Nous publions une mise à jour du service principal Configuration Manager par défaut dans votre tenant Microsoft 365. Cette mise à jour introduit de nouvelles autorisations d’application (étendues) nécessaires pour activer des fonctionnalités supplémentaires et prendre en charge les modifications de Microsoft. Dans le cadre de cette mise à jour, un administrateur global doit examiner et donner son consentement administrateur pour les nouvelles autorisations. Pour obtenir des informations concernant l’authentification du compte de service dans Configuration Manager, veuillez consulter notre documentation sur l’authentification du principal de service.
L’absence de consentement pourrait empêcher Configuration Manager de gérer certaines configurations dans votre tenant affectées par la modification des autorisations. Veuillez lire attentivement les informations ci-dessous pour comprendre ce que vous devez faire.
Qu’est-ce qui change ?
Microsoft a ajouté deux nouvelles autorisations d’application liées à la gestion des appareils Intune :
DeviceManagementScripts.ReadWrite.All et
DeviceManagementScripts.Read.All. Afin de continuer à exporter et gérer les scripts et politiques Intune Device, ces autorisations d’application doivent être ajoutées au principal de service Configuration Manager. Pour plus d’informations sur cette modification, veuillez consulter l’article “In development for Microsoft Intune” dans la documentation Microsoft.
Les autorisations d’application suivantes sont nouvelles et doivent être déployées sur nos principaux de service par défaut :
Simeon Cloud Sync / CoreView Configuration Manager :
(Application)
DeviceManagementScripts.ReadWrite.All(Déléguée)
DeviceManagementScripts.ReadWrite.AllSimeon Cloud Sync (lecture seule) :
(Application)
DeviceManagementScripts.Read.All(Déléguée)
DeviceManagementScripts.Read.AllDans le cadre du processus de Sync, les nouvelles autorisations seront ajoutées automatiquement au principal de service Configuration Manager par défaut. Après l’application des nouvelles autorisations, un administrateur doit accorder le consentement pour que ces permissions soient utilisées.
Quelles autorisations d’application sont nécessaires pour utiliser Configuration Manager ?
Configuration Manager nécessite uniquement des autorisations concernant les zones de votre tenant que vous souhaitez gérer. Par défaut, nous fournissons une application qui couvre les autorisations dans le dépôt GitHub (docs /application-scopes.md). Nous proposons également aux clients auto-hébergés un principal de service lecture seule, qui dispose d’autorisations limitées pour lire et sauvegarder les configurations. Ces autorisations figurent dans le dépôt GitHub (docs/application-scopes-readonly.md).
Les clients auto-hébergés sur Azure DevOps peuvent également choisir de fournir une application personnalisée avec les autorisations de leur choix.
Dans le cadre de cette mise à jour, il vous sera demandé de consentir à toutes les autorisations d’application, y compris les deux nouvelles.
Qui est concerné ?
Tous les clients Configuration Manager doivent être informés de ce changement, mais tous les utilisateurs n’auront pas à agir immédiatement. Les tenants installés avec l’un des principaux de service par défaut devront agir immédiatement. Les clients utilisant un principal de service personnalisé n’ont pas besoin d’agir, mais doivent examiner les autorisations de leur application pour déterminer si une mise à jour est nécessaire.
Tenants utilisant le principal de service par défaut
Si votre tenant est configuré pour utiliser le principal de service par défaut fourni par notre plateforme, vous êtes concerné et devez agir. Ceci est pertinent pour les clients Simeon auto-hébergés utilisant le principal de service Simeon Cloud Sync ainsi que pour tous les clients CoreView utilisant Configuration Manager SaaS. Ces tenants afficheront le statut “Consentement administrateur en attente” sur la page Sync, vous informant que ce tenant nécessite une mise à jour.
Tenants utilisant l’option principal de service lecture seule
Si votre tenant utilise le principal de service lecture seule, vous êtes également concerné. Toutefois, puisque votre tenant est actuellement en état lecture seule, nous ne pouvons pas mettre automatiquement à jour les autorisations. Votre tenant ne vous demandera pas de consentement administrateur ! Pour résoudre cela, vous devez réinstaller le tenant et donner le consentement administrateur pendant le processus de réinstallation.
Tenants utilisant un principal de service personnalisé
Si votre organisation a mis en place et utilise un principal de service personnalisé (et non l’option par défaut ou lecture seule), vous n’êtes pas concerné par cette mise à jour et vos tenants devraient Sync comme prévu. Les clients utilisant un principal de service personnalisé sont censés maintenir eux-mêmes les étendues et autorisations de leur application selon les besoins de leur organisation. Il est recommandé de mettre à jour manuellement votre principal de service pour inclure les nouvelles étendues mentionnées ci-dessus.
Que dois-je faire ?
Pour garantir la continuité du service, un administrateur global doit fournir le consentement administrateur pour les nouvelles autorisations d’application. Veuillez suivre ces étapes :
- Examiner les autorisations : examinez attentivement les autorisations d’application mises à jour indiquées ci-dessus pour comprendre quelles autorisations sont requises et seront utilisées par Configuration Manager.
- Donner le consentement : allez dans l’application Configuration Manager > page Sync et cliquez sur le bouton “Donner le consentement administrateur” affiché dans le statut Sync.
- Cliquez sur le bouton “Donner le consentement administrateur” dans la fenêtre modale et connectez-vous au tenant concerné en tant qu’administrateur global.
- Confirmer le consentement : examinez la demande de consentement et confirmez l’approbation. Veuillez vérifier que toutes les autorisations d’application sont répertoriées pour recevoir le consentement administrateur ! Voir la section FAQ pour des exemples du message de consentement administrateur.
- Finalisation : une fois le consentement accordé, Configuration Manager reprendra automatiquement en utilisant les nouvelles autorisations.
Comment fournir manuellement le consentement administrateur dans Azure
Si vous ne pouvez pas utiliser l’option “Donner le consentement administrateur” dans le produit, vous pouvez accorder le consentement administrateur directement dans votre tenant Azure. Suivez ces étapes :
- Connectez-vous au Portail Azure avec un compte d’administrateur global.
- Dans le menu de gauche, cliquez sur “Azure Active Directory” sous “Gérer”, sélectionnez “Enregistrements d’application”.
- Recherchez et sélectionnez l’application enregistrée pour Configuration Manager.
- Le nom de l’application est Simeon Cloud Sync pour les clients auto-hébergés ou CoreView Configuration Manager pour les clients CoreView.
- Dans le panneau de l’application, cliquez sur Autorisations d’API dans le menu de gauche.
- Vérifiez les autorisations demandées.
- Cliquez sur le bouton “Accorder le consentement administrateur” pour [Votre organisation] en haut de la page.
- Confirmez la demande lorsqu’on vous le demande.
- Une fois le consentement administrateur accordé, les nouvelles autorisations prennent effet immédiatement. Revenez dans Configuration Manager et lancez une Sync manuelle pour vérifier.
Astuce : si vous ne voyez pas l’application, vérifiez que vous consultez “Toutes les applications” (et non seulement “Applications possédées”) dans le filtre des enregistrements d’application.
Besoin d’aide supplémentaire ? Consultez le guide de Microsoft sur l’octroi manuel du consentement administrateur ou contactez l’équipe support CoreView pour obtenir de l’aide.
Foire aux questions
Q : Que se passe-t-il si je ne donne pas le consentement ?
R : À chaque Sync de votre tenant, une vérification sera effectuée pour déterminer si toutes les autorisations d’application sont présentes et ont reçu le consentement administrateur. Si les nouvelles autorisations n’ont pas encore reçu le consentement administrateur, le tenant affichera le statut “Consentement administrateur en attente” après chaque Sync jusqu’à l’obtention du consentement. Certaines configurations prises en charge de la gestion des appareils Intune ne seront pas sauvegardées ni gérées tant que le consentement n’aura pas été donné.
Q : Que faire si je ne veux pas ajouter ces autorisations spécifiques au principal de service ?
R : Si vous utilisez Configuration Manager SaaS, cette modification est nécessaire et vous ne pouvez pas vous désinscrire. Si vous utilisez Configuration Manager auto-hébergé sur Azure DevOps et avez installé votre tenant avec l’un des principaux de service par défaut, ce changement est nécessaire. Si vous ne souhaitez pas ajouter cette autorisation, vous devez réinstaller votre tenant en utilisant un principal de service personnalisé où vous pouvez définir les autorisations souhaitées.
Q : Pourquoi de nouvelles autorisations sont-elles nécessaires ?
R : De nouvelles autorisations sont nécessaires pour permettre de nouveaux fournisseurs de configuration ou répondre à des modifications imposées par Microsoft. Dans ce cas, Microsoft a publié de nouvelles autorisations d’application pour la gestion des scripts Intune Device Management. Ces nouvelles autorisations sont requises pour continuer à sauvegarder et gérer ces paramètres.
Q : Que faire si je ne suis pas administrateur global ?
R : Ce changement est requis pour tous les tenants Configuration Manager affectés. Si vous n’avez pas le rôle d’administrateur global ou n’avez pas accès à un compte administrateur global pour le tenant concerné, vous devez trouver un moyen de fournir le consentement administrateur. Habituellement, cela implique une demande à un administrateur global de se connecter à l’application Configuration Manager pour effectuer l’action, une demande à votre équipe d’administrateurs Microsoft 365 pour exécuter manuellement le consentement dans le portail Azure, ou l’obtention temporaire de droits d’administrateur global via la Privileged Identity Management. Pour en savoir plus, consultez la documentation Microsoft sur la Privileged Identity Management.
Q : Puis-je réinstaller mon tenant au lieu de fournir le consentement administrateur ?
R : Oui. Si vous prévoyez déjà de réinstaller un tenant ou devez le faire dans le cadre d’autres modifications, le nouveau principal de service sera installé par défaut et le consentement administrateur sera donné lors de l’installation.
Q : Devrai-je effectuer ce consentement à chaque Sync ?
R : Non, il s’agit d’une action unique. Une fois le consentement administrateur accordé, il ne vous sera plus demandé de fournir ce consentement et votre Sync devrait exporter toutes les configurations attendues.
Q : La liste des autorisations nécessitant le consentement administrateur est très longue, est-ce normal ?
R : Oui. Afin de garantir le bon fonctionnement du principal de service, toutes les autorisations recevront le consentement administrateur dans le cadre de ce changement. Ci-dessous un exemple des autorisations auxquelles vous devrez consentir lors de cette mise à jour : 
Besoin d’aide ?
Si vous souhaitez obtenir plus d’informations ou rencontrez des problèmes, veuillez contacter notre équipe support ou consulter les liens indiqués dans la notification produit.