Veuillez, si vous souhaitez mettre en œuvre les étapes ci-dessous, lire attentivement l’article « Études de cas: introduction » avant de poursuivre.
Un grand cabinet d’avocats américain comptant 3 000 utilisateurs Microsoft 365 avait besoin d’un moyen sécurisé pour que son service d’assistance puisse supprimer les identifiants de la plateforme MacOS sans droits d’administrateur Microsoft élevés.
En tirant parti de CoreView Workflows et en interagissant avec l’API Microsoft Graph, l’équipe informatique a mis en place un processus automatisé de suppression des identifiants au sein de CoreView. Cette solution a simplifié la tâche récurrente de suppression des identifiants MacOS, réduisant les délais de résolution à quelques minutes et minimisant les escalades, tout en respectant les principes du moindre privilège et en permettant aux opérateurs de travailler sans interruption dans une interface unique.
Profil du client
| Secteur d’activité | Cabinet d’avocats |
|---|---|
| Taille de l’entreprise | 3 000 |
| Région | États-Unis |
Ce cabinet d’avocats basé aux États-Unis emploie plus de 3 000 personnes et fonctionne dans un environnement Microsoft 365 avec une importante base d’utilisateurs Mac. La sécurité et la conformité sont essentielles compte tenu de la sensibilité des données clients. Le service desk est la première ligne de support mais son accès administratif a historiquement été limité afin de protéger l’environnement.
Problématique métier
Les utilisateurs Mac du cabinet ont parfois besoin que leurs identifiants de plateforme MacOS soient supprimés — une action nécessaire pour résoudre les problèmes d’authentification et de gestion des appareils. En l’absence de droits d’administrateur élevés dans Entra, le personnel du service desk ne pouvait pas réaliser cette tâche, ce qui obligeait à escalader chaque demande vers des administrateurs IT seniors. Cela engendrait des retards et consommait un temps précieux d’administrateur, alors qu’accorder des droits étendus au service desk aurait représenté un risque de sécurité inacceptable.
Points de douleur :
- Aucune méthode directe pour le helpdesk afin de supprimer les identifiants de la plateforme MacOS sans autorisations administratives élevées.
- Dépendance aux administrateurs tenants pour les tâches régulières de suppression d’identifiants.
- Résolution des tickets lente pour les utilisateurs Mac, impactant leur productivité.
- Exposition potentielle en cas d’octroi d’accès trop élevé au helpdesk.
- Frustration des utilisateurs et administrateurs due aux escalades répétées.
Produits CoreView impliqués
- CoreView One : plateforme de gestion Microsoft 365 complète offrant des permissions déléguées, de l’automatisation et un contrôle granulaire. Elle s’intègre à l’API Microsoft Graph pour réaliser des actions d’administration ciblées de manière sécurisée à travers des workflows préconfigurés ou personnalisés.
Guide de solution étape par étape
Cette solution permet la suppression déléguée et sécurisée des identifiants de plateforme MacOS à l’aide d’un workflow CoreView et de l’API Microsoft Graph.
Le processus commence par l’accès au portail CoreView et l’installation d’un workflow personnalisé qui recueille les informations de l’utilisateur cible. Ensuite, le workflow utilise Graph API pour vérifier la présence d’un identifiant de plateforme MacOS pour l’utilisateur spécifié, puis le supprime s’il existe. Enfin, la solution couvre la publication, le test et l’attribution de permissions sécurisées basées sur les rôles, offrant aux équipes de helpdesk un processus fluide et conforme.
Étape 1 : accéder au portail CoreView
Pour débuter le processus, nous nous connectons d’abord au portail web CoreView. C’est ici que toutes les tâches de conception et de gestion des workflows seront effectuées.
Connectez-vous au portail web CoreView en utilisant les identifiants de votre organisation.
Si vous ne disposez pas d’un compte, veuillez contacter votre administrateur CoreView pour demander l’accès.
Étape 2 : accéder à la section Workflows
À cette étape, nous accédons à l’espace dédié dans CoreView où les workflows personnalisés sont créés et gérés.
Depuis le menu latéral, accédez à « Actions > Gérer les workflows > Workflows ». Cette section vous permet de concevoir des séquences d’automatisation.
Étape 3 : créer un nouveau Workflow
Nous commençons à construire la solution en créant un nouveau workflow dédié qui automatisera la suppression des identifiants.
Cliquez sur le bouton « Créer nouveau » pour démarrer la création d’un workflow.
Étape 4 : nommer le Workflow et ajouter les paramètres d’exécution
Ici, nous nommons clairement notre Workflow et configurons un champ de saisie afin que les opérateurs puissent facilement sélectionner les identifiants à cibler.
Cliquez sur l’icône crayon à côté du titre du Workflow et renommez-le pour que son objectif soit bien représenté, par exemple « Supprimer identifiant de plateforme MacOS ».
Lors de la modification du titre ou de la description du Workflow, veillez à cliquer sur la coche verte pour enregistrer vos changements.
Cliquez sur le bouton « Configurer l’entrée d’exécution » pour ajouter une saisie permettant de spécifier l’utilisateur dont les identifiants de plateforme doivent être supprimés.
Sur la page Configurer l’entrée d’exécution, cliquez sur le menu déroulant « Cible » et choisissez « Aucune cible (attribut personnalisé) ».
puis choisissez « Liste déroulante » dans la liste « Type ».
Le type d’entrée Liste déroulante est utile lorsque l’opérateur qui exécute le Workflow doit choisir parmi une liste d’objets existants dans votre environnement.
Tapez « UserPrincipalName » dans le champ « Insérer le nom ». Ce sera le nom utilisé pour identifier la saisie d’exécution dans le Workflow.
Sélectionnez « UserPrincipalNames » dans le menu déroulant « Valeur ».
Lorsqu’un opérateur lance le Workflow, cela produira une liste déroulante avec tous les UserPrincipalNames de l’organisation que l’opérateur authentifié est autorisé à consulter.
Cliquez sur la case « Obligatoire » pour rendre ce paramètre d’exécution obligatoire.
Cliquez sur le bouton « Enregistrer » en bas à droite de la fenêtre pour sauvegarder vos changements.
Étape 5 : ajouter une étape HTTP API GET
Dans cette phase, nous ajoutons une action au Workflow qui vérifie en toute sécurité les identifiants de plateforme MacOS à l’aide de l’API Microsoft Graph.
Ajoutez une étape HTTP API GET, qui utilisera Graph API pour récupérer l’identifiant de la plateforme MacOS pour l’utilisateur sélectionné.
Cliquez sur le bouton « Ajouter », puis sur « Action ».
Dans le volet, choisissez « HttpApi » dans le menu déroulant « Catégorie d’action ».
Sélectionnez « HTTP API GET » dans le menu déroulant « Choisir l’action ».
Sous la section « Paramètres » à droite, cliquez sur la liste déroulante « Champs » et activez les champs « Clé secrète pour le jeton Bearer » et « Content-Type ».
Quittez la liste déroulante « Champs », supprimez « Oui » du champ « S’assurer du code d’état de réussite », et cliquez sur l’icône éclair/action pour définir le champ sur « Non ».
Sélectionner « Non » dans le champ « S’assurer du code d’état de réussite » évite que l’étape ne génère un statut Échec si l’appel renvoie un code d’échec. Cela vous permet de gérer l’exception au lieu que le workflow échoue entièrement.
Dans le champ « Url », saisissez
https://graph.microsoft.com/v1.0/users/ puis cliquez sur l’icône éclair/action. Veillez à ne pas insérer d’espaces dans l’url.
Sélectionnez "UserPrincipalName" dans la liste des paramètres d’entrée.
Cliquez sur le champ « Url », puis tapez
/authentication/platformCredentialMethods après le UserPrincipalName. Assurez-vous qu’il n’y a pas d’espaces.
Cliquez sur le champ « Clé secrète pour le jeton Bearer », puis sélectionnez Microsoft Graph Auth parmi les options. Cette instruction demande à l’action d’utiliser le jeton Graph de CoreView pour la requête.
Cliquez sur le champ « Content-Type », puis sélectionnez « application/json » dans la liste.
Cliquez sur le bouton « Enregistrer » en bas à droite pour sauvegarder les paramètres.
Étape 6 : ajouter une correspondance dynamique
Cette étape consiste à extraire les informations nécessaires (l’identifiant de la méthode) depuis l’appel API précédent, afin de l’utiliser dans les prochaines étapes du Workflow.
Créez une correspondance dynamique pour transmettre l’identifiant de la méthode renvoyé par l’action HTTP API GET aux étapes suivantes. L’ID sera utilisé lors de l’appel suivant pour supprimer la méthode d’identification de plateforme.
Cliquez sur la liste déroulante à côté du bouton « Publier », puis cliquez sur « Définir la correspondance dynamique ».
Cliquez sur le bouton « Ajouter une correspondance dynamique » pour en créer une nouvelle, puis sélectionnez l’action HTTP API GET dans la liste déroulante « Actions ».
Dans le champ « Nom », saisissez « MethodID », et tapez Response.value[0].id dans le champ « Nom du chemin », puis cliquez sur « Enregistrer ».
Étape 7 : ajouter une étape HTTP API DELETE
Avec l’ID requis de la méthode d’identification récupéré à l’étape précédente, nous ajoutons maintenant une étape automatisée pour supprimer l’identifiant de plateforme MacOS via l’API Graph.
Ajoutez une étape HTTP API DELETE, qui prendra l’ID de la méthode d’identification retourné précédemment et l’utilisera pour supprimer la méthode.
Cliquez sur la flèche vers le bas sous l’étape HTTP API GET, puis cliquez sur « Action ».
Sélectionnez « HttpApi » dans la liste déroulante « Catégorie d’action », puis sélectionnez « HTTP API DELETE » dans le menu « Choisir l’action ».
Comme pour la création de l’étape HTTP API GET, cliquez sur la liste déroulante « Champs » et ajoutez les champs suivants :
- Clé secrète pour le jeton Bearer
- Corps
- Content-Type
Renseignez les champs comme suit :
| S’assurer du code d’état de réussite | Oui |
|---|---|
| Url | https://graph.microsoft.com/v1.0/users/UserPrincipalName/authentication/platformCredentialMethods/MethodID |
| Clé secrète pour le jeton Bearer | Microsoft Graph Auth |
| Content-Type | application/json |
Cliquez sur le bouton « Enregistrer ».
Si vous ne souhaitez pas qu’une requête HTTP API DELETE échouée bloque l’exécution des autres actions, configurez « S’assurer du code d’état de réussite » sur Non.
Étape 8 : appliquer un filtre à l’étape HTTP API DELETE
Nous vérifions que notre Workflow n’essaie de supprimer un identifiant que si la vérification précédente confirme qu’il existe et qu’il est accessible, garantissant ainsi la fiabilité.
Appliquez un filtre à l’étape HTTP API DELETE pour garantir qu’elle ne s’exécute que si l’étape GET a renvoyé un code d’état de réussite.
Cliquez sur les points de suspension de l’étape HTTP API DELETE, puis sur « Filtre ».
Cliquez sur le champ « Propriété », puis sélectionnez la sortie « StatusCode » de l’étape HTTP API GET.
Sélectionnez « Égal » dans le champ « Opérateur » et saisissez « 200 » dans le champ « Valeur », puis cliquez sur « Enregistrer ».
En appliquant ce filtre, l’étape HTTP API DELETE ne s’exécutera que lorsque l’étape HTTP API GET renverra une réponse réussie, ce qui signifie qu’une méthode d’identification de plateforme a été trouvée pour l’utilisateur spécifié.
Étape 9 : publier et tester le Workflow
Ensuite, nous enregistrons, publions et exécutons le Workflow dans un scénario de test sécurisé afin de vérifier son fonctionnement.
Cliquez sur le bouton « Enregistrer » en haut à droite puis sur « Enregistrer et publier ».
Testez le Workflow en cliquant sur le bouton à trois points en haut à droite, puis sur « Exécuter ».
Sur l’écran « Exécution du Workflow », cliquez sur le champ « User principal name » et choisissez l’utilisateur dont vous souhaitez supprimer la méthode d’identification de plateforme MacOS.
Vous pouvez utiliser le champ de recherche pour rechercher un utilisateur spécifique.
Cliquez sur le bouton « Suivant » pour accéder à la page de révision, puis sur « Soumettre » pour lancer le Workflow.
Vous pouvez cliquer sur l’icône de cloche dans le ruban en haut de l’écran, puis sur « Voir l’exécution du workflow » pour consulter les résultats.
Étape 10 : attribuer le Workflow aux ensembles de permissions
Enfin, nous attribuons l’accès au Workflow de façon sécurisée uniquement aux rôles appropriés du helpdesk, garantissant un contrôle délégué et conforme.
Accédez à « Paramètres > Permissions ».
Trouvez l’ensemble de permissions auquel vous souhaitez accorder l’accès au nouveau Workflow, puis cliquez sur l’icône crayon.
Vous pouvez rechercher un ensemble de permissions spécifique par son nom en utilisant le filtre de colonne.
Depuis l’écran « Gérer les permissions », allez à la section Workflows, trouvez le nouveau Workflow et cochez la case à côté pour l’attribuer à l’ensemble de permissions.
Vous pouvez rechercher le Workflow par nom en utilisant le filtre de colonne.
Cliquez sur « Soumettre », puis sur « Confirmer » pour enregistrer l’ensemble de permissions.
Résultats de la solution
Le cabinet d’avocats a développé un CoreView Workflow utilisant Microsoft Graph API pour supprimer les identifiants de plateforme pour les appareils Mac. Ce workflow apparaît comme une tâche simple dans le portail CoreView, accessible seulement aux équipes qui en ont besoin grâce aux Permissions CoreView.
Une fois mis en place, les équipes du helpdesk pouvaient effectuer la suppression des identifiants MacOS en moins d’une minute, contre 10 à 15 minutes auparavant en cas d’escalade.
La suppression des identifiants MacOS n’est plus un processus complexe — notre helpdesk peut le gérer rapidement et en toute sécurité, et nos administrateurs IT peuvent se concentrer sur des activités à plus forte valeur ajoutée.
rapporte le responsable de l’équipe helpdesk.
Bénéfices obtenus
- Temps de résolution réduit de 10–15 minutes à moins d’une minute.
- Exposition sécurisée des actions Graph API sans accorder de droits Entra admin.
- Traçabilité claire de chaque suppression d’identifiant dans CoreView.
- Respect des politiques de conformité strictes et d’accès par rôle.
- Réactivité accrue du helpdesk et meilleure productivité des utilisateurs Mac.
Cette mise en œuvre a démontré que des Workflows ciblés peuvent allier rapidité opérationnelle et sécurité, réalisant un ROI mesurable en temps gagné.
Leçons retenues et bonnes pratiques
- Limiter l’exécution des Workflows aux rôles ciblés via le contrôle d’accès par rôle de CoreView.
- Si nécessaire, utiliser les Tenants virtuels de CoreView pour limiter le périmètre d’administration d’un opérateur à des utilisateurs spécifiques, garantissant qu’il exécute des workflows uniquement pour ceux qu’il est autorisé à gérer.
Ressources supplémentaires
- CoreView Centre de Connaissance - Actions HTTP API Workflow
- List platformCredentialAuthenticationMethods - Microsoft Graph v1.0 | Microsoft Learn
- Delete platformCredentialAuthenticationMethod - Microsoft Graph v1.0 | Microsoft Learn
- CoreView — Ajouter un nouvel ensemble de permissions
- CoreView — Tenants virtuels et permissions