Publier un complément qui nécessite le consentement de l’administrateur pour les étendues Microsoft Graph

Dans cet article, vous allez apprendre à publier des mises à jour sur un complément Office pour utiliser des étendues Microsoft Graph et exiger le consentement de l’administrateur. Il s’agit d’un scénario courant si vous avez déplacé votre complément Outlook des jetons Exchange Online hérités vers l’utilisation de la bibliothèque d’authentification Microsoft (MSAL) avec l’authentification d’application imbriquée (NAA) et des jetons d’ID Entra avec les API Microsoft Graph.

Pour publier des mises à jour, trois éléments doivent être considérés.

1. Comment déployer les modifications apportées dans le code du complément sur votre serveur web.
2. Comment obtenir le consentement de l’administrateur pour les étendues Microsoft Graph.
3. Comment déployer des mises à jour dans votre manifeste.

Déployer des mises à jour dans le code de votre complément

Une fois que vous avez mis à jour et testé le code de votre complément, vous devez le déployer sur votre serveur web. Suivez votre propre processus de mise à jour (par exemple, préproduction et production). Une fois déployé, tous les utilisateurs de votre complément verront les modifications et commenceront à utiliser le code de complément mis à jour. Il n’est pas nécessaire que les administrateurs ou les utilisateurs prennent des mesures pour voir les mises à jour.

Toutes les étendues Microsoft Graph utilisées par votre complément nécessitent le consentement de l’utilisateur ou de l’administrateur d’un locataire. Si l’administrateur ne donne pas son consentement, l’utilisateur est invité à donner son consentement lorsque votre complément demande un jeton d’accès via MSAL. Pour une expérience utilisateur optimale, évitez d’inviter les utilisateurs à donner leur consentement. Demandez plutôt à votre administrateur de donner son consentement pour l’ensemble du locataire.

Il existe deux façons d’obtenir le consentement de l’administrateur : utiliser un URI de consentement administrateur ou utiliser le manifeste unifié.

Obtenir le consentement de l’administrateur via l’URI de consentement de l’administrateur

Vous pouvez obtenir le consentement de l’administrateur en fournissant un URI de consentement administrateur. Il fournit un lien qu’un administrateur peut sélectionner. Une boîte de dialogue les invite à se connecter avec des informations d’identification d’administrateur et à donner leur consentement aux étendues Microsoft Graph requises par votre complément.

Pour construire l’URI d’administrateur, utilisez le modèle suivant.

https://login.microsoftonline.com/organizations/v2.0/adminconsent?client_id={client_id}&scope={scopes}&redirect_uri={redirect_uri}

où :

• client_id: ID de l’inscription de votre application.
• scope: chaque étendue (par exemple, les étendues Microsoft Graph) nécessite le consentement de l’administrateur en utilisant l’espace comme délimiteur. Étant donné que la bibliothèque d’authentification Microsoft (MSAL) demande toujours un ID et un jeton d’actualisation, vous devez toujours inclure les openidétendues , profileet offline_access . Celles-ci sont demandées par défaut par MSAL même si votre complément ne les demande pas.
• redirect_uri: page de redirection pour le moment où le consentement est terminé. Le Plateforme d'identités Microsoft redirige vers cette page après le consentement d’un administrateur. La page de redirection reçoit un message JSON de réussite ou d’échec, comme spécifié dans Administration consentement sur le Plateforme d'identités Microsoft. Sur la page, vous pouvez indiquer le consentement status à l’administrateur, ainsi que fournir plus d’informations ou les étapes suivantes sur votre complément.

Importante

La page de redirection doit être ajoutée à la liste des redirections d’application monopage (SPA) dans votre inscription d’application avec la brk-multihub redirection, sinon l’URI de consentement administrateur échoue.

L’exemple d’URI d’administrateur suivant montre comment spécifier les openidétendues , profileoffline_access, user.read et files.read et comment rediriger vers une page sur votre serveur web nommée consentRedirect.html.

https://login.microsoftonline.com/organizations/v2.0/adminconsent?client_id=63e62b68-c5c7-48f9-82bf-8c41d5637b49&scope=offline_access openid profile user.read files.read&redirect_uri=https://localhost:3000/consentRedirect.html

Remarque

Si l’identificateur de ressource est omis dans le paramètre d’étendue, la ressource est supposée être Microsoft Graph. Dans l’exemple,User.Readéquivaut àhttps://graph.microsoft.com/User.Read.

Obtenir le consentement de l’administrateur via le manifeste unifié

Vous pouvez également obtenir le consentement de l’administrateur en tant que partie automatique du flux de travail de déploiement lorsque votre complément est déployé. Pour ce faire, ajoutez la webApplicationInfo propriété à votre manifeste unifié. Ensuite, l’administrateur déploie le manifeste mis à jour, soit via un déploiement central, soit à partir d’une mise à jour via Microsoft AppSource. Lorsque l’administrateur déploie le manifeste mis à jour, il est automatiquement invité à donner son consentement pour les étendues requises par le complément. S’ils ne donnent pas leur consentement, le complément mis à jour ne sera pas déployé.

Ajouter des étendues Graph à l’inscription d’application

Lorsque l’administrateur déploie le manifeste mis à jour de votre complément, le processus de consentement lit l’inscription de votre application pour quelles étendues exiger le consentement de l’administrateur. Veillez à ajouter toutes les autorisations dont votre complément a besoin en procédant comme suit.

1. Connectez-vous au portail Azure et ouvrez l’inscription de votre application.

2. Dans le volet gauche, sélectionnez Autorisations d’API.

   

   Le volet Autorisations de l’API s’ouvre.

3. Sélectionnez Ajouter une autorisation.

   

   Le volet Demander des autorisations d’API s’ouvre.

4. Sélectionnez Microsoft Graph.

   

5. Sélectionnez Autorisations déléguées.

   

6. Dans la zone de recherche Sélectionner des autorisations , recherchez les autorisations dont votre complément a besoin. Par exemple, pour un complément Outlook, vous pouvez utiliser profile, openid, Files.ReadWriteet Mail.Read.

7. Cochez la case pour chaque autorisation telle qu’elle apparaît. Notez que les autorisations ne restent pas visibles dans la liste lorsque vous sélectionnez chacune d’elles. Après avoir sélectionné les autorisations dont votre complément a besoin, sélectionnez Ajouter des autorisations.

   

Ajouter la propriété webApplicationInfo

Pour obtenir le consentement de l’administrateur dans le cadre du workflow de déploiement, ajoutez la webApplicationInfo propriété à votre manifeste unifié. Définissez la propriété sur id votre ID d’inscription d’application. Définissez la resource propriété sur la valeur de votre domaine. L’exemple suivant montre la webApplicationInfo propriété d’une inscription d’application pour contoso.com.

    "webApplicationInfo": {
        "id": "a92ace55-9daf-47bc-84e9-065e9a6e70e3",
        "resource": "https://contoso.com"
    },

Déployer le manifeste mis à jour

Si vous avez déployé votre complément via Microsoft AppSource, vous devez envoyer votre manifeste unifié mis à jour pour approbation. Pour plus d’informations, consultez FAQ sur la soumission microsoft AppSource.

Si vous avez déployé votre complément en fournissant le manifeste aux administrateurs pour un déploiement central, vous devez fournir aux administrateurs un package d’application mis à jour contenant le manifeste mis à jour.

Contenu connexe

• FAQ sur la soumission dans Microsoft AppSource
• Administration consentement sur le Plateforme d'identités Microsoft
• Demande d’autorisations par le biais du consentement
• webApplicationInfo, propriété
• FAQ sur l’authentification des applications imbriquées et la dépréciation des jetons hérités Outlook