Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Découvrez comment s’authentifier auprès des API de gestion de la configuration du locataire (TCM) et configurer le principal de service TCM pour votre organization.
Authentification
Deux niveaux d’authentification sont requis lorsque vous utilisez des API TCM :
- Authentifiez-vous auprès de Microsoft Graph avec un principal disposant de l’autorisation appropriée pour gérer les moniteurs et exécuter des instantanés.
- Configurez l’authentification pour les moniteurs afin de déterminer la méthode d’authentification utilisée par les moniteurs pour emprunter l’identité des appels aux différents points de terminaison de charge de travail ou pour exécuter un travail instantané.
S’authentifier auprès de Microsoft Graph
Pour gérer des analyses ou lancer un travail instantané, vous devez d’abord obtenir un jeton d’accès à Microsoft Graph en vous authentifiant avec les informations d’identification d’un utilisateur (flux délégué par l’utilisateur) ou un principal de service. Le tableau suivant récapitule les autorisations requises :
| Scénario | Utilisateur délégué | Principal de service |
|---|---|---|
| Surveillance de la gestion | N’importe quel rôle privilégié* | ConfigurationMonitoring.Read.All ou ConfigurationMonitoring.ReadWrite.All |
| Captures instantanées | N’importe quel rôle privilégié* | ConfigurationMonitoring.ReadWrite.All |
* Pour obtenir la liste complète des rôles privilégiés, consultez Microsoft Entra rôles intégrés.
Authentification pour exécuter un moniteur
Lorsqu’un moniteur s’exécute, il emprunte l’identité du principal spécifié par TCM. La solution TCM expose un principal de service officiel nommé Gestion de la configuration du locataire avec l’ID d’application suivant :
03b07b79-c5bc-4b5e-9bfa-13acf4a99998
Remarque
Les clients doivent s’assurer que le principal du service M365 Administration Services avec appId6b91db1b-f05b-405a-a0b2-e3f60b28d645 est également approvisionné dans leur locataire. S’il n’existe pas, vous pouvez le provisionner manuellement.
Configurer le principal de service TCM
Pendant la préversion publique, les organisations doivent ajouter le principal de service TCM à leur locataire et lui accorder les autorisations nécessaires.
Ajouter le principal de service TCM à un locataire
Vous pouvez utiliser les options suivantes lorsque vous ajoutez le principal de service TCM à un locataire.
Option 1 : Utiliser PowerShell
Installez les modules requis :
Install-Module Microsoft.Graph.Authentication Install-Module Microsoft.Graph.ApplicationsSe connecter à Microsoft Graph :
Connect-MgGraph -Scopes @('Application.ReadWrite.All', 'AppRoleAssignment.ReadWrite.All')Créez le principal de service :
New-MgServicePrincipal -AppId '03b07b79-c5bc-4b5e-9bfa-13acf4a99998'
Option 2 : Utiliser microsoft API Graph
Effectuez la requête suivante pour créer le principal de service :
POST https://graph.microsoft.com/v1.0/servicePrincipals
Content-Type: application/json
{
"appId": "03b07b79-c5bc-4b5e-9bfa-13acf4a99998"
}
Accorder des autorisations au principal de service TCM
Après avoir ajouté le principal de service TCM à votre locataire, vous devez lui accorder les autorisations nécessaires pour accéder aux points de terminaison de charge de travail.
Option 1 : Utiliser PowerShell
L’exemple de script suivant accorde les User.ReadWrite.All autorisations et Policy.Read.All au principal de service TCM :
$permissions = @('User.ReadWrite.All', 'Policy.Read.All')
$Graph = Get-MgServicePrincipal -Filter "AppId eq '00000003-0000-0000-c000-000000000000'"
$TCM = Get-MgServicePrincipal -Filter "AppId eq '03b07b79-c5bc-4b5e-9bfa-13acf4a99998'"
foreach ($requestedPermission in $permissions) {
$AppRole = $Graph.AppRoles | Where-Object { $_.Value -eq $requestedPermission }
$body = @{
AppRoleId = $AppRole.Id
ResourceId = $Graph.Id
PrincipalId = $TCM.Id
}
New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $TCM.Id -BodyParameter $body
}
Pour Exchange Online autorisations, consultez Stratégies d’accès aux applications dans Exchange Online.
Option 2 : Utiliser Microsoft API Graph
Attribuez des rôles d’application au principal de service TCM :
POST https://graph.microsoft.com/v1.0/servicePrincipals(appId='03b07b79-c5bc-4b5e-9bfa-13acf4a99998')/appRoleAssignedTo
Content-Type: application/json
{
"appRoleId": "246dd0d5-5bd0-4def-940b-0421030a5b68",
"resourceId": "<Microsoft Graph service principal ID>",
"principalId": "<TCM service principal ID>"
}
Remplacez les valeurs d’espace réservé :
-
<Microsoft Graph service principal ID>: ID d’objet du principal de service Microsoft Graph dans votre locataire. -
<TCM service principal ID>: ID d’objet du principal de service TCM dans votre locataire.