Comment créer manuellement une application Promodag personnalisée dans votre tenant Office 365 ?

Promodag Reports v.14 utilise désormais l'authentification par certificat au lieu de l'ancienne méthode d'authentification par utilisateur (voir cet article de blog). Cela nécessite qu'une application avec les autorisations nécessaires soit créée dans Microsoft Entra ID (Azure) et que vous autorisiez cette application à interagir avec votre tenant Office 365.
Pour vous faciliter la tâche, Promodag fournit un script PowerShell pour créer automatiquement cette application Promodag Reports que vous pouvez autoriser à accéder à votre tenant, ainsi que le certificat correspondant. Toutefois, il est possible que la politique de sécurité de votre entreprise exige que vous créiez vous-même une application et un certificat personnalisés.

Étape 1 : Générer et exporter un certificat auto-signé avec PowerShell

La première étape consiste à générer un certificat x.509 auto-signé qui servira d'authentification entre votre application et Promodag Reports.

Ouvrez une session Windows PowerShell élevée (exécutez en tant qu'administrateur) pour créer un certificat auto-signé et l'exporter aux formats .cer et .pfx.
Par exemple, voici comment créer un certificat auto-signé portant le nom "Promodag Reports Application" avec une période de validité de deux ans à partir de maintenant et P@ssw0rd1234 comme mot de passe. Le certificat sera stocké dans le magasin personnel de l'utilisateur actuellement connecté.

$mycert = New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" -NotAfter (Get-Date).AddYears(2) -KeySpec KeyExchange -Subject "Promodag Reports Application"

Une fois qu'il a été créé, exportez ce certificat au format pfx avec le mot de passe P@ssw0Rd1234. Le certificat pfx sera utilisé par Promodag Reports ainsi que le mot de passe.

$mycert | Export-PfxCertificate -FilePath promodagReports.pfx -Password $(ConvertTo-SecureString -String "P@ssw0Rd1234" -AsPlainText -Force)

Exportez ensuite vers un fichier de certificat cer qui sera utilisé par votre application Azure.

$mycert | Export-Certificate -FilePath promodagReports.cer

Étape 2 : Enregistrer une application Promodag Reports personnalisée dans Microsoft Entra ID

1. Ouvrez le portail Azure AD à l'adresse https://portal.azure.com/.
2. Sous Gérer Azure Active Directory, cliquez sur Vue.
3. Dans la vue d'ensemble qui s'ouvre, sous Manage, sélectionnez Inscription d'applications.
4. Sur la page Inscription d'applications qui s'ouvre, cliquez sur + Nouvelle inscription.
5. Sur la page Enregistrer une application qui s'ouvre, configurez les paramètres suivants :

a. Nom : Saisissez un nom descriptif. Par exemple, Promodag Reports Custom.
b. Types de comptes pris en charge : vérifiez que Comptes dans cet annuaire d'organisation uniquement (<nom de l’organisation> uniquement - Locataire unique)est sélectionné.

Lorsque vous avez terminé, cliquez sur S'inscrire.

6. Copiez l'Application ID dans le bloc-notes, car vous aurez besoin de cette information à la fin du mode opératoire.
7. Laissez la page de l'application ouverte. Vous l'utiliserez à l'étape suivante.

Étape 3: Affecter les autorisations appropriées à l’application

Sur la page de l'application, sous Gérer, sélectionnez API autorisées.
Supprimez l'autorisation Microsoft Graph > User.Read

Ajouter l'autorisation Microsoft Graph > User.Read.All

• Cliquez sur + Ajouter une autorisation.
• Dans l'onglet API Microsoft Graph, sélectionnez Microsoft Graph.
• Sélectionnez Autorisations d'application.
• Faites défiler vers le bas jusqu'à User et sélectionnez  User.Read.All.
• Cliquez sur le bouton Ajouter des autorisations.

Ajouter les permissions Office 365 Exchange Online > Exchange.ManageAsApp et full_access_as_app

• Cliquez sur + Ajouter une autorisation.
• Dans l'onglet API utilisées par mon organisation, entrez Office 365 Exchange Online dans le champ de recherche.
• Sélectionnez Office 365 Exchange Online.
• Sélectionnez Autorisations d'application.
• Dans Exchange, sélectionnez Exchange.ManageAsAppl.
• Dans Autres autorisations, sélectionnez full_access_as_app.
• Cliquez sur le bouton Ajouter des autorisations.

Étape 4 : approuver la demande dans le tenant Office 365.

Vérifiez que les valeurs suivantes sont affichées :

• • Microsoft Graph : User.Read.All
  • Office 365 Exchange Online : Exchange.ManageAsApp et full_access_as_app.
• Colonne Statut : La valeur incorrecte actuelle est Non accordé pour <Organisation>, et cette valeur doit être modifiée.
• Sélectionnez Accorder un consentement d’administrateur pour <nom de l’organisation> , lisez la boîte de dialogue de confirmation qui s’ouvre, puis cliquez Oui.

La valeur de la colonne Statut est désormais Accordé à <nom de l’organisation>.

Etape 5 : Importer le certificat créé à la première étape

1. Dans la page de l’application, sous Gérer, sélectionnez Certificats & secrets.
2. Dans la page Certificats & secrets qui s’affiche, ouvrez l’onglet Certificats et cliquez sur Télécharger le certificat.
3. Dans la boîte de dialogue qui s’ouvre, sélectionnez certificat auto-signé (fichier .cer) que vous avez créé à la première étape et cliquez sur Ajouter.

Votre application a été créée.

Etape 6 : 

1. Ouvrez le portail Azure AD à l'adresse https://portal.azure.com/.
2. Sous Gérer Azure Active Directory, cliquez sur Vue.
3. Sur la page d'aperçu qui s'ouvre, sous Gérer, sélectionnez Applications d'entreprise.
4. Décochez Type d'application ==Applications d'entreprise à côté du champ Rechercher par nom d'application.
5. Dans le champ Rechercher par nom d'application, saisissez le nom de votre application Promodag Reports personnalisée.
6. Dans Propriétés, notez l'ID d'application et l'ID d'objet. Ces informations seront utilisées ultérieurement.

Etape 7 : Créer un groupe de rôles d'administration pour Promodag Reports

1. Allez dans le centre d'administration Microsoft 365, centre d'administration Exchange.
2. Développez Rôles sur la gauche et cliquez sur Rôles d'administration.
3. Cliquez sur Ajouter un groupe de rôles.
4. Dans la fenêtre Nouveau groupe de rôles qui s'affiche, saisissez "Groupe de rôles Rapports Promodag" comme nom du groupe de rôles ainsi qu'une description.
5. Cliquez sur Suivant.
6. Dans la fenêtre Ajouter des autorisations, sélectionnez View-Only Recipients et Mail Recipients.
7. Cliquez sur Suivant.
8. L'affectation des groupes de rôles sera effectuée à l'étape suivante. Cliquez donc à nouveau sur Suivant puis sur Ajouter un groupe de rôles pour créer le groupe de rôles.

Etape 8 : Créer une attribution de rôle de gestion

Dans une fenêtre PowerShell, connectez-vous à Exchange Online PowerShell.

Créer un objet principal de service pour l'application Promodag Reports 

$SP = New-ServicePrincipal -AppId <appId de l'étape 6> -ObjectId <Object id de l'étape 6> -DisplayName « SP for Promodag Reports Application » (SP pour l'application Promodag Reports)

Ajouter le principal de service en tant que membre du groupe de rôles personnalisé

Add-RoleGroupMember -Identity « Groupe de rôles Promodag Reports » -Member $SP.Identity

Etape 9 : Appliquer les paramètres de l’application personnalisée à Promodag Reports

Assurez-vous d'avoir récupéré les informations suivantes lors de la première étape :

• ID de la demande,
• chemin d'accès au certificat,
• mot de passe du certificat.

1. Dans Promodag Reports, allez dans Outils > Options, Configuration Office 365.
2. Sélectionnez Authentification par certificat.
3. Saisissez l'ID de l'application, le chemin d'accès au fichier du certificat et le mot de passe du certificat dans les champs correspondants.
4. Cliquez sur le lien Vérifier la validité pour vérifier la date d'expiration du certificat.  
5. Cliquez sur les liens Vérifier la connexion... pour vérifier que Promodag Reports peut se connecter à votre tenant Office 365 à l'aide de l'application Entra ID et du certificat.