Inscrire une application Microsoft Graph

Microsoft Graph vous permet de gérer de nombreuses ressources au sein de votre locataire Azure AD B2C, y compris des comptes d’utilisateur client et des stratégies personnalisées. En écrivant des scripts ou applications appelant l’API Microsoft Graph, vous pouvez automatiser les tâches de gestion du locataire, notamment :

  • Migrer un magasin d’utilisateurs existant vers un locataire Azure AD B2C
  • Déployer des stratégies personnalisées avec un pipeline Azure dans Azure DevOps et gérer des clés de stratégie personnalisées
  • Héberger l’inscription des utilisateurs sur votre page et créer des comptes d’utilisateur dans votre répertoire Azure AD B2C en arrière-plan
  • Automatiser l'inscription d’application
  • Obtenir des journaux d’audit

Les sections suivantes vous préparent à utiliser l’API Microsoft Graph pour automatiser la gestion des ressources dans votre répertoire Azure AD B2C.

Modes d’interaction de l’API Microsoft Graph

Vous pouvez utiliser deux modes de communication lorsque vous utilisez l’API Microsoft Graph afin de gérer les ressources de votre locataire Azure AD B2C :

  • Interactif : adapté aux tâches à exécution unique, vous utilisez un compte d’administrateur dans le locataire B2C pour effectuer les tâches de gestion. Ce mode implique qu'un administrateur se connecte à l’aide de ses informations d’identification avant d’appeler l’API Microsoft Graph.

  • Automatisé : adapté aux tâches planifiées ou exécutées en continu, ce mode utilise un compte de service que vous configurez avec les autorisations requises pour effectuer des tâches de gestion. Vous créez le « compte de service » dans Azure AD B2C en inscrivant une application que vos applications et scripts utilisent à des fins d’authentification à l’aide de leur ID d’application (client) et de l’octroi des informations d’identification du client OAuth 2.0. Dans ce cas, l’application, et non plus l'utilisateur administrateur comme décrit dans le mode interactif, appelle l’API Microsoft Graph.

Vous activez le scénario d’interaction Automatisé en créant une inscription d’application comme indiqué dans les sections suivantes.

Le service d’authentification Azure AD B2C prend directement en charge le flux d’octroi d’informations d’identification client OAuth 2.0 (actuellement en préversion publique), mais vous ne pouvez pas l’utiliser pour gérer vos ressources Azure AD B2C via l’API Microsoft Graph. Néanmoins, vous pouvez configurer le flux d’informations d’identification client à l’aide de Microsoft Entra ID et du point de terminaison /token de la plateforme d’identité Microsoft pour une application dans votre locataire Azure AD B2C.

Inscrire une application de gestion

Pour permettre à vos scripts et applications d'interagir avec l’API Microsoft Graph afin de gérer les ressources Azure AD B2C, vous devez créer une inscription d’application dans votre locataire Azure AD B2C, qui octroie les autorisations d’API requises.

  1. Connectez-vous au portail Azure.
  2. Si vous avez accès à plusieurs locataires, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire Azure AD B2C à partir du menu Annuaires + abonnements.
  3. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.
  4. Sélectionnez Inscriptions d’applications, puis Nouvelle inscription.
  5. Entrez un Nom pour l’application. Par exemple, managementapp1.
  6. Sélectionnez Comptes dans ce répertoire organisationnel uniquement.
  7. Sous Autorisations, décochez la case Accorder le consentement administrateur aux autorisations openid et offline_access.
  8. Sélectionnez Inscription.
  9. Enregistrez l’ID d’application (client) indiqué dans la page d’aperçu de l’application. Vous utiliserez cette valeur ultérieurement.

Accorder un accès à l’API

Pour permettre à votre application d’accéder aux données dans Microsoft Graph, accordez à l’application inscrite les autorisations d’application qui conviennent. Les autorisations effectives de votre application correspondent au niveau complet des privilèges impliqués par l’autorisation. Par exemple, pour créer, lire, mettre à jour et supprimer chaque utilisateur de votre locataire Azure AD B2C, ajoutez l’autorisation User.ReadWrite.All.

Notes

L’autorisation User.ReadWrite.All ne permet pas de mettre à jour les mots de passe des comptes d’utilisateurs. Si votre application doit mettre à jour les mots de passe des comptes d’utilisateurs, accordez le rôle Administrateur d’utilisateurs. Lorsque vous accordez le rôle Administrateur d’utilisateurs, l’autorisation User.ReadWrite.All n’est pas nécessaire. Le rôle Administrateur d’utilisateurs comprend tout ce qui est nécessaire pour gérer les utilisateurs.

Vous pouvez accorder à votre application plusieurs autorisations d’application. Par exemple, si votre application doit également gérer des groupes au sein de votre locataire Azure AD B2C, ajoutez l’autorisation Group.ReadWrite.All.

Inscriptions des applications

  1. Sous Gérer, sélectionnez Autorisations de l’API.
  2. Sous Autorisations configurées, sélectionnez Ajouter une autorisation.
  3. Sélectionnez l’onglet API Microsoft, puis Microsoft Graph.
  4. Sélectionnez Autorisations de l’application.
  5. Développez le groupe d’autorisations approprié et activez la case à cocher de l’autorisation à accorder à votre application de gestion. Par exemple :
    • User>User.ReadWrite.All : Pour les scénarios de migration ou de gestion d’utilisateurs.
    • Group>Group.ReadWrite.All: Pour créer des groupes, lire et mettre à jour les appartenances aux groupes et supprimer des groupes.
    • AuditLog>AuditLog.Read.All : Pour lire les journaux d’audit de l’annuaire.
    • Policy>Policy.ReadWrite.TrustFramework : Pour les scénarios d’intégration continue/livraison continue (CI/CD). Par exemple, pour le déploiement de stratégies personnalisées avec Azure Pipelines.
  6. Sélectionnez Ajouter des autorisations. Comme vous l’indiquent les instructions, patientez quelques minutes avant de passer à l’étape suivante.
  7. Sélectionnez Accorder le consentement de l’administrateur pour (nom de votre abonné) .
  8. Connectez-vous avec un compte dans votre locataire Azure AD B2C auquel est attribué le rôle d’Administrateur d’applications cloud, puis sélectionnez Octroyer le consentement de l’administrateur pour (nom de votre locataire).
  9. Sélectionnez Actualiser, puis vérifiez que la mention « Octroyé pour ... » apparaît sous État. La propagation des autorisations peut prendre quelques minutes.

[Facultatif] Accorder le rôle Administrateur d’utilisateurs

Si votre application ou script doit mettre à jour les mots de passe des utilisateurs, attribuez le rôle Administrateur d'utilisateurs à votre application. Le rôle Administrateur d’utilisateurs dispose d’un ensemble fixe d’autorisations que vous accordez à votre application.

Pour ajouter le rôle Administrateur d’utilisateurs, procédez comme suit :

  1. Connectez-vous au portail Azure.
  2. Si vous avez accès à plusieurs locataires, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire Azure AD B2C à partir du menu Annuaires + abonnements.
  3. Recherchez et sélectionnez Azure AD B2C.
  4. Sous Gérer, sélectionnez Rôles et administrateurs.
  5. Sélectionnez le rôle Administrateur d’utilisateurs.
  6. Sélectionnez Ajouter des affectations.
  7. Dans la zone de texte Sélectionner, entrez le nom ou l’ID de l’application que vous avez inscrite, par exemple managementapp1. Lorsqu’elle apparaît dans les résultats de la recherche, sélectionnez votre application.
  8. Sélectionnez Ajouter. La propagation complète des autorisations peut prendre quelques minutes.

Créer un secret client

Votre application a besoin d’une clé secrète client pour prouver son identité lors de la requête de jeton. Pour ajouter une clé secrète client, procédez comme suit :

  1. Sous Gérer, sélectionnez Certificats et secrets.
  2. Sélectionnez Nouveau secret client.
  3. Entrez une description pour la clé secrète client dans la zone Description. Par exemple, clientsecret1.
  4. Sous Expire, sélectionnez une durée pendant laquelle le secret est valide, puis sélectionnez Ajouter.
  5. Enregistrez la Valeur du secret. Vous utiliserez cette valeur pour la configuration dans une étape ultérieure.

Étapes suivantes

Maintenant que vous avez inscrit votre application de gestion et lui avez accordé les autorisations requises, vos applications et services (par exemple, Azure Pipelines) peuvent utiliser ses informations d’identification et autorisations pour interagir avec l’API Microsoft Graph.