L'application MyQ Roger Entra ID s'intègre aux services Microsoft 365 (Microsoft Graph et Universal Print) afin de permettre aux utilisateurs de bénéficier de fonctionnalités sécurisées d'impression, de gestion de fichiers et de communication. Elle nécessite des autorisations spécifiques pour fonctionner au nom des utilisateurs et, dans certains cas, en tant qu'application (service d'arrière-plan) pour effectuer des tâches d'impression et de gestion des périphériques.
Types d'autorisations
Entra ID distingue deux types d'autorisations :
-
Autorisations déléguées – utilisées lorsqu'un utilisateur connecté interagit avec l'application. L'application agit au nom de cet utilisateur et n'accède qu'aux données auxquelles l'utilisateur a accès.
-
Autorisations d'application : utilisées par les services d'arrière-plan ou les démons sans interaction de l'utilisateur.
Elles nécessitent le consentement de l'administrateur.
Autorisations API accordées
Microsoft Graph (accès aux utilisateurs et aux fichiers)
|
Autorisation |
Type |
Description |
Consentement de l'administrateur requis |
Objectif |
|---|---|---|---|---|
|
User.Read |
Délégué |
Se connecter et lire le profil de l'utilisateur |
Non |
Permet à l'application d'identifier l'utilisateur actuel. |
|
openid, profil, e-mail |
Délégué |
Autorisations OpenID Connect standard |
Non |
Active la connexion sécurisée et les informations d'identité de base (nom, e-mail). |
|
offline_access |
Délégué |
Conserver l'accès aux données que vous avez autorisées |
Non |
Permet l'actualisation en arrière-plan des jetons d'accès sans nouvelle connexion. |
|
Files.Read.Selected |
Délégué |
Lire les fichiers que l'utilisateur sélectionne explicitement |
Non |
Permet à l'application d'ouvrir des fichiers individuels choisis par l'utilisateur. |
|
Files.ReadWrite |
Délégué |
Accès complet aux fichiers de l'utilisateur |
Non |
Permet de lire et de modifier des fichiers dans OneDrive ou SharePoint. |
|
Files.ReadWrite.AppFolder |
Délégué |
Accès au stockage spécifique à l'application |
Non |
Utilisé pour stocker la configuration de l'application ou des fichiers temporaires. |
|
Files.ReadWrite.All |
Délégué |
Accès complet à tous les fichiers auxquels l'utilisateur a accès |
Non |
Requis pour une intégration avancée avec le stockage de fichiers de l'utilisateur. |
|
Sites.ReadWrite.All |
Délégué |
Modifier ou supprimer des éléments dans toutes les collections de sites |
Non |
Nécessaire pour travailler avec les bibliothèques de documents SharePoint. |
|
Mail.ReadWrite |
Délégué |
Accès en lecture et en écriture à la messagerie de l'utilisateur |
Non |
Utilisé pour les notifications par e-mail et le suivi des messages de l'utilisateur. |
|
Mail.Send |
Délégué |
Envoyer un e-mail en tant qu'utilisateur |
Non |
Permet à l'application d'envoyer des notifications au nom de l'utilisateur. |
Microsoft Graph (Impression et gestion des périphériques)
|
Autorisation |
Type |
Description |
Consentement de l'administrateur requis |
Objectif |
|---|---|---|---|---|
|
Printer.Create |
Délégué |
Enregistrer les imprimantes |
Oui |
Permet d'ajouter de nouvelles imprimantes à l'organisation. |
|
Printer.Read.All |
Délégué / Application |
Lire les informations sur l'imprimante |
Oui |
Permet à l'application d'afficher la configuration de l'imprimante. |
|
Printer.ReadWrite.All |
Délégué / Application |
Lire et mettre à jour les paramètres de l'imprimante |
Oui |
Permet de modifier et de mettre à jour la configuration. |
|
Printer.FullControl.All |
Délégué |
Gestion complète des imprimantes |
Oui |
Requis pour les opérations administratives avancées. |
|
PrinterShare.ReadWrite.All |
Délégué |
Lire et modifier les partages d'imprimantes |
Oui |
Permet la gestion des imprimantes partagées. |
|
PrintJob.Read.All, PrintJob.ReadBasic.All |
Application |
Lire les détails des travaux d'impression |
Oui |
Nécessaire pour surveiller et signaler l'état des travaux. |
|
PrintJob.ReadWrite.All, PrintJob.ReadWriteBasic.All |
Application |
Gérer les travaux d'impression |
Oui |
Permet de gérer les travaux d'impression dans la file d'impression. |
|
PrintJob.Manage.All |
Application |
Opérations avancées sur les travaux d'impression |
Oui |
Permet de supprimer, de rediriger ou de mettre à jour des travaux d'impression. |
|
PrintSettings.Read.All |
Application |
Lire les paramètres d'impression à l'échelle du tenant |
Oui |
Nécessaire pour lire les stratégies d'impression centrales. |
|
PrintTaskDefinition.ReadWrite.All |
Application |
Gérer les définitions des tâches d'impression |
Oui |
Utilisé pour définir et gérer la logique de traitement d'impression. |
Autorisations d'impression universelles
|
Autorisation |
Type |
Description |
Consentement de l'administrateur requis |
Objectif |
|---|---|---|---|---|
|
Printers.Create |
Délégué |
Créer (enregistrer) de nouvelles imprimantes |
Oui |
Permet l'enregistrement d'imprimantes dans Universal Print. |
|
Printers.Read |
Application |
Lire les métadonnées de l'imprimante |
Oui |
Récupère les détails de l'imprimante pour l'ensemble du locataire. |
|
PrinterProperties.ReadWrite |
Application |
Lire/écrire les propriétés de l'imprimante |
Oui |
Mettre à jour la configuration de l'imprimante (par exemple, les paramètres par défaut). |
|
PrintJob.Read |
Application |
Lire les métadonnées et la charge utile du travail d'impression |
Oui |
Accéder aux données des travaux à des fins de suivi ou d'audit. |
|
PrintJob.ReadWriteBasic |
Application |
Lire et écrire les métadonnées des travaux |
Oui |
Gérer l'état et les informations de base des travaux d'impression. |
Consentement et administration
-
Les autorisations marquées « Oui » sous « Consentement administratif requis » doivent être approuvées par un administrateur global ou un administrateur de rôle privilégié.
-
Une fois le consentement donné, tous les utilisateurs du tenant peuvent utiliser l'application sans autre demande.
-
Le consentement est accordé pour l'organisation : « Example Organization Ltd. » indique que le consentement a été accordé pour cet éditeur par votre organisation.
Accorder ou réappliquer rapidement des consentements pour les administrateurs – links.myq.cloud
Les administrateurs de l'organisation Microsoft peuvent accorder ou réappliquer les autorisations de consentement requises pour l'application MyQ Roger à l'aide d'une page d'accès rapide temporaire sur links.myq.cloud. Elle explique comment récupérer le tenant Entra ID, choisir le lien de consentement approprié (portées Basic, Universal Print ou MDM) et approuver les autorisations pour une intégration réussie.
Remarques de sécurité
-
L'application respecte le modèle d'autorisation de l'API Microsoft Graph et ne demande que les portées nécessaires aux fonctionnalités de base (impression, accès aux fichiers, notifications par e-mail).
-
Les administrateurs peuvent consulter les autorisations accordées à tout moment dans le portail Azure > Microsoft Entra ID > Applications d'entreprise > MyQ Roger > Autorisations.