Planifier l’authentification et les autorisations

S’applique à : Développeur

Utilisez cet article pour planifier l’authentification et l’autorisation pour une application SharePoint Embedded.

Les applications SharePoint Embedded utilisent Microsoft Graph pour accéder aux conteneurs et au contenu.

Pour obtenir des informations de référence complètes sur l’authentification, consultez Authentification et autorisation SharePoint Embedded.

Principes de base

L’authentification et l’autorisation SharePoint Embedded suivent les principes suivants :

  • Les applications interagissent avec SharePoint Embedded via Microsoft Graph.
  • Les applications ont besoin d’autorisations d’application de type conteneur pour accéder aux conteneurs de ce type de conteneur.
  • Les applications peuvent uniquement accéder aux conteneurs dont l’utilisateur est membre lors de l’utilisation de l’accès pour le compte d’un utilisateur.
  • Les applications peuvent accéder à tous les conteneurs activés par leurs autorisations d’application de type conteneur lors de l’utilisation de l’accès sans utilisateur.
  • Les applications doivent utiliser l’accès au nom des utilisateurs dans la mesure du possible pour améliorer la sécurité et la responsabilité.

Configuration requise

Planifier :

  • Une inscription d’application Microsoft Entra ID.
  • Un abonnement Microsoft 365 dans le locataire Microsoft Entra ID.
  • Autorisations Microsoft Graph pour les opérations SharePoint Embedded.
  • Autorisations d’application de type de conteneur accordées via l’inscription de type de conteneur.
  • Administration consentement dans le locataire consommateur.

Couches d’autorisation

L’accès SharePoint Embedded comporte plusieurs couches.

Couche Objectif
Autorisation Microsoft Graph Permet à l’application d’appeler des points de terminaison SharePoint Embedded.
Autorisation d’application de type de conteneur Permet à l’application d’accéder aux conteneurs d’un type de conteneur spécifique.
Autorisation de conteneur Détermine ce qu’un utilisateur peut faire dans un conteneur spécifique pour l’accès délégué.

Importante

Les autorisations Microsoft Graph seules n’accordent pas l’accès aux conteneurs. L’application doit également être autorisée à accéder à un type de conteneur.

Accès délégué

L’accès délégué signifie que l’application agit au nom d’un utilisateur.

Les opérations SharePoint Embedded pour le compte d’un utilisateur nécessitent une autorisation déléguée Microsoft Graph FileStorageContainer.Selected .

Cette autorisation déléguée ne nécessite pas le consentement de l’administrateur sur le locataire consommateur.

L’utilisateur doit également disposer d’autorisations de conteneur.

Les autorisations effectives de l’application sont l’intersection des points suivants :

  • Autorisations d’application accordées pour le type de conteneur.
  • Autorisations de l’utilisateur sur le conteneur.

Utilisez l’accès délégué dans la mesure du possible.

L’accès délégué améliore l’auditabilité, car les actions peuvent être associées à l’utilisateur.

Accès aux applications uniquement

L’accès à l’application uniquement signifie que l’application agit sans utilisateur.

Les opérations SharePoint Embedded sans utilisateur nécessitent l’autorisation de l’application Microsoft Graph FileStorageContainer.Selected .

Cette autorisation nécessite le consentement de l’administrateur sur le locataire consommateur.

Avec l’accès application uniquement, l’application peut accéder à tous les conteneurs activés par ses autorisations d’application de type de conteneur.

Utilisez l’accès d’application uniquement pour les opérations en arrière-plan qui ne peuvent pas être effectuées pour le compte d’un utilisateur.

Appliquez le privilège minimum lors de l’octroi d’autorisations d’application de type conteneur.

Un administrateur du locataire consommateur doit donner son consentement à la demande d’autorisation de l’application.

Administration consentement est requis pour l’autorisation de l’applicationFileStorageContainer.Selected. FileStorageContainer.Selected Délégué ne nécessite pas le consentement de l’administrateur.

L’inscription du type de conteneur nécessite également le consentement pour que l’application propriétaire agisse dans le locataire consommateur.

Pour l’inscription du type de conteneur, consultez Inscrire les autorisations d’application de type de conteneur de stockage de fichiers.

Autorisations de type de conteneur (Microsoft Graph)

La création, la gestion et l’inscription du type de conteneur sont désormais des opérations Microsoft Graph. Planifiez ces autorisations :

Autorisation Objectif Tenant
FileStorageContainerType.Manage.All Créez et gérez des types de conteneurs sur le locataire propriétaire. Propriétaire uniquement
FileStorageContainerTypeReg.Selected Inscrivez le type de conteneur sur les locataires consommateurs. Consommer
FileStorageContainer.Selected Accédez aux conteneurs du type de conteneur sur les locataires qui consomment. Consommer

FileStorageContainerType.Manage.All est une autorisation déléguée et ne nécessite pas le consentement de l’administrateur. Tout utilisateur non invité du locataire propriétaire peut y donner son consentement, l’utiliser pour créer un type de conteneur, puis est automatiquement affecté en tant que propriétaire de ce type de conteneur. (Avant juin 2026, cela nécessitait le rôle Administrateur SharePoint Incorporé ou Administrateur général.)

Importante

FileStorageContainerType.Manage.All est nécessaire uniquement sur le locataire propriétaire pour créer le type de conteneur. Supprimez-le du manifeste de votre application avant de le distribuer aux locataires consommateurs afin que les clients ne soient pas invités à accorder des autorisations excessives. Lors de l’utilisation des locataires, demandez uniquement FileStorageContainerTypeReg.Selected et FileStorageContainer.Selected.

Autorisations d’application de type de conteneur

Les autorisations d’application de type de conteneur sont accordées par l’application propriétaire via l’inscription du type de conteneur.

Ces autorisations définissent ce qu’une application peut faire sur des conteneurs du type de conteneur.

Les autorisations d’application de type de conteneur sont les suivantes :

  • None
  • ReadContent
  • WriteContent
  • Create
  • Delete
  • Read
  • Write
  • EnumeratePermissions
  • AddPermissions
  • UpdatePermissions
  • DeletePermissions
  • DeleteOwnPermission
  • ManagePermissions
  • ManageContent
  • Full

Accordez uniquement les autorisations dont l’application a besoin.

Par exemple, n’accordez Full pas à une application invitée en arrière-plan si elle a uniquement besoin d’un accès en lecture pour la sauvegarde ou l’analyse.

Autorisations de conteneur

Les autorisations de conteneur s’appliquent aux utilisateurs.

Elles s’appliquent uniquement à l’accès au nom d’un utilisateur.

Tout utilisateur accédant à un conteneur doit être membre du conteneur.

L’appartenance au conteneur accorde des autorisations utilisateur pour ce conteneur.

SharePoint Embedded prend en charge les rôles de conteneur suivants :

Role Résumé
Lecteur Lit les propriétés et le contenu du conteneur.
Rédacteur Autorisations de lecture plus créer, mettre à jour et supprimer du contenu et mettre à jour les propriétés de conteneur applicables.
Responsable Autorisations de l’enregistreur et gestion de l’appartenance au conteneur.
Propriétaire Autorisations de gestionnaire plus supprimer des conteneurs.

Lorsqu’un utilisateur crée un conteneur par le biais d’appels délégués, le rôle Propriétaire lui est automatiquement attribué.

Propriétaires de types de conteneur

Les propriétaires de type de conteneur sont distincts des propriétaires de conteneurs. Ils régissent le type de conteneur lui-même, dans le locataire propriétaire .

  • Affectation automatique : l’utilisateur qui crée un type de conteneur est automatiquement affecté en tant que propriétaire.
  • Ajouter ou supprimer des propriétaires : utilisez la relation de type permissions de conteneur (DELETE /storage/fileStorage/containerTypes/{id}/permissionsPOST/bêta) pour gérer jusqu’à trois propriétaires par type de conteneur.
  • Fonctionnalités : avec FileStorageContainerType.Manage.All en mode délégué, les propriétaires peuvent créer, lire, mettre à jour et supprimer le type de conteneur dont ils sont propriétaires, gérer ses propriétaires et créer des conteneurs de ce type (appels délégués uniquement).
  • Restrictions : Les identités externes (utilisateurs invités) ne peuvent pas être propriétaires de types de conteneur. Les informations de propriétaire existent uniquement dans le locataire propriétaire et ne sont pas propagées aux locataires consommateurs lors de l’inscription.
  • Accès effectif : les fonctionnalités du propriétaire sont des autorisations utilisateur ; l’accès effectif est l’intersection des autorisations Graph de l’application et du rôle de propriétaire.

Implications de l’inscription de type de conteneur

Pour que l’application propriétaire agisse sur un locataire consommateur :

  • L’application propriétaire doit avoir un principal de service installé sur le locataire consommateur.
  • L’application propriétaire doit obtenir le consentement de l’administrateur pour effectuer l’inscription du type de conteneur.
  • Seule l’application propriétaire du type de conteneur peut appeler l’API d’inscription dans le locataire consommateur.

L’API d’inscription spécifie les autorisations pour l’application propriétaire et toutes les applications invitées.

Le dernier appel d’API d’inscription réussi détermine les paramètres utilisés dans le locataire consommateur.

Modèles d’accès exceptionnels

Planifiez les opérations qui ne suivent pas le modèle d’autorisation Microsoft Graph normal.

Les modèles d’accès exceptionnels sont les suivants :

  • Gestion du type de conteneur sur les locataires propriétaires via Microsoft Graph.
  • Inscription du type de conteneur lors de la consommation de locataires via Microsoft Graph (FileStorageContainerTypeReg.Selected).
  • Opérations de conteneur d’administration qui nécessitent FileStorageContainer.Manage.All la connexion d’un administrateur SharePoint Embedded ou d’un administrateur général.
  • Scénarios de Recherche Microsoft qui nécessitent des autorisations supplémentaires pendant la préversion.
  • Opérations qui nécessitent actuellement une licence utilisateur.

Passez en revue ces éléments avant de concevoir des fonctionnalités privilégiées ou nécessitant beaucoup de recherche.

Considérations en matière de sécurité

  • Préférer l’accès délégué pour les opérations pilotées par l’utilisateur.
  • Utilisez l’accès à l’application uniquement lorsque cela est nécessaire pour les opérations de service.
  • Accordez le privilège minimum au niveau du type de conteneur.
  • Accordez le privilège minimum au niveau de l’appartenance au conteneur.
  • Exiger le consentement de l’administrateur dans le locataire approprié.
  • Traitez l’inscription dans le cadre de l’intégration des clients.
  • Évitez l’accès large aux applications invitées, sauf si le scénario l’exige.
  • Passez en revue les implications en matière d’audit et de conformité avec les administrateurs de vos locataires.

Liste de vérification de planification

  • Inscrivez l’application Microsoft Entra ID.
  • Déterminez les opérations qui utilisent l’accès délégué.
  • Déterminez les opérations qui utilisent l’accès d’application uniquement.
  • Demander des autorisations Microsoft Graph FileStorageContainer.Selected .
  • Demandez Microsoft Graph FileStorageContainerType.Manage.All (locataire propriétaire) et FileStorageContainerTypeReg.Selected (locataires consommateurs) pour la création et l’inscription du type de conteneur.
  • Planifier le consentement de l’administrateur dans chaque locataire consommateur.
  • Définissez les autorisations d’application de type de conteneur.
  • Définissez des rôles de conteneur d’utilisateurs.
  • Identifiez les applications invitées et leurs autorisations.
  • Passez en revue les modèles d’accès exceptionnels.

Étapes suivantes

Passer en revue les contraintes de mise à l’échelle et de performances : comprendre les limites et les modèles d’appel.