Comment importer et synchroniser ses contacts TinyMDM depuis Microsoft Azure ?
Azure s’est imposé dans les entreprises comme le principal moyen de gestion des identités. Microsoft Azure étant généralement utilisé pour accéder à O365 et à de nombreux autres SaaS (applications en nuage). L’intégration de Microsoft Entra ID avec TinyMDM permet aux administrateurs d’ajouter leurs contacts mais aussi utilisateurs depuis leur compte Azure.
A) Comment inscrire l’application TinyMDM à votre compte Microsoft Entra ID ?
Connectez-vous à votre compte Microsoft Azure
Dans “Services Azure“, cliquez sur “Microsoft Entra ID“
Nommez l’application TinyMDM. Dans “Types de comptes pris en charge“, choisissez “Comptes dans cet annuaire d’organisation uniquement“. Enregistrez.
Vous verrez maintenant, dans “Applications détenues“, l’application TinyMDM que vous venez de créer. Si vous cliquez dessus, vous verrez avec un ID d’application (client) et un ID de l’annuaire (locataire). Veuillez noter ces IDs, qui vous seront demandés ultérieurement dans la console TinyMDM.
Allez maintenant dans le menu de gauche “API autorisées” puis cliquez sur “Ajouter une autorisation“.
Dans la popup qui s’affiche, cliquez sur “Microsoft Graph“.
Choisissez l’option “Autorisations de l’application” puis tapez “group” dans le champ de recherche, et cochez la case “GroupMember.Read.All“.
Répétez l’opération en tapant “User.read” et cochez la case “User.Read.All” puis cliquez sur le bouton “Ajouter des autorisations“.
Vous devez maintenant avoir 2 autorisations pour Microsoft Graph: GroupMember.Read.all et User.Real.All.
Toujours dans le menu de gauche “API autorisées“, cliquez sur “Accorder un consentement d’administrateur”. Ensuite, accordez un consentement à GroupMember.Read.all et User.Real.All.
Deuxième étape, nous devons maintenant créer un secret. Dans le menu de gauche “Certificats & Secrets“, cliquez sur “Nouveau secret client“. Renseignez une description (par exemple “Secret TinyMDM”) et un délai d’expiration, puis cliquez sur Ajouter.
Vous voyez ici la valeur et l’identifiant de votre secret. Veuillez noter la valeur du secret, qui vous sera demandée ultérieurement dans la console d’administration TinyMDM.
Troisième et dernière étape, nous devons créer un groupe qui sera synchronisé vers TinyMDM et y ajouter des membres.
Pour cela, retournez dans la Vue d’ensemble de Microsoft Entra ID, allez dans l’onglet “Groupes” et cliquez sur “Nouveau groupe“. Choisissez le type de groupe “Sécurité“, nommez-le “TinyMDM Contacts“, et en description “Contacts importables dans TinyMDM“. Cliquez sur “Créer“.
Vous voyez maintenant apparaître le groupe “TinyMDM Contacts” créé, avec un “ID d’objet“. Veuillez noter cet ID qui vous sera demandé ultérieurement dans la console d’administration TinyMDM.
Il est maintenant nécessaire d’ajouter des membres à ce groupe. Ceux que vous souhaitez importer dans la console d’administration TinyMDM en tant que contacts partagés. Pour cela, cliquez sur le groupe créé (où vous verrez qu’aucun membre n’a été trouvé). Puis, allez dans l’onglet de gauche “Membres” et cliquez enfin sur “Ajouter des membres“.
Note: ce groupe “TinyMDM Contacts” créé correspond au niveau 0. Il ne sera pas importé en tant que tel dans la console d’administration. Dans ce niveau 0, vous pouvez ajouter des membres, qui sont soit des membres directs, soit des groupes. Si vous ajoutez un groupe, par exemple le groupe “Groupe TinyMDM Niveau 1” possédant lui même 2 membres, ces deux membres seront bien importés dans la console d’administration TinyMDM en tant que Contacts partagés et appartiendront à un groupe appelé “Groupe TinyMDM Niveau 1”. En revanche, les groupes dans les groupes ne seront pas importés et seront ignorés. En effet, TinyMDM ne supporte qu’un seul niveau de groupe, et pas de sous-groupe.
Dans notre exemple, nous allons ici ajouter au groupe “TinyMDM Contacts” (à importer dans la console d’administration TinyMDM), les membres “Test 1”, “Test 2” et “Test 3”.
B) Comment synchroniser les utilisateurs Microsoft Entra ID (anciennement Azure AD) en tant que contacts partagés sur TinyMDM?
Connectez vous à votre console d’administration TinyMDM et allez dans l’onglet Contacts partagés. Après cela, cliquez sur le bouton Synchronisation Microsoft Azure (ou Importer de Microsoft Azure).
Renseignez les champs demandés dans la popup qui s’affiche:
- ID du client: il s’agit de l’ID d’application (client) de l’application TinyMDM que vous avez créé dans Azure AD à l’étape “Inscrire une application”
- ID secrète du client: il s’agit de la valeur du secret que vous avez créé dans Azure AD à l’étape “Nouveau secret client”. Attention, la valeur, pas l’ID du secret.
- ID du groupe: il s’agit de l’ID d’objet du groupe “TinyMDM Contacts” (niveau 0) que vous avez créé dans Azure AD à l’étape “Nouveau groupe”
- ID du locataire: il s’agit d’ID de l’annuaire (locataire) que vous pouvez trouver dans l’onglet “Vue d’ensemble” de votre compte Azure AD
- Portée: https://graph.microsoft.com/.default
En quelques secondes, les utilisateurs et groupes importés apparaissent dans la console TinyMDM. Ils sont créés comme des contacts partagés (et groupes de contacts si vous en avez) sur TinyMDM. Pour reprendre notre exemple, nous voyons donc apparaître Test 1, Test 2 en tant que contacts partagés n’appartenant à aucun groupe, dans l’onglet Contacts partagés de TinyMDM.
Note: pour information, lors de l’import des contacts depuis Microsoft Entra ID, seul le numéro de téléphone renseigné dans le champ “téléphone mobile” sera synchronisé sur TinyMDM.
Au besoin, vous pouvez resynchroniser vos utilisateurs Microsoft Entra ID en tant que contacts partagés. Il vous suffit de cliquer à nouveau sur le bouton Synchronisation Microsoft Azure. Les utilisateurs qui ne font plus partie du groupe “TinyMDM Contacts” à importer (niveau 0), apparaitront comme “Azure ID: supprimé” dans TinyMDM. Vous pourrez les retrouver facilement dans la console via la recherche avancée des contacts partagés. Il vous suffit de cocher la case “Uniquement les contacts avec Azure ID supprimé“.
Attention, dans votre compte Microsoft Azure, en cas de changement de groupe d’un utilisateur ou de passage d’un état sans groupe à un groupe, il est important de bien supprimer l’utilisateur de son ancienne position car ce n’est pas proposé automatiquement par Azure.
- Exemple 1: dans votre compte Microsoft Azure, si vous ajoutez Richard Roe (du groupe “Direction”) à un groupe “RH”, il appartiendra aux deux groupes (donc sera toujours affilié à “Direction” dans la console TinyMDM en cas de resynchronisation). Une fois Richard Roe ajouté au groupe “RH” dans Microsoft, vous devrez aussi le supprimer du groupe “Direction” via Microsoft, pour qu’il n’appartienne plus qu’à un seul groupe. C’est seulement ainsi qu’en cas de resynchronisation Microsoft Azure des contacts partagés, Richard Roe sera mis à jour comme appartenant désormais au groupe “RH” dans la console d’administration TinyMDM.
- Exemple 2: dans votre compte Microsoft Azure, si vous ajoutez Tom Smith (sans groupe) à un groupe “Direction”, il sera synchronisé à la fois en tant que contact individuel et à la fois via le groupe “Direction” (donc sera toujours à l’état de sans groupe dans la console TinyMDM en cas de resynchronisation). Une fois Tom Smith ajouté au groupe “Direction” dans Microsoft, vous devrez aussi le supprimer du groupe “TinyMDM Contacts” (niveau 0) comme contact individuel via Microsoft, pour qu’il ne soit plus synchronisé que via le groupe “Direction”. C’est seulement ainsi qu’en cas de resynchronisation Microsoft Azure des utilisateurs, Tom Smith sera mis à jour comme appartenant désormais au compte “Direction” dans la console d’administration TinyMDM.
Attention également à ne pas créer un contact sur Azure AD avec un nom équivalent à un contact déjà existant dans TinyMDM, sinon l’import ne se fera pas.