Configurer Workplace à partir de Meta pour l’approvisionnement automatique d’utilisateurs avec l’ID Microsoft Entra

Cet article décrit les étapes à suivre dans Workplace from Meta et Microsoft Entra ID pour configurer l’approvisionnement automatique d’utilisateurs. Une fois configuré, l’ID Microsoft Entra approvisionne et déprovisionne automatiquement les utilisateurs vers Workplace à partir de Meta à l’aide du service d’approvisionnement Microsoft Entra. Pour plus d’informations sur ce que fait ce service, son fonctionnement et ses questions fréquemment posées, consultez Automatiser l’approvisionnement et le déprovisionnement des utilisateurs sur les applications SaaS avec l’ID Microsoft Entra.

Fonctionnalités prises en charge

• Créer des utilisateurs dans Workplace à partir de meta
• Supprimer les utilisateurs dans Workplace de Meta lorsqu’ils ne nécessitent plus d’accès
• Conserver les attributs utilisateur synchronisés entre l’ID Microsoft Entra et Workplace de Meta
• Authentification unique à Workplace à partir de Meta (recommandé)

Conditions préalables

Le scénario décrit dans cet article suppose que vous disposez déjà des conditions préalables suivantes :

• Un tenant Microsoft Entra
• L’un des rôles suivants : Administrateur d’application, Administrateur d’application cloud ou Propriétaire de l’application.
• Un abonnement Workplace de Meta avec authentification unique activée

Remarque

Pour tester les étapes décrites dans cet article, nous vous déconseillons d’utiliser un environnement de production.

Remarque

Cette intégration est également disponible à partir de l’environnement Microsoft Entra US Government Cloud. Vous pouvez trouver cette application dans la galerie d’applications cloud Microsoft Entra US Government et la configurer de la même façon que vous le faites à partir du cloud public.

Pour tester les étapes décrites dans cet article, vous devez suivre les recommandations suivantes :

• N’utilisez pas votre environnement de production, sauf si cela est nécessaire.
• Si vous n’avez pas d’environnement d’essai Microsoft Entra, vous pouvez obtenir un essai gratuit d’un mois ici.

Étape 1 : Planifier votre déploiement d’approvisionnement

1. Découvrez comment fonctionne le service d’approvisionnement.
2. Déterminez qui est concerné par la mise en service.
3. Déterminez quelles données faire correspondre entre l’ID Microsoft Entra et Workplace de Meta.

Étape 2 : Configurer Workplace à partir de Meta pour prendre en charge l’approvisionnement avec l’ID Microsoft Entra

Avant de configurer et d’activer le service d’approvisionnement, vous devez décider quels utilisateurs de Microsoft Entra ID représentent les utilisateurs qui ont besoin d’accéder à votre espace de travail à partir de meta app. Une fois que vous avez décidé, vous pouvez affecter ces utilisateurs à votre espace de travail à partir de l’application Meta en suivant les instructions fournies ici :

• Nous vous recommandons d’affecter un seul utilisateur Microsoft Entra à Workplace à partir de Meta pour tester la configuration d’approvisionnement. Plus d’utilisateurs peuvent être affectés ultérieurement.

• Lors de l’attribution d’un utilisateur à Workplace à partir de Meta, vous devez sélectionner un rôle d’utilisateur valide. Le rôle Accès par défaut ne fonctionne pas pour l’attribution.

Étape 3 : Ajouter Workplace from Meta depuis la galerie d’applications Microsoft Entra

Ajoutez Workplace from Meta à partir de la galerie d’applications Microsoft Entra pour commencer à gérer l’approvisionnement sur Workplace à partir de Meta. Si vous avez déjà configuré Workplace à partir de Meta pour l’authentification unique (SSO), vous pouvez utiliser la même application. Toutefois, nous vous recommandons de créer une application distincte lors du test initial de l’intégration. En savoir plus sur l’ajout d’une application à partir de la galerie ici.

Étape 4 : Définir qui est concerné par le provisionnement

Le service d’approvisionnement Microsoft Entra vous permet d’étendre l’étendue qui est approvisionnée en fonction de l’affectation à l’application, ou en fonction des attributs de l’utilisateur ou du groupe. Si vous choisissez de définir qui peut accéder à votre application selon l'affectation, vous pouvez utiliser les étapes permettant d’affecter des utilisateurs et des groupes à l’application. Si vous choisissez de définir le périmètre des utilisateurs ou groupes qui sont approvisionnés uniquement en fonction de leurs attributs, vous pouvez utiliser un filtre de périmètre.

• Commencez petit. Testez avec un petit ensemble d’utilisateurs et de groupes avant de les déployer pour tout le monde. Lorsque l’étendue de l’approvisionnement est définie sur les utilisateurs et les groupes affectés, vous pouvez le contrôler en affectant un ou deux utilisateurs ou groupes à l’application. Lorsque l’étendue est définie sur tous les utilisateurs et groupes, vous pouvez spécifier un filtre d’étendue basé sur des attributs .

• Si vous avez besoin de rôles supplémentaires, vous pouvez mettre à jour le manifeste de l’application pour ajouter de nouveaux rôles.

Étape 5 : Configurer l’approvisionnement automatique d’utilisateurs sur Workplace à partir de Meta

Cette section vous guide tout au long des étapes de configuration du service d’approvisionnement Microsoft Entra pour créer, mettre à jour et désactiver des utilisateurs dans Workplace à partir de meta App en fonction des affectations d’utilisateurs dans Microsoft Entra ID.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez aux Entra ID>applications d'entreprise

   

3. Dans la liste des applications, sélectionnez Workplace dans Meta.

   

4. Sélectionnez l’onglet Approvisionnement.

   

5. Définissez le Mode d’approvisionnement sur Automatique.

   

6. Vérifiez que la section « URL du locataire » est remplie avec le point de terminaison correct : https://scim.workplace.com/. Dans la section Informations d’identification de l’administrateur , sélectionnez Autoriser. Vous êtes redirigé vers Workplace à partir de la page d’autorisation de Meta. Entrez votre espace de travail à partir du nom d’utilisateur Meta et sélectionnez le bouton Continuer . Sélectionnez Tester la connexion pour vous assurer que l’ID Microsoft Entra peut se connecter à Workplace à partir de Meta. Si la connexion échoue, vérifiez que votre espace de travail à partir du compte Meta dispose des autorisations d’administrateur et réessayez.

   

   

   Remarque

   Échec de la modification de l’URL en https://scim.workplace.com/ entraîne un échec lors de la tentative d’enregistrer la configuration.

7. Dans le champ e-mail de notification , entrez l’adresse e-mail d’une personne ou d’un groupe qui doit recevoir les notifications d’erreur d’approvisionnement, puis cochez la case Envoyer une notification par e-mail lorsqu’un échec se produit.

   

8. Cliquez sur Enregistrer.

9. Dans la section Mappages, sélectionnez Synchroniser les utilisateurs Microsoft Entra sur Workplace depuis Meta.

10. Passez en revue les attributs utilisateur qui sont synchronisés entre Microsoft Entra ID et Workplace from Meta dans la section Mappage des attributs . Les attributs sélectionnés en tant que propriétés correspondantes sont utilisés pour faire correspondre les comptes d’utilisateur dans Workplace à partir de Meta pour les opérations de mise à jour. Si vous choisissez de modifier l’attribut cible correspondant, vous devez vous assurer que Workplace from Meta API prend en charge le filtrage des utilisateurs en fonction de cet attribut. Sélectionnez le bouton Enregistrer pour valider les modifications.

    Caractéristique	Catégorie
    nom d’utilisateur	Chaîne
    nom d’affichage	Chaîne
    Actif	Booléen
    titre	Booléen
    e-mails[type eq « travail »].value	Chaîne
    nom_prénom	Chaîne
    nom.de.famille	Chaîne
    nom.formaté	Chaîne
    addresses[type eq « work »].formatted	Chaîne
    addresses[type eq « travail »].streetAddress	Chaîne
    addresses[type eq « work »].locality	Chaîne
    addresses[type eq « work »].region	Chaîne
    addresses[type eq « work »].country	Chaîne
    addresses[type eq « work »].postalCode	Chaîne
    addresses[type eq "autre"].formatted	Chaîne
    phoneNumbers[type eq « professionnel »].value	Chaîne
    phoneNumbers[type eq « mobile »].value	Chaîne
    phoneNumbers[type eq « fax »].value	Chaîne
    externalId	Chaîne
    languePréférée	Chaîne
    urn :scim:schemas:extension:enterprise :1.0.manager	Chaîne
    urn :scim :schemas :extension :enterprise :1.0.department	Chaîne
    urn : scim : schemas : extension : enterprise : 1.0.division	Chaîne
    urn :scim :schemas :extension :enterprise :1.0.organization	Chaîne
    urn :scim :schemas :extension :enterprise :1.0.costCenter	Chaîne
    urn :scim :schemas :extension :enterprise :1.0.employeeNumber	Chaîne
    urn :scim :schemas :extension :facebook :auth_method :1.0 :auth_method	Chaîne
    urn :scim :schemas :extension :facebook :frontline :1.0.is_frontline	Booléen
    urn :scim :schemas :extension :facebook :starttermdates :1.0.startDate	Nombre entier

11. Pour configurer des filtres d’étendue, reportez-vous aux instructions suivantes fournies dans l’article intitulé "Filtre d’étendue".

12. Pour activer le service d’approvisionnement Microsoft Entra pour Workplace à partir de meta, remplacez l’état d’approvisionnement par Activé dans la section Paramètres .

    

13. Définissez les utilisateurs que vous souhaitez approvisionner sur Workplace à partir de Meta en choisissant les valeurs appropriées dans Étendue dans la section Paramètres .

    

14. Lorsque vous êtes prêt à provisionner, sélectionnez Enregistrer.

    

Cette opération démarre le cycle de synchronisation initial de tous les utilisateurs définis dans étendue dans la section Paramètres . Le cycle initial prend plus de temps que les cycles suivants, qui se produisent environ toutes les 40 minutes tant que le service de provisionnement Microsoft Entra est en cours d’exécution.

Étape 6 : Surveiller votre déploiement

Une fois le provisionnement configuré, utilisez les ressources suivantes pour superviser votre déploiement :

1. Utilisez les journaux d’approvisionnement pour déterminer quels utilisateurs sont provisionnés correctement ou sans succès
2. Vérifiez la barre de progression pour voir l’état du cycle d’approvisionnement et à quel point il est proche de l’achèvement.
3. Si la configuration d’approvisionnement semble être dans un état non sain, l’application passe en quarantaine. Pour en savoir plus sur les états de quarantaine, consultez l'article sur le statut de mise en quarantaine des applications.

Conseils de dépannage

• Si vous voyez qu'un utilisateur a été créé sans succès et qu’il existe un événement de journal d’audit avec le code « 1789003 », cela signifie que cet utilisateur provient d’un domaine non vérifié.
• Dans certains cas, les utilisateurs reçoivent l'erreur « ERREUR : Champ E-mail manquant : Vous devez fournir une adresse électronique Erreur renvoyée par Facebook : Le traitement de la requête HTTP a entraîné une exception. » Pour plus d’informations, consultez la réponse HTTP renvoyée par la propriété « Response » de cette exception. Cette opération a été retentée zéro fois. L’opération est retentée de nouveau après cette date. Cette erreur est due au fait que les clients mappent les messages, plutôt que userPrincipalName, à la messagerie Facebook, mais que certains utilisateurs n’ont pas d’attribut de messagerie. Pour éviter les erreurs et provisionner avec succès les utilisateurs qui ont échoué dans Workplace from Facebook, modifiez le mappage de l'attribut de l'email de Workplace from Facebook en Coalesce([mail],[userPrincipalName]) ou désassignez l'utilisateur de Workplace from Facebook, ou fournissez une adresse email pour l'utilisateur.
• Il existe une option dans Workplace, qui permet l’existence d’utilisateurs sans adresses e-mail. Si ce paramètre est activé dans Workplace, le provisionnement côté Azure doit être redémarré afin que les utilisateurs sans e-mails soient créés avec succès dans Workplace.

Mettre à jour une application Workplace de Meta pour utiliser le point de terminaison SCIM 2.0 de Workplace de Meta.

En décembre 2021, Facebook a publié un connecteur SCIM 2.0. L’exécution des étapes données met à jour les applications configurées pour utiliser le point de terminaison SCIM 1.0 pour utiliser le point de terminaison SCIM 2.0. Ces étapes suppriment toutes les personnalisations précédemment apportées à l’application Workplace de Meta, notamment :

• Informations sur l’authentification
• Filtres d’étendue
• Mappages d’attributs personnalisés

Remarque

Veillez à noter les modifications apportées aux paramètres répertoriés dans la section précédente avant d’effectuer les étapes suivantes. L’échec de cette opération entraîne la perte de paramètres personnalisés.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez à Entra ID>Applications d'entreprise>Workplace de Meta.

3. Dans la section Propriétés de votre nouvelle application personnalisée, copiez l’ID objet.

   

4. Dans une nouvelle fenêtre de navigateur Web, accédez à https://developer.microsoft.com/graph/graph-explorer et connectez-vous en tant qu'administrateur du locataire Microsoft Entra où votre application est ajoutée.

   

5. Vérifiez que le compte utilisé dispose des autorisations appropriées. L’autorisation « Directory.ReadWrite.All » est requise pour apporter cette modification.

   

   

6. À l’aide de l’ObjectID sélectionné à partir de l’application, exécutez la commande suivante :

   GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/
   

7. En prenant la valeur « id » du corps de la réponse de l’exempleGETprécédent, exécutez la commande suivante, en remplaçant « [job-id] » par la valeur d’ID de laGETrequête. La valeur doit être au format « FacebookAtWorkOutDelta.xxxxxxxxxxxxxxx.xxxxxxxxxxxxxxx » :

   DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]
   

8. Dans l’Explorateur Microsoft Graph, exécutez la commande suivante. Remplacez « [object-id] » par l’ID du principal de service (ID d’objet) copié à partir de la troisième étape.

   POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "FacebookWorkplace" }
   

   

9. Revenez à la première fenêtre du navigateur web et sélectionnez l’onglet Approvisionnement pour votre application. Votre configuration est réinitialisée. Vous pouvez confirmer que la mise à niveau réussit en confirmant que l’ID de travail commence par « FacebookWorkplace ».

10. Mettez à jour l’URL du locataire dans la section Informations d’identification de l’administrateur vers l’URL suivante : https://scim.workplace.com/

    

11. Restaurez les modifications apportées précédemment à l’application (détails de l’authentification, filtres d’étendue, mappages d’attributs personnalisés) et réactivez l’approvisionnement.

    Remarque

    L’échec de la restauration des paramètres précédents peut entraîner la mise à jour inattendue des attributs (name.formatted par exemple) dans Workplace. Veillez à vérifier la configuration avant d’activer l’approvisionnement.

Journal des modifications

• 10/09/2020 - Ajout de la prise en charge des attributs d’entreprise « division », « organisation », « costCenter » et « employeeNumber ». Ajout de la prise en charge des attributs personnalisés « startDate », « auth_method » et « frontline ».
• 22/07/2021 - Mise à jour des conseils de résolution des problèmes pour les clients avec un routage des courriers vers la messagerie Facebook, mais certains utilisateurs ne disposent pas d'attribut de courrier électronique.

Plus de ressources

• Gestion de l’approvisionnement de comptes d’utilisateur pour les applications d’entreprise
• Qu’est-ce que l’accès aux applications et l’authentification unique avec l’ID Microsoft Entra ?

Contenu connexe

• Découvrez comment passer en revue les journaux et obtenir des rapports sur l’activité d’approvisionnement