Comment scoper dynamiquement les permissions Calendar.ReadWrite sur des salles de réunion spécifiques?

Question

Bonjour,

Dans mon entreprise, j'utilise une application tierce, appelons là FRODON1, qui nécessite d'interagir avec Microsoft Exchange Online pour trois localisations spécifiques : ABC , BOT & CAT. Les fonctionnalités attendues incluent :

1. Un accès en temps réel aux calendriers des salles de réunion pour ces deux sites.
2. La possibilité d'effectuer des réservations directement via l'application de FRODON1.

Pour répondre à des exigences strictes de cybersécurité, les permissions doivent être limitées exclusivement aux salles de réunion des sites ABC, BOT & CAT. Cela inclut également le besoin d’attribuer automatiquement ces droits lorsqu’une nouvelle salle est créée dans l'une de ces localisations.

Problèmes rencontrés avec les solutions existantes :
Nous avons exploré différentes approches pour répondre à cette exigence, mais avons rencontré des limites :

1. Dynamic groups dans Entra ID (Azure AD) :
   • Entra ID permet de créer des groupes de sécurité dynamiques basés sur des règles (par exemple, Location ou RoomList).
   • Cependant, ces groupes dynamiques ne peuvent pas être activés comme mail-enabled, ce qui les rend incompatibles avec l’attribution des permissions Calendar.ReadWrite dans Exchange Online.
2. Dynamic distribution lists dans Exchange Online :
   • Bien que des listes de distribution dynamiques puissent être créées dans Exchange Online, celles-ci ne sont pas des groupes de sécurité.
   • Par conséquent, elles ne peuvent pas être utilisées pour scoper les permissions Calendar.ReadWrite.
3. Absence de solution native pour des groupes dynamiques à la fois mail-enabled et utilisables comme groupes de sécurité :
   • Cette limitation empêche l’application de règles dynamiques pour les permissions Calendar.ReadWrite, qui doivent être assignées à un groupe mail-enabled security group.

Nous cherchons une solution permettant de :

1. Gérer dynamiquement les permissions Calendar.ReadWrite pour les salles de réunion des localisations ABC , BOT & CAT, sans intervention manuelle lors de la création de nouvelles salles de réunion.
2. Respecter les contraintes de sécurité en limitant les permissions uniquement aux salles de réunion de ces trois sites.

Mes questions :

• Existe-t-il une méthode native ou recommandée pour contourner cette limitation ?
• Est-il envisageable d’automatiser la mise à jour d’un mail-enabled security group à partir d’un groupe dynamique Entra ID ou d’un autre mécanisme ?
• Microsoft Graph API peut-elle fournir une solution alternative pour scoper précisément les permissions sur des ressources spécifiques ?
• Voyez-vous une autre solution pour répondre à ce besoin?

Merci de votre lecture et de votre aide.

Answer 1

Hello Pierrick_369,

Thank you for posting in Microsoft Community forum.

From the description above, I understand your question is related to Microsoft Entra ID and Microsoft Exchange Online.

Since there are no engineers dedicated to Microsoft Entra ID and Microsoft Exchange Online in this forum. in order to be able to get a quick and effective handling of your issue, I recommend that you repost your question in the Q&A forum, where there will be a dedicated engineer to give you a professional and effective reply.

Here is the link for Q&A forum.
Questions - Microsoft Q&A

Click the "Ask a Question" button in the upper right corner to post your question and type "Microsoft Entra ID" tag and "Microsoft Exchange Online" tag and select any tags related to your productions.

I hope the information above is helpful.

If you have any question or concern, please feel free to let us know.

Best Regards,
Daisy Zhou

Answer 2

Hello,

Thank you for the prompt reply. I'll proceed that way.

Best regards,
Pierrick