Autorisation pour les API de lire les rapports d'utilisation de Microsoft 365

  • Article

Les données des rapports accessibles via l’API de rapports Microsoft Graph sont sensibles. En particulier, les rapports d’utilisation de Microsoft 365 sont protégés par des autorisations et des rôles Microsoft Entra. Les informations contenues dans cet article s’appliquent à l’API de rapports qui lit les rapports sur l’utilisation de Microsoft 365.

Les API permettant de lire les rapports d’utilisation de Microsoft 365 prennent en charge deux types d’autorisations :

  • Niveau d'autorisation de l'application : Permet à l’application de lire tous les rapports sur l’utilisation du service sans utilisateur connecté. Les autorisations accordées à l’application déterminent l’autorisation.
  • Autorisation délégué par l’utilisateur : Permet à l’application de lire tous les rapports d’utilisation du service pour le compte de l’utilisateur connecté. Outre les autorisations requises accordées à l’application, l’utilisateur doit être membre d’un rôle d’administrateur Microsoft Entra ID limité. Il peut s'agir de l'un des rôles suivants : Administrateur de l'entreprise, administrateur Exchange, administrateur SharePoint, administrateur Lync, administrateur de services Teams, administrateur de communications Teams, lecteur global, lecteur de rapports de synthèse d'utilisation ou lecteur de rapports. Les rôles de lecteur global et de lecteur de rapports récapitulatifs d'utilisation n'auront accès qu'aux données relatives aux locataires, sans visibilité sur les mesures détaillées.

Si vous appelez les API de l’Afficheur Graph :

  • L’administrateur de locataire Microsoft Entra doit accorder explicitement le consentement pour les autorisations demandées à l’application Graph Explorer.
  • L’utilisateur doit être membre d’un rôle d’administrateur limité dans Microsoft Entra ID, répertorié ci-dessus pour l’autorisation déléguée par l’utilisateur.

Remarque

L’Explorateur Graph ne prend pas en charge l’autorisation au niveau de l’application.

Si vous appelez les API d’une application :

  • L’administrateur de locataire Microsoft Entra doit explicitement donner son consentement à votre application. Ceci est requis à la fois pour l'autorisation au niveau de l'application et pour l'autorisation déléguée par l'utilisateur.
  • Si vous utilisez l’autorisation déléguée de l’utilisateur, l’utilisateur connecté doit être membre d’un rôle d’administrateur limité dans Microsoft Entra ID.

Attribuer des rôles Microsoft Entra aux utilisateurs

Une fois qu’une application dispose d’autorisations, toutes les personnes ayant accès à l’application (c’est-à-dire les membres du locataire Microsoft Entra) reçoivent les autorisations accordées. Pour protéger davantage les données de rapports sensibles, les administrateurs clients doivent attribuer aux utilisateurs de l’application les rôles de Microsoft Entra appropriés. Pour plus d’informations, consultez Autorisations de rôle d’administrateur dans Microsoft Entra ID et Attribuer des rôles d’administrateur et de non-administrateur aux utilisateurs disposant de Microsoft Entra ID.

Remarque

Vous devez être un administrateur client pour effectuer cette étape.

Assigner un rôle à un utilisateur :

  1. Connectez-vous au Centre d'administration Microsoft 365.
  2. Développez le menu >IdentitéUtilisateurs> sélectionnez Tous les utilisateurs.
  3. Sélectionnez l’utilisateur.
  4. Sélectionnez les rôles attribués, puis Ajouter une affectation.
  5. Sélectionnez le rôle approprié, puis cliquez sur Ajouter.