Autorisation de l’application Microsoft Graph Data Connect

L’expérience d’autorisation pour les applications Microsoft Graph Data Connect est intégrée à la Centre d’administration Microsoft 365. Seuls les administrateurs généraux peuvent autoriser les applications Data Connect. Pour autoriser des applications pour votre organization, les administrateurs généraux peuvent accéder au portail d’autorisation Microsoft Graph Data Connect, choisir l’onglet Sécurité & Confidentialité dans Paramètres de l’organisation, puis sélectionner Applications Microsoft Graph Data Connect, comme illustré dans l’image suivante.

Capture d’écran montrant les paramètres de l’organisation, l’onglet Sécurité & Confidentialité et les applications Microsoft Graph Data Connect mises en évidence.

Vue récapitulative de l’application

La page d’accueil du portail des applications Data Connect fournit une vue rapide de toutes les applications Data Connect qui vous intéressent, comme illustré dans l’image suivante.

Capture d’écran d’une vue rapide des applications dans le portail Data Connect.

Vous trouverez les types d’applications suivants dans le portail :

  • Applications monolocataires : applications inscrites dans votre locataire et nécessitant l’accès aux données. Ces applications sont généralement des scénarios d’entreprise.
  • Applications multilocataires : applications hébergées dans un autre locataire et nécessitant l’accès aux données de votre locataire. Ces applications sont généralement des scénarios d’éditeur de logiciels indépendants (ISV). Examinez attentivement ces applications. Lorsque vous autorisez des applications multilocataires, les données de votre locataire peuvent être migrées vers le locataire du développeur de l’application.

Toutes les applications monolocataires sont renseignées dans le tableau par défaut. Seules les applications multilocataires approuvées, refusées ou expirées sont incluses dans le tableau. D’autres applications sont affichées dans le tableau avec les états suivants :

  • Autorisation en attente : applications qui sont en attente d’action. Cette status n’est possible que pour les applications monolocataires. Les applications dans cet état échouent toujours au moment de l’exécution.
  • Approuvé : applications approuvées par un administrateur pour accéder aux données Microsoft 365 pour votre locataire.
  • Refusé : applications qu’un administrateur a refusées à accéder aux données Microsoft 365 pour votre locataire. Les applications dans cet état échouent toujours au moment de l’exécution.
  • Expiré : applications approuvées par un administrateur pour accéder aux données Microsoft 365 de votre locataire, mais l’approbation a expiré. Les applications dans cet état échouent toujours au moment de l’exécution.
  • Mise à jour disponible : applications qu’un administrateur a précédemment examinées et sur qui elle a donné suite, mais qui sont maintenant mises à jour. Les applications dans cet état continuent de fonctionner conformément à l’autorisation précédente. Lorsque l’administrateur fournit une nouvelle approbation, la nouvelle définition de l’application remplace l’ancienne.

Vue détails de l’application

Sélectionnez une application dans le tableau pour lancer la vue détails de l’application, qui fournit plus d’informations sur les données dont l’application a besoin. Cette expérience de l’Assistant vous guide dans les détails d’accès aux données pertinents. Une fois l’Assistant terminé, vous pouvez approuver ou refuser l’application à la fin. L’image suivante montre l’affichage des détails de l’application.

Capture d’écran montrant l’affichage des détails de l’application dans le portail Data Connect.

Tout d’abord, l’Assistant affiche des informations générales sur l’application :

  • Développeur : nom d’utilisateur du développeur qui a inscrit l’application.

  • Destination des données : récepteur où les données sont remises. Si elle est approuvée, cette application peut déplacer les données demandées vers n’importe quel emplacement dans le récepteur répertorié.

  • Éditeur de l’application : Microsoft Entra ID de locataire où l’application est inscrite. Pour les applications monolocataires, cette valeur est la même Microsoft Entra’ID de locataire que votre locataire.

Ensuite, l’Assistant inclut plusieurs étapes de jeu de données, une étape par jeu de données inscrit dans l’application. Chaque page affiche des informations pertinentes pour chaque jeu de données. Par exemple :

  • Colonnes : spécifie les colonnes que l’application a l’intention d’extraire via Data Connect. Si elle est approuvée, cette application peut extraire n’importe quel sous-ensemble de colonnes approuvées pour le jeu de données spécifié.

  • Étendue : spécifie l’étendue (sélection de l’utilisateur) que l’application a l’intention d’extraire via Data Connect. Pour plus d’informations sur les étendues, consultez Utiliser Microsoft Graph Data Connect pour définir l’étendue d’un jeu de données.

Pour plus d’informations sur le fonctionnement de l’autorisation avec différentes étendues, consultez Validation d’autorisation pendant l’exécution du pipeline.

Capture d’écran montrant la page de révision de validation d’autorisation dans le portail Data Connect.

Enfin, l’Assistant confirme certaines informations clés sur l’application que vous pouvez consulter. Vous pouvez sélectionner Approuver, Refuser ou Annuler. Une action sur une application est tout ou rien. L’autorisation d’une application signifie que vous autorisez tous les accès spécifiés dans les étapes précédentes.

Une approbation reste valide pendant 180 jours, après quoi elle est considérée comme expirée. Pour renouveler une approbation, un administrateur peut revoir les détails de l’application dans le Centre d’administration Microsoft 365 et Approuver l’autorisation pendant 180 jours. Pour révoquer une approbation, un administrateur peut également accéder à la Centre d’administration Microsoft 365 refuser l’autorisation d’une application.

Lorsque vous autorisez une application, vous pouvez rencontrer les messages d’erreur suivants :

  • App approver and owner cannot be the same user.
  • App registration not found. It is possible someone deleted this app.

Si une erreur inattendue se produit, le message d’erreur inclut un code d’erreur. Notez ce code d’erreur pour le partager avec le support Microsoft.

Découverte d’applications multilocataires

Pour découvrir les applications mutualisées, sélectionnez Ajouter une nouvelle application multilocataire au-dessus du tableau récapitulatif de l’application. Si votre locataire est activé pour la migration des données interlocataires, vous voyez deux zones de texte. Une fois que vous avez entré l’ID d’application et l’ID de locataire, choisissez Rechercher. Le portail lance l’affichage des détails de l’application pour l’application que vous recherchez.

Capture d’écran montrant la page d’ajout d’une application multilocataire dans le portail Data Connect.

Journaux d’audit Microsoft 365

L’expérience d’autorisation de l’application Microsoft Graph Data Connect est intégrée aux journaux d’audit Microsoft 365. Lorsque les administrateurs approuvent ou refusent une application Data Connect, un événement pouvant être audité émet dans les journaux d’audit Microsoft 365 avec des données pertinentes sur ce qui a été approuvé ou refusé. Utilisez l’un des champs suivants pour rechercher les événements d’autorisation Data Connect dans les journaux d’audit :

  • Charge de travail - MicrosoftGraphDataConnect

  • Type d’enregistrement - MicrosoftGraphDataConnectConsent

  • Activités : une application approuvée ou refusée (dans les activités de connexion de données Microsoft Graph)

Capture d’écran montrant une page d’exemple de journal d’audit Microsoft 365.

Validation d’autorisation pendant l’exécution du pipeline

Au moment de l’exécution, Data Connect valide les demandes entrantes par rapport à toutes les autorisations dans le locataire. Si une autorisation correspondante est trouvée, le travail se poursuit. Si aucune autorisation n’est découverte, le travail échoue. La connexion aux données ne bloque ConsentPending plus en attente d’autorisation. Si la validation de l’autorisation échoue, vous recevez un message d’erreur spécifique indiquant pourquoi votre travail n’a pas pu correspondre aux autorisations d’application existantes.

Les validations d’autorisation appliquées pendant l’exécution sont les suivantes :

  • L’ID d’application de la requête entrante correspond à une application autorisée.
  • L’autorisation d’application trouvée est approuvée.
  • L’ID de locataire de l’application pour la demande entrante correspond à l’ID de locataire d’inscription d’application de l’autorisation d’application trouvée.
  • Le jeu de données de la requête entrante est l’un des jeux de données dans l’autorisation d’application trouvée.
  • Les colonnes de la requête entrante sont un sous-ensemble des colonnes autorisées pour le jeu de données demandé.
  • L’ID de locataire de destination correspond à l’ID de locataire de destination de l’autorisation de l’application trouvée.
  • L’emplacement de destination de la requête entrante est contenu dans le récepteur de destination dans l’autorisation d’application trouvée.
  • L’étendue de la requête entrante s’aligne sur l’étendue de l’autorisation de l’application trouvée.
    • Si l’application est autorisée pour tous les utilisateurs/groupes du locataire, toute étendue passe cette validation.
    • Si l’application est autorisée pour une liste de groupes, tout sous-ensemble des groupes autorisés passe cette validation.
    • Si l’application est autorisée pour un URI de filtre d’étendue, la requête entrante doit correspondre précisément à la valeur autorisée.
  • Last updated on