Configurer l’authentification pour les API de gestion de la configuration des locataires

Découvrez comment s’authentifier auprès des API de gestion de la configuration du locataire (TCM) et configurer le principal de service TCM pour votre organization.

Authentification

Deux niveaux d’authentification sont requis lorsque vous utilisez des API TCM :

  1. Authentifiez-vous auprès de Microsoft Graph avec un principal disposant de l’autorisation appropriée pour gérer les moniteurs et exécuter des instantanés.
  2. Configurez l’authentification pour les moniteurs afin de déterminer la méthode d’authentification utilisée par les moniteurs pour emprunter l’identité des appels aux différents points de terminaison de charge de travail ou pour exécuter un travail instantané.

S’authentifier auprès de Microsoft Graph

Pour gérer des analyses ou lancer un travail instantané, vous devez d’abord obtenir un jeton d’accès à Microsoft Graph en vous authentifiant avec les informations d’identification d’un utilisateur (flux délégué par l’utilisateur) ou un principal de service. Le tableau suivant récapitule les autorisations requises :

Scénario Utilisateur délégué Principal de service
Surveillance de la gestion N’importe quel rôle privilégié* ConfigurationMonitoring.Read.All ou ConfigurationMonitoring.ReadWrite.All
Captures instantanées N’importe quel rôle privilégié* ConfigurationMonitoring.ReadWrite.All

* Pour obtenir la liste complète des rôles privilégiés, consultez Microsoft Entra rôles intégrés.

Authentification pour exécuter un moniteur

Lorsqu’un moniteur s’exécute, il emprunte l’identité du principal spécifié par TCM. La solution TCM expose un principal de service officiel nommé Gestion de la configuration du locataire avec l’ID d’application suivant :

03b07b79-c5bc-4b5e-9bfa-13acf4a99998

Remarque

Les clients doivent s’assurer que le principal du service M365 Administration Services avec appId6b91db1b-f05b-405a-a0b2-e3f60b28d645 est également approvisionné dans leur locataire. S’il n’existe pas, vous pouvez le provisionner manuellement.

Configurer le principal de service TCM

Pendant la préversion publique, les organisations doivent ajouter le principal de service TCM à leur locataire et lui accorder les autorisations nécessaires.

Ajouter le principal de service TCM à un locataire

Vous pouvez utiliser les options suivantes lorsque vous ajoutez le principal de service TCM à un locataire.

Option 1 : Utiliser PowerShell

  1. Installez les modules requis :

    Install-Module Microsoft.Graph.Authentication
    Install-Module Microsoft.Graph.Applications
    
  2. Se connecter à Microsoft Graph :

    Connect-MgGraph -Scopes @('Application.ReadWrite.All', 'AppRoleAssignment.ReadWrite.All')
    
  3. Créez le principal de service :

    New-MgServicePrincipal -AppId '03b07b79-c5bc-4b5e-9bfa-13acf4a99998'
    

Option 2 : Utiliser microsoft API Graph

Effectuez la requête suivante pour créer le principal de service :

POST https://graph.microsoft.com/v1.0/servicePrincipals
Content-Type: application/json

{
  "appId": "03b07b79-c5bc-4b5e-9bfa-13acf4a99998"
}

Accorder des autorisations au principal de service TCM

Après avoir ajouté le principal de service TCM à votre locataire, vous devez lui accorder les autorisations nécessaires pour accéder aux points de terminaison de charge de travail.

Option 1 : Utiliser PowerShell

L’exemple de script suivant accorde les User.ReadWrite.All autorisations et Policy.Read.All au principal de service TCM :

$permissions = @('User.ReadWrite.All', 'Policy.Read.All')
$Graph = Get-MgServicePrincipal -Filter "AppId eq '00000003-0000-0000-c000-000000000000'"
$TCM = Get-MgServicePrincipal -Filter "AppId eq '03b07b79-c5bc-4b5e-9bfa-13acf4a99998'"

foreach ($requestedPermission in $permissions) {
    $AppRole = $Graph.AppRoles | Where-Object { $_.Value -eq $requestedPermission }
    $body = @{
        AppRoleId = $AppRole.Id
        ResourceId = $Graph.Id
        PrincipalId = $TCM.Id
    }
    New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $TCM.Id -BodyParameter $body
}

Pour Exchange Online autorisations, consultez Stratégies d’accès aux applications dans Exchange Online.

Option 2 : Utiliser Microsoft API Graph

Attribuez des rôles d’application au principal de service TCM :

POST https://graph.microsoft.com/v1.0/servicePrincipals(appId='03b07b79-c5bc-4b5e-9bfa-13acf4a99998')/appRoleAssignedTo
Content-Type: application/json

{
  "appRoleId": "246dd0d5-5bd0-4def-940b-0421030a5b68",
  "resourceId": "<Microsoft Graph service principal ID>",
  "principalId": "<TCM service principal ID>"
}

Remplacez les valeurs d’espace réservé :

  • <Microsoft Graph service principal ID>: ID d’objet du principal de service Microsoft Graph dans votre locataire.
  • <TCM service principal ID>: ID d’objet du principal de service TCM dans votre locataire.