Autorisations Entra ID
L'application MyQ Roger Entra ID s'intègre aux services Microsoft 365 (Microsoft Graph et Universal Print) pour permettre aux utilisateurs de bénéficier de fonctionnalités sécurisées d'impression, de gestion de fichiers et de communication. Elle nécessite des autorisations spécifiques pour fonctionner au nom des utilisateurs et, dans certains cas, en tant qu'application (service en arrière-plan) pour effectuer des tâches d'impression et de gestion des périphériques.
Types d'autorisations
Entra ID distingue deux types d'autorisations :
Autorisations déléguées : utilisées lorsqu'un utilisateur connecté interagit avec l'application. L'application agit au nom de cet utilisateur et n'accède qu'aux données auxquelles l'utilisateur peut accéder.
Autorisations d'application : utilisées par les services d'arrière-plan ou les démons sans interaction de l'utilisateur.
Elles nécessitent le consentement de l'administrateur.
Autorisations API accordées
Microsoft Graph (accès aux utilisateurs et aux fichiers)
Autorisation | Type | Description | Consentement de l'administrateur requis | Objectif |
|---|---|---|---|---|
User.Read | Délégué | Se connecter et lire le profil utilisateur | Non | Permet à l'application d'identifier l'utilisateur actuel. |
openid, profil, e-mail | Délégué | Autorisations OpenID Connect standard | Non | Active la connexion sécurisée et les informations d'identité de base (nom, e-mail). |
offline_access | Délégué | Conservez l'accès aux données que vous avez autorisées | Non | Permet l'actualisation en arrière-plan des jetons d'accès sans reconnexion. |
Files.Read.Selected | Délégué | Lire les fichiers que l'utilisateur sélectionne explicitement | Non | Permet à l'application d'ouvrir les fichiers individuels choisis par l'utilisateur. |
Files.ReadWrite | Délégué | Accès complet aux fichiers de l'utilisateur | Non | Permet de lire et de modifier des fichiers dans OneDrive ou SharePoint. |
Files.ReadWrite.AppFolder | Délégué | Accès au stockage spécifique à l'application | Non | Utilisé pour stocker la configuration de l'application ou des fichiers temporaires. |
Files.ReadWrite.All | Délégué | Accès complet à tous les fichiers auxquels l'utilisateur peut accéder | Non | Requis pour une intégration avancée avec le stockage de fichiers utilisateur. |
Sites.ReadWrite.All | Délégué | Modifier ou supprimer des éléments dans toutes les collections de sites | Non | Nécessaire pour travailler avec les bibliothèques de documents SharePoint. |
Mail.ReadWrite | Délégué | Accès en lecture et en écriture à la messagerie utilisateur | Non | Utilisé pour les notifications par e-mail et le suivi des messages des utilisateurs. |
Mail.Send | Délégué | Envoyer des e-mails en tant qu'utilisateur | Non | Permet à l'application d'envoyer des notifications au nom de l'utilisateur. |
Microsoft Graph (impression et gestion des périphériques)
Autorisation | Type | Description | Consentement de l'administrateur requis | Objectif |
|---|---|---|---|---|
Printer.Create | Délégué | Enregistrer les imprimantes | Oui | Permet d'ajouter de nouvelles imprimantes à l'organisation. |
Imprimante.Lire.Tout | Délégué / Application | Lire les informations sur l'imprimante | Oui | Permet à l'application d'afficher la configuration de l'imprimante. |
Printer.ReadWrite.All | Délégué / Application | Lire et mettre à jour les paramètres de l'imprimante | Oui | Permet les modifications et les mises à jour de la configuration. |
Printer.FullControl.All | Délégué | Gestion complète des imprimantes | Oui | Requis pour les opérations administratives avancées. |
PrinterShare.ReadWrite.All | Délégué | Lire et modifier les partages d'imprimantes | Oui | Permet la gestion des imprimantes partagées. |
PrintJob.Read.All, PrintJob.ReadBasic.All | Application | Lire les détails des travaux d'impression | Oui | Nécessaire pour surveiller et signaler l'état des travaux. |
PrintJob.ReadWrite.All, PrintJob.ReadWriteBasic.All | Application | Gérer les travaux d'impression | Oui | Permet de gérer les travaux d'impression dans la file d'impression. |
PrintJob.Manage.All | Application | Opérations avancées sur les travaux d'impression | Oui | Permet de supprimer, de rediriger ou de mettre à jour des travaux d'impression. |
PrintSettings.Read.All | Application | Lire les paramètres d'impression à l'échelle du locataire | Oui | Nécessaire pour lire les politiques d'impression centrales. |
PrintTaskDefinition.ReadWrite.All | Application | Gérer les définitions des tâches d'impression | Oui | Utilisé pour définir et gérer la logique de traitement d'impression. |
Autorisations d'impression universelles
Autorisation | Type | Description | Consentement de l'administrateur requis | Objectif |
|---|---|---|---|---|
Printers.Create | Délégué | Créer (enregistrer) de nouvelles imprimantes | Oui | Permet l'enregistrement d'imprimantes dans Universal Print. |
Imprimantes.Lire | Application | Lire les métadonnées de l'imprimante | Oui | Récupérer les détails de l'imprimante dans le tenant. |
Propriétés de l'imprimante.LireÉcrire | Application | Lire/écrire les propriétés de l'imprimante | Oui | Mettre à jour la configuration de l'imprimante (par exemple, les paramètres par défaut). |
PrintJob.Read | Application | Lire les métadonnées et la charge utile du travail d'impression | Oui | Accéder aux données des travaux pour le suivi ou l'audit. |
PrintJob.ReadWriteBasic | Application | Lire et écrire les métadonnées des travaux | Oui | Gérer l'état des travaux d'impression et les informations de base. |
Consentement et administration
Les autorisations marquées « Oui » sous « Consentement de l'administrateur requis » doivent être approuvées par un administrateur global ou un administrateur de rôle privilégié.
Une fois le consentement obtenu, tous les utilisateurs du locataire peuvent utiliser l'application sans autre invite.
Le consentement est accordé pour l'organisation : Exemple Organisation Ltd. indique que le consentement a été accordé pour cet éditeur par votre organisation.
Accorder ou réappliquer rapidement les consentements pour les administrateurs – links.myq.cloud
Les administrateurs de l'organisation Microsoft peuvent accorder ou réappliquer les autorisations de consentement requises pour l'application MyQ Roger à l'aide d'une page d'accès rapide temporaire à l'adresse links.myq.cloud. Elle explique comment récupérer le locataire Entra ID, choisir le lien de consentement approprié (portées Basic, Universal Print ou MDM) et approuver les autorisations pour une intégration réussie.
Remarques relatives à la sécurité
L'application adhère au modèle d'autorisation de l'API Microsoft Graph et ne demande que les champs d'application nécessaires aux fonctionnalités de base (impression, accès aux fichiers, notifications par e-mail).
Les administrateurs peuvent consulter les autorisations accordées à tout moment sous Azure Portal > Microsoft Entra ID > Applications d'entreprise > MyQ Roger > Autorisations.