Configurer l’accès des applications aux réunions en ligne ou aux événements virtuels

  • Article

Pour que les applications accèdent à certaines API de communication cloud avec des autorisations d’application, en plus des autorisations d’application Microsoft Graph, les administrateurs clients doivent configurer une stratégie d’accès aux applications. Pour plus d’informations, consultez Autorisations d’application prises en charge.

Les sections suivantes décrivent les deux scénarios main qui nécessitent une stratégie d’accès aux applications.

Autoriser les applications à accéder aux réunions en ligne pour le compte d’un utilisateur

Dans certains cas, comme les services en arrière-plan ou les applications démon s’exécutant sur un serveur sans utilisateur connecté, il est acceptable qu’une application appelle Microsoft Graph et effectue des actions au nom d’un utilisateur. Par exemple, une application peut nécessiter que Microsoft Graph planifie plusieurs réunions en fonction de planifications publiées (comme des cours) ou d’outils de planification externes. Dans ce cas, l’application peut agir au nom de n’importe quel utilisateur. Par conséquent, il est important de s’assurer que l’utilisateur dispose des privilèges nécessaires, comme être l’organisateur ou le co-organisateur, pour accéder à la réunion en ligne.

Autoriser les applications à accéder aux événements virtuels créés par l’utilisateur

Dans les cas où un utilisateur connecté n’est pas présenté, une application peut appeler Microsoft Graph pour accéder à un événement virtuel à l’aide des autorisations d’application. Par exemple, une application peut appeler Microsoft Graph pour rechercher un événement virtuel qu’un utilisateur a créé ou récupérer les rapports de présence d’un événement virtuel créé par l’utilisateur sans utiliser les autorisations déléguées de cet utilisateur. Dans ce cas, l’utilisateur doit être l’organisateur de cet événement virtuel.

Procédez comme suit pour configurer une stratégie d’accès aux applications pour les ressources de communication cloud, telles que les réunions en ligne et les événements virtuels. Ces étapes ne s’appliquent pas aux autres ressources Microsoft Graph.

Comparer la stratégie d’accès aux applications pour les réunions en ligne et les événements virtuels

Le tableau suivant compare la stratégie d’accès aux applications pour les réunions en ligne et les événements virtuels dans différents scénarios impliquant deux utilisateurs. Ces scénarios impliquent deux utilisateurs (user_1 et user_2) et les stratégies d’accès aux applications suivantes :

  • Policy_1 contient un ID d’application (app_1)
  • Policy_2 contient un ID d’application (app_2)
  • Policy_3) contient à la fois les ID d’application (app_1 et app_2)
Scénario Réunion en ligne Événement virtuel
policy_1 est affecté à user_1, policy_2 est affecté à user_2 app_1 pouvez uniquement accéder aux réunions en ligne en tant que user_1
app_2 pouvez uniquement accéder aux réunions en ligne en tant que user_2		 app_1 ne peut accéder qu’aux événements virtuels créés par user_1
app_2 pouvez uniquement accéder aux événements virtuels créés par user_2
policy_1 est affecté à user_1 et user_2 app_1 pouvez accéder aux réunions en ligne en tant que user_1
app_1 pouvez accéder aux réunions en ligne en tant que user_2		 app_1 pouvez accéder aux événements virtuels créés par user_1
app_1 pouvez accéder aux événements virtuels créés par user_2
policy_3 est affectée à user_1, aucune stratégie n’est affectée à user_2 app_1 pouvez accéder aux réunions en ligne en tant que user_1 et user_2
Aucune application ne peut accéder à une réunion en ligne en tant que user_2		 app_1 pouvez accéder aux événements virtuels créés par user_1 et user_2
Aucune application ne peut accéder aux événements virtuels créés par user_2
policy_3 est affecté à l’ensemble du locataire Les app_1 et les app_2 peuvent accéder aux réunions en ligne en tant que user_1 ou user_2 Les app_1 et les app_2 peuvent accéder aux événements virtuels créés par user_1 ou user_2

Configurer la stratégie d’accès aux applications

Pour configurer une stratégie d’accès aux applications et autoriser les applications à accéder aux réunions en ligne avec des autorisations d’application :

  1. Identifiez l’ID d’application (client) de l’application et les ID d’utilisateur des utilisateurs pour lesquels l’application sera autorisée à accéder aux réunions en ligne.

  2. Connectez-vous à Skype Entreprise PowerShell avec un compte d’administrateur. Pour plus d’informations, consultez Gérer Skype Entreprise Online avec PowerShell.

  3. Créez une stratégie d’accès à l’application contenant une liste d’ID d’application.

    Exécutez l’applet de commande suivante, en remplaçant les arguments Identity, AppIds et Description (facultatif).

    New-CsApplicationAccessPolicy -Identity Test-policy -AppIds "ddb80e06-92f3-4978-bc22-a0eee85e6a9e", "ccb80e06-92f3-4978-bc22-a0eee85e6a9e", "bbb80e06-92f3-4978-bc22-a0eee85e6a9e" -Description "description here"

  4. Accordez la stratégie à l’utilisateur pour permettre aux ID d’application contenus dans la stratégie d’accéder à 1) aux réunions en ligne pour le compte de l’utilisateur accordé et 2) aux événements virtuels créés par l’utilisateur accordé.

    Exécutez l’applet de commande suivante, en remplaçant les arguments PolicyName et Identity .

    Grant-CsApplicationAccessPolicy -PolicyName Test-policy -Identity "748d2cbb-3b55-40ed-8c34-2eae5932b22a"

  5. (Facultatif) Accordez la stratégie à l’ensemble du locataire. Cela s’applique aux utilisateurs qui n’ont pas de stratégie d’accès à l’application affectée. Pour plus d’informations, consultez les liens d’applet de commande dans la section Contenu associé .

    Exécutez l’applet de commande suivante, en remplaçant l’argument PolicyName .

    Grant-CsApplicationAccessPolicy -PolicyName Test-policy -Global

Remarque

  • Identité fait référence au nom de la stratégie lors de la création de la stratégie, mais à l’ID utilisateur lors de l’octroi de la stratégie.
  • Lors de l’octroi de la stratégie, elle est appliquée à la fois aux réunions en ligne et aux événements virtuels. Si vous préférez gérer les réunions en ligne et les événements virtuels séparément, nous vous recommandons d’avoir deux applications distinctes.
  • Les modifications apportées aux stratégies d’accès aux applications peuvent prendre jusqu’à 30 minutes pour prendre effet dans les appels d’API REST Microsoft Graph.

Autorisations prises en charge et ressources supplémentaires

Les administrateurs peuvent utiliser les applets de commande ApplicationAccessPolicy pour contrôler l’accès aux réunions en ligne et aux événements virtuels pour une application à laquelle l’une des autorisations d’application suivantes a été accordée :

  • OnlineMeetings.Read.All
  • OnlineMeetings.ReadWrite.All
  • OnlineMeetingArtifact.Read.All
  • OnlineMeetingTranscript.Read.All
  • OnlineMeetingRecording.Read.All
  • VirtualEvent.Read.All

Pour plus d’informations sur la configuration de la stratégie d’accès aux applications, consultez la rubrique Référence de la cmdlet PowerShell pour New-ApplicationAccessPolicy.

Erreurs

Si vous tentez un appel d’API pour accéder à une réunion en ligne ou à un événement virtuel sans configurer la stratégie d’accès à l’application, vous pouvez rencontrer l’erreur suivante :

{
    "error": {
        "code": "Forbidden",
        "message": "No application access policy found for this app",
        "innerError": {
            "date": "<date_redacted>",
            "request-id": "599d9cb0-56ac-4dc5-b6f8-1456a1414609"
        }
    }
}

Suivez les étapes décrites dans cet article pour créer et/ou accorder une stratégie d’accès à l’application qui contient l’ID d’application à l’ID utilisateur.

Contenu connexe