Gestion Graph

  • Last update on June 3rd, 2025

Cet article vous guide pour vérifier et autoriser l’utilisation du module Microsoft Graph, nécessaire pour exploiter :

qui utilisent le module Graph PowerShell ou les endpoints Graph API.

Afficher la liste des autorisations

Pour vérifier si les autorisations sont accordées, accédez à : « Paramètres » > « Mon organisation » > « Gestion Graph ». Cette section apparaîtra d’abord vide, mais une fois configurée, vous verrez tous les détails pertinents. Si des autorisations sont manquantes, une notification apparaîtra. Par exemple, une boîte rouge intitulée « Permission requise » indiquera une autorisation manquante.

Bandeaux d’alerte

Les administrateurs du Tenant recevront automatiquement une alerte par bandeau dans l’interface si un consentement de gestion Graph est manquant ou nécessite une configuration. S’il n’est pas possible d’accorder certaines autorisations, les administrateurs peuvent activer l’option « Ignorer l’alerte » dans les paramètres « Gestion Graph » pour désactiver ce bandeau.

Le bandeau s’affiche aux administrateurs du Tenant lorsqu’une permission de gestion Graph est requise.
Les administrateurs du Tenant peuvent supprimer le bandeau en sélectionnant « Ignorer l’alerte » dans les paramètres de gestion Graph.

Pour découvrir comment accorder les autorisations et configurer votre tenant pour basculer sur « Microsoft Graph API », suivez le guide ci-dessous.

Veuillez noter que si une session de gestion est ouverte lors de ces modifications, il sera nécessaire de la redémarrer pour que Graph se charge correctement.

 

Lorsque vous cliquez sur « Supprimer », aucune demande de confirmation ne s’affichera et le « Secret client » ainsi que l’« ID client » seront définitivement supprimés. Il ne sera pas possible de les récupérer et vous devrez les recréer.

 

Accorder les autorisations 

Étape 1 : obtenir un ID client et un secret client 

Si vous n’avez pas encore d’ID client et de secret client, il existe deux façons de les créer :

  1. Via le portail d’administration Entra ID (également appelé Azure Active Directory).
  2. Via PowerShell à l’aide du script fourni. 

Avec le portail Entra ID (Azure Active Directory)

Étape 1 : nouvel enregistrement

Sélectionnez « App registrations » > « New registration »

Étape 2 : nommer l’application

Attribuez un nom à votre application (par ex. « CoreView Integration ») et cliquez sur « Register ».

Étape 3 : copier et stocker

Une fois l’application enregistrée, copiez et conservez l’ID de l’application. Vous en aurez besoin ultérieurement pour le portail CoreView.

Étape 4 : ajouter une autorisation

Depuis l’application enregistrée, cliquez sur « API permissions » puis « Add a permission ». 

Étape 5 : sélectionner le service

Sélectionnez « Microsoft Graph » dans la liste des services.

Étape 6 : sélectionner les autorisations

Choisissez « Application permissions » et ajoutez les autorisations suivantes :

User.ReadWrite.All
Directory.ReadWrite.All
Group.ReadWrite.All
  • Si vous souhaitez exécuter l’action Remove Channel User, il faut aussi l’autorisation supplémentaire suivante : 
"ChannelMember.ReadWrite.All"
  • Si vous devez gérer les méthodes d’authentification des utilisateurs, ajoutez également : 
"UserAuthenticationMethod.ReadWrite.All"
  • Si votre offre inclut Entra Apps Solution et que vous gérez des autorisations d’application, ajoutez également :
AppRoleAssignment.ReadWrite.All
  • Si vous devez gérer des applications Entra ID, ajoutez :
Application.ReadWrite.All
  • Si vous devez gérer la MFA (activation/désactivation) pour vos utilisateurs, ajoutez :
Policy.ReadWrite.AuthenticationMethod

Étape 7 : accorder le consentement administrateur

Cochez la case « Grant admin consent for… » une fois les autorisations ajoutées.

Étape 8 : créer un nouveau secret

Sélectionnez « Certificates & secrets », puis « New client secret ».

Étape 9 : ajouter une description et une date d’expiration

Entrez une description et une date d’expiration pour le secret, puis cliquez sur « Add ». Nous recommandons une date d’expiration à 18 mois pour éviter de devoir renouveler trop souvent.  

Étape 10 : copier la valeur du secret

Vous avez maintenant créé votre secret. Copiez la valeur immédiatement : elle sera chiffrée dès que vous quitterez la page.

 
 

Utilisation de PowerShell

  1. Copiez le code suivant et collez-le dans un fichier nommé « RegisterAzureAdApp.ps1 » :
function Register-AzureADApp{
...
        }
  1. Exécutez une commande en tant qu’administrateur 
  2. Tapez PowerShell
  3. Vérifiez que le module Azure AD est installé, sinon exécutez :
Install-Module -Name AzureAD -RequiredVersion 2.0.2.137 -Confirm:$false -Scope AllUsers -Force 
  1. Exécutez la commande ci-dessous en utilisant l’emplacement du dossier où elle a été copiée :
. "path\RegisterAzureAdApp.ps1"
  1. Appelez la fonction comme ci-dessous :
Register-AzureadApp -Name "CoreView Management Integration" -permissions "User.ReadWrite.All", "Directory.ReadWrite.All", "Group.ReadWrite.All"
  • Si vous souhaitez exécuter l’action Remove Channel User, il faut également l’autorisation suivante : 
"ChannelMember.ReadWrite.All"
  • Si vous devez gérer les méthodes d’authentification des utilisateurs, ajoutez également :
"UserAuthenticationMethod.ReadWrite.All"
  • Si votre offre inclut Entra Apps Solution et que vous gérez des autorisations d’applications, ajoutez :
AppRoleAssignment.ReadWrite.All
  • Si vous devez gérer des applications Entra ID, ajoutez :
Application.ReadWrite.All
  • Si vous devez gérer la MFA (activer/désactiver) pour vos utilisateurs, ajoutez :
Policy.ReadWrite.AuthenticationMethod

 

  1. Par défaut, la date de validité du secret client est d’un an à compter de l’exécution. Nous recommandons d’ajouter le paramètre pour porter la durée à 18 mois.
ExpiresClientSecret "31/12/2023"
  1. Le script générera l’ID client, le secret client et l’URL à utiliser pour accorder le consentement sur Azure AD.
  1. Vous pouvez ajouter le paramètre optionnel ci-dessous
-Urlredirect "myurl"

Les URL seront acceptées comme destinations pour retourner l’authentification après identification ou déconnexion des utilisateurs. Si rien n’est précisé, l’URL sera https://coreview.com par défaut.

  1. Copiez l’URL et collez-la dans un navigateur, puis accordez le consentement avec un compte global admin. 
 
 

Étape 2 : configurer la Gestion Graph dans CoreView

Il est temps de copier l’ID de l’application, le secret client et la date d’expiration sur le portail CoreView.

Accédez à Gestion Graph

Pour cela, cliquez sur « PARAMÈTRES » > « Mon organisation », puis « Gestion Graph ».

Saisir les informations

Une fois les informations sauvegardées, vous pourrez mettre à jour le secret client si nécessaire ou supprimer la configuration entièrement. 

L’ID client correspond à l’ID d’application de Entra ID :

Et le secret client est également issu de Entra ID :


Important – à propos des autorisations et rôles

Pour exécuter certaines actions, par exemple sur des données sensibles des utilisateurs, les autorisations accordées à l’application Graph peuvent ne pas suffire ; il peut être nécessaire d’associer un rôle également.

Reportez-vous à l’article Attribution de rôles pour l’application Graph pour plus d’informations.