> For the complete documentation index, see [llms.txt](https://docs.devolutions.net/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.devolutions.net/server/fr/knowledge-base/how-to-articles/configure-microsoft-authentication-with-entra-id.md).
# Configurer l'authentification Microsoft avec Entra ID
Configurez Microsoft Entra ID et Devolutions Server correctement pour utiliser l'authentification Microsoft en suivant les instructions ci-dessous.
Devolutions Server prend en charge deux modes d'authentification pour la connexion Microsoft : **Autorisations d'application** (valeur par défaut recommandée) et **Autorisations déléguées** (pour les locataires où les autorisations d'application sont bloquées par une politique).
| Fonctionnalité | Application | Déléguée |
| ----------------------------------------- | ------------- | ---------------------------------- |
| ***Agit en tant que*** | L'application | Un utilisateur (compte de service) |
| ***URI de redirection*** | Non requis | Requis |
| ***Consentement administrateur*** | Requis | Requis pour les portées `*.All` |
| ***Authentification de connexion*** | Oui | Oui |
| ***PAM*** | Oui | Non, utiliser Application |
| ***Courriel Microsoft 365*** | Oui | Non, utiliser Application |
| ***Création automatique d'utilisateurs*** | Oui | Oui |
### Exigences
* Le planificateur Devolutions Server doit être installé et en cours d'exécution
* Un abonnement Microsoft Entra ID
* Une application web Entra ID pour l'application web Devolutions Server et le cache
#### Création des applications Entra ID et configuration Microsoft de Devolutions Server
Pour simplifier les étapes de configuration et faciliter la copie de tous les paramètres requis, gardez les pages web de Devolutions Server et du portail Azure ouvertes côte à côte tout au long du processus.
**Dans Devolutions Server**
1. Connectez-vous à votre Devolutions Server et naviguez vers **Administration – Paramètres du serveur – Authentification**.
2. Sous **Modes d'authentification**, assurez-vous que **Authentifier avec un utilisateur Microsoft** est activé.
3. Sous **Configuration**, cliquez sur **Authentification Microsoft**.
4. Dans le menu déroulant **Mode d'authentification**, sélectionnez le modèle d'autorisation pour votre environnement :
* **Autorisations d'application** (valeur par défaut recommandée) : Devolutions Server s'authentifie en tant qu'application elle-même à l'aide de credentiels clients.
* **Autorisations déléguées** : Devolutions Server usurpe l'identité d'un compte de service utilisateur pour effectuer des appels Microsoft Graph. Utilisez ce mode uniquement si la politique de votre locataire bloque les autorisations d'application.
**Dans le portail Azure**
5. Connectez-vous à votre [portail Microsoft Azure](https://portal.azure.com) à l'aide des identifiants d'administrateur.
6. Une fois connecté, sélectionnez ***Microsoft Entra ID*** dans la section des services Azure. Si vous ne le voyez pas, cliquez sur ***Plus de services*** pour afficher d'autres services ou recherchez-le dans la barre de recherche.
7. Sur la page ***Vue d'ensemble***, trouvez l'***ID de locataire*** dans la section ***Informations de base***, puis cliquez sur l'icône de copie à côté.
**Dans Devolutions Server**
8. Collez cette valeur dans le champ ***ID de locataire*** de la page de configuration de l'***Authentification Microsoft***.
L'option ***Utiliser un ID client spécifique*** ***pour le cache des utilisateurs et des groupes d'utilisateurs*** ne doit être cochée que pour prendre en charge les configurations lors d'une migration à partir d'une ancienne version de Devolutions Server.
**Dans le portail Azure**
9. Dans le volet de navigation de gauche, sélectionnez ***Inscriptions d'applications***.
10. Cliquez sur ***+ Nouvelle inscription***.
11. Entrez un nom significatif pour l'application. Ce nom ne sera pas utilisé en dehors du portail Azure.
12. Définissez les ***Types de comptes pris en charge*** autorisés à se connecter. En général, sélectionner ***Locataire unique uniquement*** est amplement suffisant pour votre authentification Entra ID.
13. Définissez l'***URI de redirection*** en fonction de votre mode d'authentification :
* ***Application*** : Définissez sur ***Web*** et entrez l'URL de votre instance Devolutions Server avec `/api/external-provider-response` ajouté à la fin. Aucune configuration supplémentaire de l'URI de redirection n'est requise.
* ***Déléguée*** : Définissez sur ***Web*** et entrez l'URL de votre instance Devolutions Server en utilisant le modèle suivant :
```
https:////api/configuration/authentication/azure/connect-callback
```
Exemple pour une instance locale à `/dps` :
```
http://localhost/dps/api/configuration/authentication/azure/connect-callback
```
Ensuite, dans votre inscription d'application, accédez à ***Authentification – Configuration de l'URI de redirection – + Ajouter un URI de redirection – Web***, entrez l'URI de redirection, puis cliquez sur ***Configurer***.
14. Sur la page ***Vue d'ensemble*** de l'inscription d'application, trouvez l'***ID d'application (client)*** dans la section ***Essentiels*** et cliquez sur l'icône de copie à côté.
**Dans Devolutions Server**
15. Collez l'***ID d'application (client)*** dans le champ ***ID client***.
**Dans le portail Azure**
16. Sélectionnez l'inscription d'application que vous venez de créer. Dans la section ***Certificats et secrets***, cliquez sur ***+ Nouveau secret client***.
Lorsque le secret client expire, personne ne pourra se connecter à l'instance Devolutions Server associée. Vous devrez alors créer un nouveau secret client. Nous vous recommandons de vous fixer un rappel avant la date d'expiration.
17. Entrez une description et définissez une date d'expiration.
18. Cliquez sur ***Ajouter***.
19. Copiez la ***Valeur***. Assurez-vous de la sauvegarder dans un endroit sûr avant de passer à une autre page du portail Azure, car le bouton de copie ne sera plus disponible.
**Dans Devolutions Server**
20. Collez la ***Valeur*** dans le champ ***Valeur du secret***.
21. Dans le menu déroulant ***Type d'interaction utilisateur à la connexion***, définissez le comportement de l'invite de connexion Entra ID :
* ***Sélectionner un compte*** (`select_account`) : Affiche toujours le sélecteur de compte, même si l'utilisateur dispose déjà d'une session active.
* Laissez la valeur par défaut pour une connexion silencieuse lorsqu'une session valide existe déjà.
**Dans le portail Azure**
22. Sélectionnez l'inscription d'application que vous venez de créer.
23. Dans la section ***Autorisations d'API***, cliquez sur ***+ Ajouter une autorisation***.
24. Sélectionnez ***Microsoft Graph***.
25. Sélectionnez le type d'autorisation d'API et ajoutez les autorisations en fonction de votre mode d'authentification :
| Mode | Autorisations d'API |
| ------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Autorisations d'application** | `User.Read.All`, `Group.Read.All` (type Application) — consentement administrateur requis |
| **Autorisations déléguées** | `User.Read` (type Délégué, consentement utilisateur possible) plus `User.Read.All`, `Group.Read.All` (type Délégué) pour les lectures d'annuaire — consentement administrateur requis pour `*.All` |
26. Cliquez sur ***Ajouter des autorisations***.
**Flux de consentement**
Selon la configuration de votre locataire, l'un des résultats suivants se produira après la gestion du consentement :
| Scénario | Résultat |
| --------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------- |
| **L'administrateur accorde le consentement à l'échelle du locataire dans le portail** | Silencieux — tous les utilisateurs couverts, aucune fenêtre contextuelle |
| **L'administrateur ne consent pas + le compte de service détient les rôles Administrateur d'utilisateurs et Administrateur de groupes** | La première connexion affiche une fenêtre contextuelle de consentement ; le compte de service peut donner son consentement lui-même |
| **L'administrateur ne consent pas + le compte de service ne peut pas donner son consentement lui-même** | Connexion bloquée avec `AADSTS65001` |
Remarque pour les locataires restreints : les utilisateurs qui ne peuvent pas obtenir le consentement administrateur à l'échelle du locataire peuvent tout de même utiliser le ***mode délégué*** s'ils accordent au compte de service les deux rôles intégrés Entra mentionnés ci-dessus.
**Dans Devolutions Server**
27. Pour le mode ***Autorisations déléguées*** uniquement, dans le champ ***Courriel du compte de service***, entrez l'UPN du compte utilisateur que Devolutions Server va usurper pour les appels Microsoft Graph (p. ex., `svc-dvls@contoso.com`).
28. Pour le mode ***Autorisations déléguées*** uniquement, cliquez sur ***Se connecter à Microsoft***. Une fenêtre de connexion OAuth s'ouvre. Connectez-vous avec le compte de service pour le lier à Devolutions Server. Une fois le flux OAuth terminé avec succès, le statut ***Connecté*** affiche l'UPN du compte de service lié.
29. Pour le mode ***Autorisations déléguées*** uniquement, cliquez sur ***Tester la connexion*** pour exécuter un appel d'API Graph délégué et vérifier que le jeton du compte de service fonctionne correctement.
Pour révoquer le jeton mis en cache et effacer la liaison du compte de service à tout moment, cliquez sur ***Déconnecter***. Faites-le avant de changer de compte de service ou de renouveler les credentiels.
La rotation du secret client ou la modification de la configuration du locataire invalide automatiquement le jeton délégué mis en cache. En cas de changement de mot de passe du compte de service ou de révocation de session, un administrateur doit se reconnecter depuis **Administration – Paramètres du serveur – Authentification – Authentification Microsoft** ; le reste de la configuration est préservé.
30. Cliquez sur ***Enregistrer***.
Vous devriez maintenant pouvoir utiliser le bouton **Microsoft** sur l'interface web.
Après avoir activé l'authentification Microsoft, il peut s'écouler un certain temps avant que le cache se charge, avant de pouvoir importer des utilisateurs et des groupes d'utilisateurs.
#### Limitations du mode délégué
* Connexion uniquement : PAM (accès privilégié) et l'intégration du courriel Microsoft 365 nécessitent les ***Autorisations d'application***. Si vous utilisez ces fonctionnalités, conservez le mode Application ou exécutez une configuration hybride avec des inscriptions d'applications séparées.
* Lectures d'annuaire à l'échelle du locataire : `User.Read.All` et `Group.Read.All` sont des portées à l'échelle du locataire. Entra ID ne dispose d'aucune portée de sous-ensemble native pour OAuth. Pour restreindre les utilisateurs que Devolutions Server peut créer automatiquement, utilisez l'option de restriction de création automatique par groupe dans Devolutions Server lui-même.
* Dépendance au compte de service : le mode délégué lie Devolutions Server à l'identité d'un seul compte de service. Si le compte de service est désactivé, que son mot de passe est modifié ou que sa session est révoquée, un administrateur doit se reconnecter via **Administration – Paramètres du serveur – Authentification – Authentification Microsoft**.
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.devolutions.net/server/fr/knowledge-base/how-to-articles/configure-microsoft-authentication-with-entra-id.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.