Fax et e-mail
      Revenir à l'accueil
      1. Centre d'aide Prokeep
      2. Technique
      3. Fax et e-mail

      Clients utilisant des courriels partagés et des groupes d’accès : Processus de configuration de l’API Microsoft Graph

      Configuration de l’API Graph de Microsoft pour plusieurs adresses

      Autorisation à Prokeep

      Après avoir fourni au support Prokeep une liste d’adresses courriel que vous souhaitez activer avec la fonctionnalité de courriel partagé Prokeep, ainsi que les groupes Prokeep correspondants, vous recevrez un courriel de Prokeep vous demandant votre ID de locataire Azure (Tenant ID).

      L’ID de locataire peut être trouvé dans vos propriétés de locataire (Tenant Properties) dans Azure.

      Après cela, le support Prokeep configurera ces canaux et vous recevrez un autre courriel vous demandant d’accorder l’accès à votre API Microsoft Graph.

      Cliquez sur Accorder le consentement de l’administrateur et connectez-vous à votre compte Microsoft. Vous verrez ensuite un écran vous demandant d’autoriser Prokeep à accéder à votre environnement Microsoft 365. Les autorisations suivantes sont demandées à cette étape :

      • Mail.Read – Lire les messages de la boîte aux lettres

      • Mail.Send – Envoyer des courriels en tant qu’utilisateur

      • Directory.Read.All – Lire les données de l’annuaire

      Ces autorisations sont nécessaires pour que Prokeep puisse lire et envoyer des courriels en votre nom, ainsi que gérer les boîtes aux lettres partagées et les groupes d’accès dans votre annuaire Azure.

      Une fois les autorisations examinées, cliquez sur Accepter pour accorder l’accès.

      Restreindre l’approbation à des adresses courriel spécifiques

      Configurer PowerShell et se connecter à Exchange

      Avis général
      Par défaut, le consentement d’application est accordé à l’ensemble du locataire, donc toute adresse courriel de votre compte pourrait être configurée pour fonctionner avec Prokeep. Cela n’entraînera pas l’acheminement immédiat de tous les courriels dans les boîtes de réception Prokeep, mais signifie que toute adresse courriel de votre compte pourrait être configurée pour fonctionner avec Prokeep.

      Si vous souhaitez restreindre l’accès afin de permettre uniquement à certaines adresses courriel d’être configurées avec Prokeep, veuillez suivre les étapes ci-dessous.

      Ces étapes ont été créées à partir de la documentation de Microsoft pour limiter l’accès des applications aux boîtes aux lettres [ici].

      Beaucoup des étapes suivantes doivent être effectuées dans PowerShell en tant qu’administrateur. Veuillez installer Microsoft PowerShell si ce n’est pas déjà fait.

      Vérifier que le module ExchangeOnlineManagement est installé

      Cette étape peut être ignorée si le module est déjà installé.

      (Tous les utilisateurs)

      Install-Module -Name ExchangeOnlineManagement

      (Utilisateur actuel)

      Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

      Remarque : Il se peut qu’on vous demande d’autoriser NuGet et d’autoriser l’installation de modules à partir de PSGallery si cela n’a pas déjà été fait sur votre système.

      L’image ci-dessus illustre l’installation du module ExchangeOnlineManagement dans PowerShell. Pour plus de détails, consultez la documentation Microsoft sur le module PowerShell [ici].

      Assurez-vous que les scripts peuvent être exécutés dans votre environnement.
      Vérifiez la sortie de la commande :

      Get-ExecutionPolicy

      • Sur les clients Windows, cette stratégie doit être l’une des suivantes :
        [Unrestricted | RemoteSigned | AllSigned | Bypass]
      • Sur les serveurs Windows, cette stratégie doit être l’une des suivantes :
        [Unrestricted | RemoteSigned | AllSigned | Bypass | Default | Undefined]
      • Si la combinaison de votre environnement et de votre stratégie ne figure pas dans cette liste, le module ExchangeOnlineManagement ne pourra pas s’exécuter. Vous devrez alors utiliser la commande Set-ExecutionPolicy ou parler avec un administrateur pour obtenir les permissions nécessaires.
      • Pour plus de détails, consultez la documentation Microsoft sur la stratégie d’exécution [ici].


      Charger ExchangeOnlineManagement et se connecter

      Chargez le module dans votre session.

      Import-Module ExchangeOnlineManagement


      Connectez-vous et authentifiez-vous à Exchange Online en utilisant votre nom d’utilisateur, formaté comme une adresse courriel, par exemple : username@xyz.com.

      Connect-ExchangeOnline -UserPrincipalName [your username]

      Lors de l’exécution de cette commande, une fenêtre de navigateur Web s’ouvrira et vous invitera à vous connecter. Vous devrez fournir vos informations d’authentification multifacteur pour accéder à votre compte Microsoft.

      Après une connexion réussie, vous devriez voir cet écran.

      Pour les configurations d’authentification plus complexes, vous devrez peut-être consulter la documentation Microsoft ci-dessous pour obtenir des détails spécifiques.

      Mettre en place des restrictions d’accès

      Après vous être connecté et avoir configuré vos paramètres Exchange, nous allons maintenant mettre en place des contrôles d’accès afin que Prokeep ne puisse accéder qu’aux boîtes aux lettres approuvées.

      Créer une nouvelle stratégie d’accès aux applications

      Permissions

      Avant d’effectuer les étapes suivantes, assurez-vous qu’un rôle d’administrateur vous a été attribué dans votre organisation et que vous disposez spécifiquement du rôle « Organisation Configuration ». Ce rôle est accordé à tout utilisateur Administrateur Exchange ou Administrateur global.

      Si votre compte Microsoft ne dispose pas de cette permission et que vous tentez d’exécuter les commandes PowerShell ci-dessous, vous verrez l’erreur suivante :

      Si vous n’avez pas les permissions appropriées, veuillez contacter votre administrateur Exchange, qui peut vous les accorder via admin.microsoft.com > Utilisateurs > Utilisateurs actifs.

      Une fois que vous avez confirmé que vous disposez des permissions nécessaires ou que vous avez confié ces étapes à une personne qui en dispose, poursuivez avec ce qui suit.

      Ajouter des boîtes aux lettres partagées

      Une boîte aux lettres partagée ne peut pas être ajoutée directement avec la méthode ci-dessus, car elle n’est pas un security principal. Un message d’erreur s’affichera lorsque vous tenterez d’ajouter la stratégie d’accès aux applications.

      Pour résoudre ce problème, il faut utiliser ou créer un groupe de sécurité activé pour le courrier, puis ajouter la boîte aux lettres partagée à ce groupe de sécurité. La stratégie d’accès aux applications pourra ensuite être accordée à ce groupe. Les étapes pour créer un groupe de sécurité sont décrites dans la section suivante.

      Ajouter des groupes de sécurité

      Un groupe de sécurité peut être ajouté afin de permettre plusieurs autorisations via une seule stratégie d’accès aux applications. C’est la seule méthode pour ajouter des boîtes de réception partagées, et c’est également une méthode plus efficace pour ajouter des boîtes individuelles.

      Consultez la documentation Microsoft pour limiter l’accès aux applications [ici].

      Créer un groupe de sécurité

      Consultez la documentation Microsoft pour gérer les groupes de sécurité activés pour le courrier [ici].

      En tant qu’utilisateur administrateur, allez dans votre Centre d’administration Exchange.
      Sous Destinataires, cliquez sur Groupes, puis sur Ajouter un groupe.

      Ensuite, choisissez Type de groupe > Groupe de sécurité activé pour le courrier.

      Cela permettra d’utiliser le groupe comme entité de sécurité tout en lui attribuant une adresse de courriel.

      Ensuite, fournissez un nom et une description pour ce groupe de sécurité.

      Ensuite, assignez des propriétaires de groupe.
      Utilisez votre jugement pour cette étape, mais en général il est recommandé de désigner deux administrateurs TI de votre entreprise comme propriétaires du groupe.

      Ajoutez ensuite des membres à ce groupe de sécurité.
      Ce sont les adresses courriel que vous souhaitez approuver pour utilisation avec Prokeep.

      Ces adresses peuvent être :

      • des listes de distribution,

      • des boîtes aux lettres partagées,

      • ou encore des adresses individuelles.

      Ces membres définissent précisément quelles boîtes de réception auront l’autorisation d’être utilisées avec Prokeep.

      Enfin, créez une adresse courriel pour le groupe.
      C’est ce nom que vous utiliserez lorsque vous exécuterez les commandes PowerShell afin d’autoriser l’accès à ce groupe.

      Depuis cet écran, vous pouvez également décider :

      • si vous souhaitez permettre ou non aux courriels externes d’être envoyés à ce groupe,

      • et si vous désirez que l’ajout de nouveaux membres au groupe nécessite une approbation.

      Dans cet exemple, j’ai choisi de permettre l’envoi de courriels externes et de ne pas exiger d’approbation pour l’ajout de nouveaux membres.

      Remarque : Veuillez suivre les protocoles de sécurité de votre organisation si ceux-ci diffèrent des paramètres utilisés dans cet exemple.

      Une fois cette étape complétée, révisez vos paramètres pour vous assurer que vous avez configuré ce groupe correctement, puis cliquez sur Créer le groupe.

      Approuver le groupe de sécurité pour l’utilisation avec Prokeep

      Une fois le groupe de sécurité créé, ajoutez-le en utilisant la même commande PowerShell que celle mentionnée plus haut, mais en indiquant le nom du groupe de sécurité à la place de l’adresse courriel.

      New-ApplicationAccessPolicy -AppId b14ff9c9-0018-4919-9d1f-2cf0f00981d1 -PolicyScopeGroupId [Your security group here] -AccessRight RestrictAccess -Description "[enter your preferred description]"

      Après avoir exécuté la commande ci-dessus avec succès, vous devriez voir l’écran suivant :

      Vérification de l’approbation de la stratégie

      Délais de mise en cache après les modifications de stratégie

      Notez que les modifications apportées aux stratégies d’accès aux applications peuvent prendre un certain temps avant d’entrer en vigueur. En particulier, les changements suivants :

      • l’approbation de nouvelles stratégies d’accès,

      • l’ajout d’un nouveau groupe de sécurité, ou

      • l’ajout de nouvelles boîtes aux lettres à un groupe de sécurité existant,

      peuvent nécessiter jusqu’à 24 heures pour être pleinement appliqués par Microsoft.
      Pendant cette période d’attente, les adresses ou groupes approuvés ne pourront pas encore être configurés dans Prokeep.

      Test de vos stratégies d’accès aux applications

      Une fois votre stratégie d’accès créée, vous pouvez confirmer son bon fonctionnement en la testant directement dans PowerShell. Exécutez la commande suivante :

      Test-ApplicationAccessPolicy.

       Vérification qu’un accès à une boîte aux lettres a bien été accordé

      Exécutez la commande suivante, en indiquant le nom de la boîte de réception que vous souhaitez vérifier a bien été ajoutée:

      Test-ApplicationAccessPolicy -Identity [name of an inbox you have approved] -AppId b14ff9c9-0018-4919-9d1f-2cf0f00981d1

      Vérification de l’approbation de l’accès

      Si l’opération réussit, vous verrez un résultat semblable à l’exemple suivant.
      Si le champ AccessCheckResult indique Granted, alors cette boîte de réception a bien reçu l’autorisation d’accès.

      Vérification que l’accès aux autres boîtes aux lettres a été restreint

      Exécutez la commande suivante, en indiquant le nom de la boîte de réception que vous souhaitez vérifier.

      Test-ApplicationAccessPolicy -Identity [name of an inbox you have not approved] -AppId b14ff9c9-0018-4919-9d1f-2cf0f00981d1

       Vous verrez une sortie similaire à ce qui suit.
      Si le champ « AccessCheckResult » indique « Denied », cela signifie que cette boîte de réception n’a pas reçu l’accès.

      Déconnexion

      Une fois que vous avez accordé l’accès à tous les utilisateurs spécifiques et aux groupes de sécurité nécessaires, vous devez vous déconnecter de votre session.

      Déconnectez la session d’Exchange Online.

      Disconnect-ExchangeOnline

      Tout est terminé – Prokeep ne pourra désormais accéder qu’aux boîtes aux lettres autorisées par les Application Access Policies que vous avez créées.

      Suppression des stratégies d’accès

      En cas de création incorrecte de stratégies d’accès, ou si vous décidez que Prokeep ne doit plus avoir accès à une adresse e-mail donnée, vous devrez suivre les étapes ci-dessous pour supprimer une stratégie d’accès.

      Lister et supprimer des Application Access Policies

      En cas de création incorrecte de stratégies d’accès, il peut être nécessaire de supprimer une stratégie d’accès.

      Exécutez la commande suivante pour obtenir la liste des stratégies d’accès actuelles :

      Get-ApplicationAccessPolicy

      Cela renverra une liste de toutes les stratégies d’accès créées.
      Chacune comportera une Identity (identifiant) consistant en une chaîne très longue qui devra être utilisée si vous souhaitez supprimer une stratégie.

      Pour supprimer une stratégie indésirable, trouvez l’Identity de la stratégie dans cette liste, puis exécutez la commande suivante :

      Remove-ApplicationAccessPolicy -Identity “[input identity here]”

       

      Cette commande supprimera la stratégie d’accès à l’application.
      Remarque importante : les guillemets sont nécessaires pour exécuter correctement l’opération.

      Ces changements peuvent prendre un certain temps avant de prendre effet, mais il est possible de les tester à nouveau en suivant les instructions mentionnées ci-dessus concernant la vérification des accès.

      Notez que si toutes les stratégies d’accès pour l’application Prokeep Graph API sont supprimées sans également révoquer le consentement accordé à l’application, celle-ci retrouvera alors l’accès aux boîtes aux lettres.