mots de passe des utilisateurs administrateurs et non administrateurs.
Rotation avancée du mot de passe du Manager
Veuillez noter que les rôles User Administrator et Privileged Authentication Administrator
sont également requis pour la rotation du mot de passe de l’Advanced Management User (4ward365.admin@domain) et des Comptes de service (coreview.reports1@domain).
Attribution de rôles à l’application Graph
Si vous devez attribuer un ou plusieurs rôles à l’application Graph dans CoreView, le guide suivant fournit les étapes d’attribution de rôle dans le centre d’administration Microsoft Entra.
Pour plus d’informations, vous pouvez consulter l’article Attribuer des rôles Microsoft Entra aux utilisateurs dans la documentation officielle de Microsoft.
Veuillez noter que les procédures peuvent varier selon les mises à jour Microsoft ou votre configuration. En cas de doute ou de problème, il est préférable de consulter directement la documentation Microsoft.
À titre d’exemple, pour le guide, nous poursuivrons avec le scénario « Gérer le mot de passe », en attribuant les rôles nécessaires à l’application Graph.
Étape 1 : copier l’ID client
Copiez l’ID client de l’application que vous avez enregistrée avec CoreView.
Étape 2 : accédez à « Rôles et administrateurs » et trouvez le rôle
- Rendez-vous dans le centre d’administration Microsoft Entra.
- Dans le menu de gauche, développez la section « Identité ».
- Cliquez sur « Rôles et administrateurs ».
- Utilisez le moteur de recherche pour trouver le rôle requis :
Rôle d’administrateur utilisateurPrivileged Authentication Administrator
- Double-cliquez sur le « Rôle » souhaité dans les résultats de recherche.
Étape 3 : attribuez le rôle à l’application Graph
- Depuis la page de détail du rôle, cliquez sur « Ajouter des attributions ».
- Sous « Sélectionner le(s) membre(s) », cliquez sur le lien indiquant le nombre de membres ou « Aucun membre sélectionné ».
- Une fenêtre contextuelle intitulée « Sélectionner un membre » s’affichera.
- Collez l’ID client copié précédemment dans le moteur de recherche.
- Cochez la case à côté de l’application enregistrée dans les résultats de recherche.
- Cliquez sur le bouton « Sélectionner ».
- Renseignez les champs.
Étape 4 : vérifier
L’application sélectionnée devrait maintenant apparaître dans les résultats « Attributions » pour ce rôle.
Une fois ces étapes terminées, l’application Graph disposera des rôles et permissions nécessaires, et vous pourrez utiliser l’action de gestion « Gérer le mot de passe » pour réinitialiser les mots de passe si besoin.