# Accorder le consentement administrateur à l’échelle du locataire

{% hint style="warning" %}
Vous devez effectuer le consentement administrateur **avant** d’utiliser KONNEKT avec des utilisateurs standards.
{% endhint %}

## Contexte

KONNEKT est une application qui interagit avec plusieurs API Microsoft 365. Elle a donc besoin d’une autorisation pour le faire dans chaque tenant Microsoft365 auquel KONNEKT souhaite se connecter. Un niveau (mais pas le seul) de cette autorisation est le consentement aux applications d’entreprise dans Microsoft Entra ID (Azure AD). C’est un avantage majeur par rapport aux approches héritées telles que les contrôles d’accès réseau ou par proxy pour les types de clients, car cela fonctionne partout et permet des autorisations très granulaires.

Le consentement administrateur pour KONNEKT est uniquement pour « l’accès délégué » (veuillez consulter [la documentation Microsoft](https://learn.microsoft.com/en-us/azure/active-directory/develop/permissions-consent-overview#access-scenarios) pour plus de détails sur les autorisations et le consentement). Cela signifie essentiellement que les utilisateurs de ce tenant sont autorisés à utiliser cette application pour accéder aux services/API M365 demandés. Cela ne **non** permet pas à l’application d’accéder sans l’utilisateur.

### Jeu d’autorisations : avant la version 2.10

KONNEKT demande le consentement pour les autorisations suivantes :

<table><thead><tr><th width="146.5">Nom de l’API</th><th>Valeur de revendication</th><th>Autorisation</th></tr></thead><tbody><tr><td>Microsoft Graph</td><td>User.Read</td><td>Se connecter et lire le profil utilisateur</td></tr><tr><td>Office 365 SharePoint Online</td><td>AllSites.Write</td><td>Lire et écrire des éléments dans toutes les collections de sites</td></tr><tr><td>Office 365 SharePoint Online</td><td>MyFiles.Write</td><td>Lire et écrire des fichiers utilisateur</td></tr><tr><td>Windows Azure Active Directory</td><td>Directory.AccessAsUser.All</td><td>Accéder au répertoire en tant qu’utilisateur connecté</td></tr><tr><td>Windows Azure Active Directory</td><td>User.Read</td><td>Se connecter et lire le profil utilisateur</td></tr></tbody></table>

### Jeu d’autorisations : à partir de la version 2.10

{% hint style="warning" %}
Fonctionne exclusivement lorsque le paramètre «[**EnhancedOAuth**](https://docs.konnekt.io/fr/configuration/system-settings/authentification-amelioree)» est activé !
{% endhint %}

<table><thead><tr><th width="146.5">Nom de l’API</th><th>Valeur de revendication</th><th>Autorisation</th></tr></thead><tbody><tr><td>Microsoft Graph</td><td>Files.ReadWrite.All</td><td>Avoir un accès complet à tous les fichiers auxquels l’utilisateur peut accéder</td></tr><tr><td>Microsoft Graph</td><td>Sites.Read.All</td><td>Lire des éléments dans toutes les collections de sites</td></tr><tr><td>Microsoft Graph</td><td>User.Read</td><td>Se connecter et lire le profil utilisateur</td></tr><tr><td>Office 365 SharePoint Online</td><td>AllSites.Read</td><td>Lire des éléments dans toutes les collections de sites</td></tr></tbody></table>

[Étant donné que certaines autorisations doivent être consenties par un administrateur](https://learn.microsoft.com/en-us/graph/permissions-reference), vous devez effectuer le consentement administrateur avant d’utiliser KONNEKT avec des utilisateurs standards.

Vous pouvez en savoir plus sur [la gestion du consentement aux applications et l’évaluation des demandes de consentement dans la documentation Microsoft](https://learn.microsoft.com/en-us/azure/active-directory/manage-apps/manage-consent-requests).

## Ajouter les autorisations KONNEKT dans les applications d’entreprise Microsoft Entra ID (Azure AD)

En tant qu’administrateur (ou disposant d’un rôle permettant d’accorder le consentement administrateur), vous pouvez accorder un consentement administrateur à l’échelle du tenant pour **KONNEKT** en utilisant l’« URL magique » suivante :

URL d’enregistrement de l’application jusqu’à la version KONNEKT **2.9.1** et antérieures :

```
https://login.microsoftonline.com/{tenant-id}/adminconsent?client_id=fbaaaa6a-1ad0-4ac5-9c4c-4ce9353dc6cf
```

URL d’enregistrement de l’application à partir de la version KONNEKT **2.10** et ultérieures :

```
https://login.microsoftonline.com/{tenant-id}/adminconsent?client_id=11fa31bb-2024-4f49-8b38-f458d596a81a
```

Par conséquent, vous avez besoin de votre`tenant-id`que vous obtenez depuis **Azure Portal** sous **Azure Active Directory :**

![](https://2546298980-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8zLVuKYctMIUr68_fs%2F-MgeI7TFEvI7G1nd-ddR%2F-MgeIa7clVi4Eo5cpnv3%2F2021-08-09%2011_36_25-Contoso%20-%20Microsoft%20Azure%20-%20TestTenant%20-%20Microsoft%E2%80%8B%20Edge.png?alt=media\&token=bb25d104-856c-4999-b41a-ac4fe21fb3cd)

{% hint style="info" %}
N’oubliez pas de supprimer le `{}` du lien
{% endhint %}

**Ensuite :**

1. Ouvrez le lien.
2. Connectez-vous avec votre compte administrateur (ou un compte disposant d’un rôle autorisant l’octroi du consentement administrateur).
3. Acceptez la demande d’autorisations de KONNEKT.
4. Terminé !

{% hint style="info" %}
Si vous obtenez **Page Not Found** après avoir accepté le consentement, veuillez l’ignorer. Cela n’a ici aucune signification.
{% endhint %}

Pour vérifier **KONNEKT** les autorisations, vous pouvez les trouver dans votre **Azure Active Directory** sous **applications d’entreprise** -> **Autorisations**

<figure><img src="https://2546298980-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-M8zLVuKYctMIUr68_fs%2Fuploads%2FQPamOGZ7XSPmAeu5c927%2Fimage.png?alt=media&#x26;token=7cb7f3fc-47b2-48ca-9af7-3db360d0123f" alt=""><figcaption></figcaption></figure>

Pour plus d’informations sur le consentement administrateur, consultez [MS.Docs](https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/grant-admin-consent)

## Supprimer les autorisations KONNEKT des applications d’entreprise Microsoft Entra ID (Azure AD)

Si vous souhaitez supprimer le consentement administrateur pour KONNEKT, veuillez suivre les étapes suivantes :

1. Connectez-vous au **Azure portal** avec un rôle permettant de supprimer le consentement administrateur.
2. Sélectionnez **Azure Active Directory** puis **applications d’entreprise.**
3. Recherchez **Konnekt** et cliquez dessus.
4. Sélectionnez **propriétés.**
5. **Supprimer**, et confirmez la suppression.

<figure><img src="https://2546298980-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-M8zLVuKYctMIUr68_fs%2Fuploads%2Fvb33U8LFQnFBqSFESBOG%2Fimage.png?alt=media&#x26;token=37a4f835-811d-4b58-8c45-8f24f514da7b" alt=""><figcaption></figcaption></figure>