Inscrire une application Microsoft Graph

Important

À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.

Microsoft Graph vous permet de gérer de nombreuses ressources au sein de votre locataire Azure AD B2C, y compris les comptes d’utilisateur client et les stratégies personnalisées. En écrivant des scripts ou des applications qui appellent l’API Microsoft Graph, vous pouvez automatiser les tâches de gestion des locataires telles que :

• Migrer un magasin d’utilisateurs existant vers un locataire Azure AD B2C
• Déployer des stratégies personnalisées avec un pipeline Azure dans Azure DevOps et gérer des clés de stratégie personnalisées
• Héberger l’inscription des utilisateurs sur votre propre page et créer des comptes d’utilisateur dans votre répertoire Azure AD B2C en arrière-plan
• Automatiser l’inscription d’applications
• Obtenir les journaux d’audit

Les sections suivantes vous aident à vous préparer à l’utilisation de l’API Microsoft Graph pour automatiser la gestion des ressources dans votre annuaire Azure AD B2C.

Modes d’interaction de l’API Microsoft Graph

Il existe deux modes de communication que vous pouvez utiliser lors de l’utilisation de l’API Microsoft Graph pour gérer les ressources dans votre locataire Azure AD B2C :

• Interactif : approprié pour les tâches exécutées une fois, vous utilisez un compte d’administrateur dans le locataire B2C pour effectuer les tâches de gestion. Ce mode nécessite qu’un administrateur se connecte à l’aide de ses informations d’identification avant d’appeler l’API Microsoft Graph.

• Automatisée : pour les tâches planifiées ou exécutées en continu, cette méthode utilise un compte de service que vous configurez avec les autorisations requises pour effectuer des tâches de gestion. Vous créez le « compte de service » dans Azure AD B2C en inscrivant une application que vos applications et scripts utilisent pour l’authentification à l’aide de son ID d’application (client) et de l’octroi des informations d’identification du client OAuth 2.0 . Dans ce cas, l’application agit comme elle-même pour appeler l’API Microsoft Graph, et non l’utilisateur administrateur comme dans la méthode interactive décrite précédemment.

Vous activez le scénario d’interaction automatisée en créant une inscription d’application indiquée dans les sections suivantes.

Le service d’authentification Azure AD B2C prend directement en charge le flux d’octroi des informations d’identification du client OAuth 2.0 (actuellement en préversion publique), mais vous ne pouvez pas l’utiliser pour gérer vos ressources Azure AD B2C via l’API Microsoft Graph. Toutefois, vous pouvez configurer le flux d’informations d’identification du client à l’aide de l’ID Microsoft Entra et du point de terminaison de la plateforme /token d’identités Microsoft pour une application dans votre locataire Azure AD B2C.

Inscrire une application de gestion

Avant que vos scripts et applications puissent interagir avec l’API Microsoft Graph pour gérer les ressources Azure AD B2C, vous devez créer une inscription d’application dans votre locataire Azure AD B2C qui accorde les autorisations d’API requises.

1. Connectez-vous au portail Azure.
2. Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.
3. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.
4. Sélectionnez Inscriptions d'applications, puis sélectionnez Nouvelle inscription.
5. Entrez un nom pour l’application. Par exemple, managementapp1.
6. Sélectionnez Comptes dans cet annuaire organisationnel uniquement.
7. Sous Autorisations, désactivez la case à cocher Accorder le consentement administrateur pour les permissions "openid" et "offline_access".
8. Sélectionnez Inscrire.
9. Enregistrez l’ID d’application (client) qui s’affiche sur la page vue d’ensemble de l’application. Vous utiliserez cette valeur ultérieurement.

Accorder l’accès à l’API

Pour que votre application accède aux données dans Microsoft Graph, accordez à l’application inscrite les autorisations d’application appropriées. Les autorisations effectives de votre application correspondent au niveau complet des privilèges impliqués par l’autorisation. Par exemple, pour créer, lire, mettre à jour et supprimer chaque utilisateur de votre locataire Azure AD B2C, ajoutez l’autorisation User.ReadWrite.All .

Remarque

L’autorisation User.ReadWrite.All n’inclut pas la possibilité de mettre à jour les mots de passe du compte d’utilisateur. Si votre application doit mettre à jour les mots de passe du compte d’utilisateur, accordez un rôle d’administrateur utilisateur. Lors de l’octroi d’un rôle d’administrateur d’utilisateur , User.ReadWrite.All n’est pas obligatoire. Le rôle d’administrateur d’utilisateur inclut tout ce qui est nécessaire pour gérer les utilisateurs.

Vous pouvez accorder à votre application plusieurs autorisations d’application. Par exemple, si votre application doit également gérer des groupes dans votre locataire Azure AD B2C, ajoutez également l’autorisation Group.ReadWrite.All .

Inscriptions des applications

1. Sous Gérer, sélectionnez autorisations d’API.
2. Sous Autorisations configurées, sélectionnez Ajouter une autorisation.
3. Sélectionnez l’onglet API Microsoft, puis Microsoft Graph.
4. Sélectionnez Autorisations de l’application.
5. Développez le groupe d’autorisations approprié et activez la case à cocher de l’autorisation à accorder à votre application de gestion. Par exemple:
   • User>User.ReadWrite.All : Pour les scénarios de migration ou de gestion d’utilisateurs.
   • Group>Group.ReadWrite.All: Pour créer des groupes, lire et mettre à jour les appartenances aux groupes et supprimer des groupes.
   • AuditLog>AuditLog.Read.All : Pour lire les journaux d’audit de l’annuaire.
   • Policy>Policy.ReadWrite.TrustFramework : Pour les scénarios d’intégration continue/livraison continue (CI/CD). Par exemple, pour le déploiement de stratégies personnalisées avec Azure Pipelines.
6. Sélectionnez Ajouter des autorisations. Comme vous l’indiquent les instructions, patientez quelques minutes avant de passer à l’étape suivante.
7. Sélectionnez Accorder le consentement de l’administrateur pour (nom de votre abonné) .
8. Connectez-vous avec un compte dans votre locataire Azure AD B2C auquel le rôle Administrateur d’application cloud lui est attribué, puis sélectionnez Accorder le consentement de l’administrateur pour (nom de votre locataire).
9. Sélectionnez Actualiser, puis vérifiez que « Accordé pour ... » apparaît sous État. La propagation des autorisations peut prendre quelques minutes.

[Facultatif] Accorder un rôle d’administrateur d’utilisateur

Si votre application ou script doit mettre à jour les mots de passe des utilisateurs, vous devez attribuer le rôle Administrateur utilisateur à votre application. Le rôle Administrateur d’utilisateurs dispose d’un ensemble fixe d’autorisations que vous accordez à votre application.

Pour ajouter le rôle Administrateur d’utilisateur , procédez comme suit :

1. Connectez-vous au portail Azure.
2. Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.
3. Recherchez et sélectionnez Azure AD B2C.
4. Sous Gérer, sélectionnez Rôles et administrateurs.
5. Sélectionnez le rôle d’administrateur d’utilisateur .
6. Sélectionnez Ajouter des affectations.
7. Dans la zone de texte Sélectionner , entrez le nom ou l’ID de l’application que vous avez inscrite précédemment, par exemple, managementapp1. Lorsqu’elle apparaît dans les résultats de la recherche, sélectionnez votre application.
8. Sélectionnez Ajouter. Il pourrait prendre quelques minutes pour que les autorisations se propagent complètement.

Créer une clé secrète client

Votre application a besoin d’une clé secrète client pour prouver son identité lors de la demande d’un jeton. Pour ajouter le secret client, procédez comme suit :

Inscriptions d’applications

1. Sous Gérer, sélectionnez Certificats et secrets.
2. Sélectionnez Nouveau secret client.
3. Entrez une description pour la clé secrète client dans la zone Description. Par exemple, clientsecret1.
4. Sous Expire, sélectionnez une durée pendant laquelle le secret est valide, puis sélectionnez Ajouter.
5. Enregistrez la valeur du secret. Vous utilisez cette valeur pour la configuration dans une étape ultérieure.

Applications (héritées)

1. Sous API ACCESS, sélectionnez Clés.
2. Entrez une description de la clé dans la zone Description de la clé . Par exemple, clientsecret1.
3. Sélectionnez une durée de validité, puis sélectionnez Enregistrer.
4. Enregistrez la valeur de la clé. Vous utilisez cette valeur pour la configuration dans une étape ultérieure.

Étapes suivantes

Maintenant que vous avez inscrit votre application de gestion et que vous lui avez accordé les autorisations requises, vos applications et services (par exemple, Azure Pipelines) peuvent utiliser ses informations d’identification et ses autorisations pour interagir avec l’API Microsoft Graph.

• Obtenir un jeton d’accès à partir de l’ID Microsoft Entra
• Utiliser le jeton d’accès pour appeler Microsoft Graph
• Opérations B2C prises en charge par Microsoft Graph
• Gérer les comptes d’utilisateur Azure AD B2C avec Microsoft Graph
• Obtenir les journaux d’audit avec l’API de création de rapports Microsoft Entra