Azure active directory

​

Configuration et authentification

L’intégration Azure Active Directory (Azure AD) utilise l’API Microsoft Graph avec authentification OAuth 2.0 via l’enregistrement d’application Azure AD. Nécessite des autorisations de niveau Application (administrateur) plutôt que des autorisations déléguées pour la gestion automatisée des utilisateurs. Les organisations doivent créer une application Azure AD dans le portail Azure avec les autorisations appropriées et le consentement administrateur. Prend en charge Azure AD (Entra ID) pour l’approvisionnement des utilisateurs, la gestion des licences, l’administration des groupes et les opérations de sécurité.

​

Autorisations d’application requises

• User.ReadWrite.All : Créer, lire, mettre à jour et supprimer les comptes d’utilisateurs.
• User.Read.All : Accès en lecture seule aux profils utilisateurs.
• Group.ReadWrite.All : Gérer les appartenances aux groupes et les propriétés.
• Directory.ReadWrite.All : Accès complet aux répertoires pour les opérations avancées.
• UserAuthenticationMethod.ReadWrite.All : Gérer l’authentification multifacteur (MFA) et les méthodes d’authentification.

​

Opérations disponibles

Avec toutes les autorisations requises configurées, la boîte à outils active les opérations suivantes :

​

Gestion des utilisateurs

• Get User : Récupérer le profil utilisateur, notamment l’e-mail, le nom, le département, le titre de poste, le gestionnaire.
• List Users : Interroger tous les utilisateurs avec filtrage par département, localisation ou attributs personnalisés.
• Create User : Provisionner de nouveaux comptes utilisateurs avec UPN, nom d’affichage, mot de passe et licences.
• Update User : Modifier les propriétés utilisateur, notamment le département, le téléphone, le titre, l’emplacement du bureau.
• Delete User : Supprimer les comptes d’utilisateurs (suppression réversible; récupérable pendant 30 jours).
• Restore User : Récupérer les utilisateurs supprimés réversiblement de la corbeille.
• Get User Photo : Récupérer les photos de profil utilisateur.
• Set User Photo : Télécharger les photos de profil pour les utilisateurs.

​

Gestion des mots de passe

• Reset Password : Forcer la réinitialisation du mot de passe et envoyer un mot de passe temporaire.
• Force Password Change : Exiger le changement de mot de passe à la prochaine connexion.
• Set Password : Définir un mot de passe spécifique pour le compte utilisateur.
• Get Password Policies : Récupérer les paramètres de complexité des mots de passe et d’expiration.

​

Contrôle des comptes

• Disable Account : Bloquer la connexion de l’utilisateur sans supprimer le compte.
• Enable Account : Réactiver les comptes utilisateurs désactivés.
• Revoke Sessions : Forcer la déconnexion de toutes les sessions actives et des jetons d’actualisation.
• Block Sign-In : Empêcher les utilisateurs spécifiques d’accéder aux ressources.

​

Gestion des licences

• Assign License : Allouer les licences Office 365, Microsoft 365 ou Azure aux utilisateurs.
• Remove License : Dégager les licences des utilisateurs.
• Get User Licenses : Afficher toutes les licences attribuées aux utilisateurs.
• List Available Licenses : Interroger le pool de licences de l’organisation et la disponibilité.
• Batch License Assignment : Attribuer des licences à plusieurs utilisateurs simultanément.

​

Opérations sur les groupes

• Create Group : Créer des groupes de sécurité, des groupes Microsoft 365 ou des listes de distribution.
• Get Group : Récupérer les détails du groupe, notamment les membres et les propriétaires.
• List Groups : Interroger tous les groupes avec filtrage.
• Update Group : Modifier les propriétés du groupe.
• Delete Group : Supprimer les groupes du répertoire.
• Add User to Group : Octroyer l’appartenance au groupe aux utilisateurs.
• Remove User from Group : Révoquer l’appartenance au groupe.
• List Group Members : Obtenir tous les utilisateurs dans un groupe.
• List Group Owners : Afficher les administrateurs du groupe.

​

Rôles d’annuaire

• Assign Role : Octroyer des rôles administratifs (administrateur global, administrateur utilisateur, etc.).
• Remove Role : Révoquer les privilèges administratifs.
• Get User Roles : Afficher tous les rôles attribués aux utilisateurs.
• List Available Roles : Interroger les modèles de rôles d’annuaire.

​

Relations entre responsables

• Get Manager : Récupérer le gestionnaire direct de l’utilisateur.
• Set Manager : Assigner un gestionnaire à l’utilisateur.
• Remove Manager : Effacer l’attribution du gestionnaire.
• Get Direct Reports : Lister tous les utilisateurs relevant d’un gestionnaire.

​

Méthodes d’authentification

• Get Auth Methods : Afficher les méthodes MFA configurées (téléphone, e-mail, authenticateur).
• Add Auth Method : Enregistrer les nouvelles méthodes d’authentification.
• Remove Auth Method : Supprimer les méthodes d’authentification.
• Reset MFA : Effacer l’enregistrement MFA, forçant une réinscription.

​

Options de configuration

• Default Domain : Définir le domaine principal pour la création de nouveaux utilisateurs.
• Password Complexity : Configurer les exigences de mot de passe minimales.
• License Defaults : Attribuer automatiquement des licences spécifiques aux nouveaux utilisateurs.
• Group Templates : Groupes standards pour ajouter les nouveaux utilisateurs.

​

Cas d’utilisation

• Intégration des utilisateurs : Automatiser l’approvisionnement des nouveaux employés, y compris la création de compte, l’attribution de licences et l’appartenance au groupe.
• Départ des utilisateurs : Désactiver les comptes, révoquer les licences et supprimer les appartenances aux groupes des employés qui partent.
• Réinitialisations de mots de passe : Workflows de réinitialisation de mot de passe en libre-service déclenchés par les tickets d’assistance.
• Gestion des licences : Optimiser l’allocation des licences en fonction de l’utilisation et récupérer les licences inutilisées.
• Audit de sécurité : Surveiller les attributions de rôles d’administrateur et l’accès privilégié.
• Opérations en masse : Mises à jour en masse des utilisateurs pour les changements organisationnels (changements de département, changements de titre).
• Rapports de conformité : Générer des rapports d’accès utilisateur pour les audits de conformité.
• Intégration RH : Synchroniser les données utilisateur entre les systèmes RH et Azure AD.

​

Meilleures pratiques

• Utiliser le principal de service : Créer un enregistrement d’application dédié plutôt que d’utiliser les comptes personnels.
• Privilège minimum : Accorder les autorisations minimales requises pour les opérations.
• Consentement administrateur : Assurer que l’administrateur de tenant octroie le consentement pour les autorisations d’application.
• Gestion des erreurs : Gérer les conflits de modification simultanée de manière appropriée.
• Opérations en masse : Utiliser les endpoints de batch pour les opérations utilisateur en masse.
• Journalisation d’audit : Enregistrer toutes les opérations de gestion des utilisateurs pour la conformité.

​

Considérations de sécurité

• Stocker le secret du client en toute sécurité ; le faire pivoter régulièrement (expiration maximale de 2 ans).
• Surveiller les connexions à l’application et l’utilisation de l’API dans les journaux d’audit Azure AD.
• Implémenter des workflows d’approbation pour les opérations sensibles (attributions de rôles, suppressions).
• Utiliser les politiques d’accès conditionnel pour protéger les opérations d’administrateur.

​

Problèmes courants et solutions

• Privilèges insuffisants : Vérifier que l’application dispose des autorisations d’application requises avec le consentement administrateur.
• Licence non disponible : Vérifier le pool de licences de l’organisation avant attribution.
• Conflit UPN : Assurer l’unicité du nom principal d’utilisateur (UPN) lors de la création d’utilisateurs.
• ID immuable : Impossible de modifier immutableId sur les comptes uniquement dans le cloud.