Partager via

Configurer l’accès aux applications uniquement pour Microsoft Purview eDiscovery

  • Article

Les API Microsoft Purview pour eDiscovery dans Microsoft Graph permettent aux organisations d’automatiser les tâches répétitives et de s’intégrer à leurs outils eDiscovery existants pour créer des flux de travail reproductibles requis par les réglementations du secteur.

Pour mieux garantir un accès sécurisé et efficace aux ressources, vous pouvez implémenter l’accès aux applications uniquement à l’aide de Microsoft API Graph. Cet article vous explique comment configurer l’accès aux applications uniquement pour Microsoft Purview eDiscovery pour vous assurer que vos applications sont conformes et sécurisées.

Pourquoi l’accès à l’application uniquement ?

Amélioration de la sécurité et de la conformité

L’accès aux applications uniquement améliore le paysage de sécurité des Microsoft Purview eDiscovery en implémentant des protocoles d’authentification robustes que les informations d’identification standard de l’utilisateur ne peuvent pas correspondre. En utilisant des ID d’application (client) et des certificats pour l’authentification, vous réduisez le risque de vol d’informations d’identification, qui est une vulnérabilité courante dans les méthodes d’authentification standard. Cette approche permet non seulement de sécuriser l’application contre les accès non autorisés, mais également de mieux garantir que l’intégrité des données est conservée pendant le processus eDiscovery.

Simplification de l’accès et de l’intégration

L’accès aux applications uniquement simplifie l’intégration des services eDiscovery avec d’autres applications et systèmes. Il facilite les interactions automatisées basées sur des scripts qui sont essentielles pour les enquêtes juridiques à grande échelle et les audits de conformité. En autorisant un accès sécurisé et basé sur des jetons aux ressources eDiscovery, les organisations peuvent automatiser les workflows, réduire les erreurs manuelles et garantir l’application cohérente des stratégies de conformité dans tous les environnements numériques.

Implémenter l’accès aux applications uniquement

L’implémentation de l’accès d’application uniquement implique l’inscription de l’application dans Portail Azure, la création de certificats/secrets client, l’attribution d’autorisations d’API, la configuration d’un principal de service, puis l’utilisation d’un accès d’application uniquement pour appeler les API Microsoft Graph. Les étapes suivantes expliquent comment implémenter l’accès aux applications uniquement.

Étape 1 : Inscrire une nouvelle application dans Azure

  1. Accédez à la Portail Azure et connectez-vous avec votre compte Microsoft.

  2. Dans le volet gauche du Portail Azure, sélectionnez Microsoft Entra ID.

  3. Dans le volet gauche, développez inscriptions d'applications, puis sélectionnez Nouvelle inscription.

  4. Fournissez un nom explicite pour votre application et sélectionnez S’inscrire pour créer votre nouvelle inscription d’application. Ce processus génère des détails essentiels tels que l’ID d’application (client) et l’ID d’annuaire (locataire), qui sont importants pour les étapes suivantes.

Vous pouvez maintenant voir l’inscription de l’application nouvellement créée et les détails.

Capture d’écran de la page d’inscription de l’application.

Étape 2 : Créer des secrets client ou des certificats

Maintenant que votre application est inscrite, dans le volet gauche du Portail Azure, développez Gérer, puis sélectionnez Certificats & secrets. Ici, vous pouvez créer une clé secrète client ou charger un certificat, en fonction de vos besoins d’authentification :

Pour une clé secrète client, sélectionnez Nouvelle clé secrète client, ajoutez une description, puis sélectionnez Ajouter pour l’enregistrer. Veillez à copier et stocker en toute sécurité la valeur du secret pour l’authentification ultérieurement. Sinon, vous devrez peut-être créer un nouveau secret.

Vous pouvez éventuellement charger un certificat à utiliser avec l’ID d’application à des fins d’automatisation.

Capture d’écran de la page de clé secrète client d’inscription d’application.

Étape 3 : Attribuer des autorisations d’API

Vous devez définir les autorisations d’API appropriées pour votre application. Développez Gérer et sélectionnez Autorisations d’API, puis ajoutez eDiscovery.Read.All et eDiscovery.ReadWrite.All. Ces autorisations permettent à votre application de lire et d’écrire des données eDiscovery, respectivement. L’administrateur client doit donner son consentement à ces autorisations d’application pour pouvoir les utiliser.

Capture d’écran de la page des autorisations de l’API d’inscription d’application.

Étape 4 : Configurer un principal de service

  1. Dans le volet gauche du Portail Azure, dans Microsoft Entra ID, sélectionnez Applications d’entreprise et recherchez votre application par nom pour obtenir l’ID d’objet de votre application.

Capture d’écran de la page applications d’entreprise.

  1. Ouvrez une nouvelle session PowerShell. Installez et importez le module ExchangeOnlineManagement à l’aide des applets de commande suivantes. L’applet Install-Module de commande recommande de mettre à niveau le package si le module est déjà installé.

    Install-Module ExchangeOnlineManagement
Import-Module ExchangeOnlineManagement
Connect-IPPSSession

  2. Utilisez l’applet de commande New-ServicePrincipal pour créer un principal de service avec les détails de votre application et le vérifier à l’aide de l’applet de commande Get-ServicePrincipal .

    Exécutez les applets de commande suivantes, en remplaçant les arguments AppId, ObjectId et DisplayName dans la première applet de commande.

    New-ServicePrincipal -AppId "0969a7fc-3e17-424f-92a4-54e583b2142a" -ObjectId "a8c1aaec-d18a-47fa-aec5-8651d755223c" -DisplayName "Graph App Auth"
Get-ServicePrincipal

  3. Ajoutez l’ID d’objet du principal de service au rôle eDiscoveryManager à l’aide de l’applet de commande Add-RoleGroupMember et vérifiez à l’aide de l’applet de commande Get-RoleGroupMember .

    Exécutez les applets de commande suivantes, en remplaçant l’argument Member dans la première applet de commande.

    Add-RoleGroupMember -Identity "eDiscoveryManager" -Member "a8c1aaec-d18a-47fa-aec5-8651d755223c"
Get-RoleGroupMember -Identity "eDiscoveryManager"

  4. Ajoutez l’ID d’objet du principal du service au rôle eDiscoveryAdministrator à l’aide de l’applet de commande Add-eDiscoveryCaseAdmin et vérifiez à l’aide de l’applet de commande Get-eDiscoveryCaseAdmin .

    Exécutez les applets de commande suivantes, en remplaçant l’argument Utilisateur dans la première applet de commande.

    Add-eDiscoveryCaseAdmin -User "a8c1aaec-d18a-47fa-aec5-8651d755223c"
Get-eDiscoveryCaseAdmin

Capture d’écran de l’interpréteur de commandes exchange online.

Étape 5 : Se connecter à Microsoft API Graph à l’aide de l’accès aux applications uniquement

Utilisez l’applet de commande Connect-MgGraph pour vous authentifier et vous connecter à Microsoft Graph à l’aide de la méthode d’accès d’application uniquement dans PowerShell. Cette configuration permet à votre application d’interagir avec Microsoft Graph en toute sécurité.

Étape 6 : Appeler des demandes de API Graph Microsoft

Une fois connecté, vous pouvez commencer à passer des appels au API Graph Microsoft à l’aide de l’applet de commande Invoke-MgGraphRequest. Cette applet de commande vous permet d’effectuer diverses opérations requises par les services eDiscovery dans votre organization.

Contenu connexe

Explorez les tutoriels Microsoft Graph pour créer des applications de base qui accèdent aux données dans des scénarios d’application uniquement. Pour plus d’informations sur l’authentification d’application uniquement, consultez Obtenir l’accès sans utilisateur.

Pour tester les API sur Postman, consultez Utiliser Postman avec microsoft API Graph.