Pour autoriser la synchronisation avec Microsoft 365, vous devez disposer d’un compte Azure doté de l’un des rôles suivants :
Administrateur général (Global Administrator)
Administrateur des rôles privilégiés (Privileged Role Administrator)
Administrateur des applications cloud (Cloud Application Administrator)
Administrateur des applications (Application Administrator)
Chacun de ces rôles peut être utilisé pour l’authentification par autorisations déléguées, mais seul le rôle d’Administrateur général permet l’authentification par autorisations d’application.
L’authentification par autorisations d’application nécessite un compte capable d’accorder une autorisation d’administration à l’échelle du locataire (tenant) pour une application d’entreprise Azure AD. Combinée aux autorisations de l’API Microsoft Graph requises par la synchronisation, cette option exige donc un compte ayant le rôle d’Administrateur général.
L’authentification par autorisations déléguées fonctionne tant que le jeton détenu pour l’utilisateur délégué reste valide. Ce jeton devient invalide si l’utilisateur est supprimé, change de mot de passe, active l’authentification multifacteur (MFA), ou tout simplement après un certain délai.
Cela signifie que vous devrez peut-être ré-authentifier régulièrement l’intégration de la synchronisation.
C’est pourquoi nous recommandons l’usage de l’authentification par autorisations d’application, notamment si vous prévoyez d’utiliser la synchronisation automatique ou d’effectuer fréquemment une synchronisation manuelle.
Cependant, nous comprenons que l’utilisation d’un compte Administrateur général n’est pas toujours possible ni justifiable, c’est pourquoi l’option autorisations déléguées reste disponible.