Comment synchroniser ses utilisateurs TinyMDM avec Microsoft Entra ID (anciennement Azure AD) ?
Azure s’est imposé dans les entreprises comme le principal moyen de gestion des identités, Microsoft Azure étant généralement utilisé pour accéder à O365 et à de nombreux autres SaaS (applications en nuage). L’intégration de Microsoft Entra ID avec TinyMDM permet aux administrateurs d’ajouter leurs utilisateurs depuis leur compte Azure.
A) Comment inscrire l'application TinyMDM à votre compte Microsoft Entra ID ?
Connectez-vous à votre compte Miscrosoft Azure
Dans “Services Azure“, cliquez sur “Microsoft Entra ID“
Allez dans le menu de gauche “Inscriptions d’applications“, puis cliquez sur “Nouvelle inscription” :
Nommez l’application TinyMDM. Dans “Types de comptes pris en charge“, choisissez “Comptes dans cet annuaire d’organisation uniquement“. Enregistrez.
Vous verrez maintenant, dans “Applications détenues“, l’application TinyMDM que vous venez de créer. Si vous cliquez dessus, vous verrez avec un ID d’application (client) et un ID de l’annuaire (locataire): veuillez noter ces IDs, qui vous seront demandés ultérieurement dans la console TinyMDM.
Allez maintenant dans le menu de gauche “API autorisées” puis cliquez sur “Ajouter une autorisation“.
Dans la popup qui s’affiche, cliquez sur “Microsoft Graph“.
Choisissez l’option “Autorisations de l’application” puis tapez “group” dans le champ de recherche, et cochez la case “GroupMember.Read.All“.
Répétez l’opération en tapant “User.read” et cochez la case “User.Read.All” puis cliquez sur le bouton “Ajouter des autorisations“.
Vous devez maintenant avoir 2 autorisations pour Microsoft Graph: GroupMember.Read.all et User.Real.All.
Toujours dans le menu de gauche “API autorisées“, cliquez sur “Accorder un consentement d’administrateur” et accordez un consentement à GroupMember.Read.all et User.Real.All.
Deuxième étape, nous devons maintenant créer un secret. Dans le menu de gauche “Certificats & Secrets“, cliquez sur “Nouveau secret client“. Renseignez une description (par exemple “Secret TinyMDM”) et un délai d’expiration, puis cliquez sur Ajouter.
Vous voyez ici la valeur et l’identifiant de votre secret. Veuillez noter la valeur du secret, qui vous sera demandée ultérieurement dans la console d’administration TinyMDM.
Troisième et dernière étape, nous devons créer un groupe qui sera synchronisé vers TinyMDM et y ajouter des membres.
Pour cela, retournez dans la Vue d’ensemble de Microsoft Entra ID, allez dans l’onglet “Groupes” et cliquez sur “Nouveau groupe“. Choisissez le type de groupe “Sécurité“, nommez-le “TinyMDM“, et en description “Utilisateurs importables dans TinyMDM“. Cliquez sur “Créer“.
Vous voyez maintenant apparaître le groupe “TinyMDM” créé, avec un “ID d’objet“. Veuillez noter cet ID qui vous sera demandé ultérieurement dans la console d’administration TinyMDM.
Maintenant il est nécessaire d’ajouter des membres à ce groupe: ceux que vous souhaitez importer dans la console d’administration TinyMDM. Pour cela, cliquez sur le groupe TinyMDM créé (où vous verrez qu’aucun membre n’a été trouvé) puis allez dans l’onglet de gauche “Membres” et cliquez enfin sur “Ajouter des membres“.
Note: ce groupe “TinyMDM” créé correspond au niveau 0, il ne sera pas importé en tant que tel dans la console d’administration. Dans ce niveau 0, vous pouvez ajouter des membres, qui sont soit des utilisateurs, soit des groupes. Si vous ajoutez un groupe, par exemple le groupe “Direction” possédant lui même 2 utilisateurs, ces deux utilisateurs seront bien importés dans la console d’administration TinyMDM comme appartenant à un groupe appelé “Direction”. En revanche, les groupes dans les groupes ne seront pas importés et seront ignorés, puisque TinyMDM ne supporte qu’un seul niveau de groupe, et pas de sous-groupe.
Dans notre exemple, nous allons ici ajouter au groupe “TinyMDM” (à importer dans la console d’administration TinyMDM), les utilisateurs seuls “Tom Smith” et “John Doe” (qui sont donc au niveau 1), ainsi que le groupe “Direction” (aussi au niveau 1) qui possède lui-même deux membres, “Jane Doe” et “Richard Roe” (qui sont donc au niveau 2). Si le groupe “Direction” possédait des sous-groupes, comme DG, Administration etc., ceux ci seront ignorés au moment de l’import dans la console d’administration TinyMDM, puisqu’ils correspondraient à un niveau 3, non supporté par TinyMDM.
B) Comment synchroniser les utilisateurs Microsoft Entra ID (anciennement Azure AD) dans TinyMDM?
Connectez vous à votre console d’administration TinyMDM, allez dans l’onglet Utilisateurs et Groupes et cliquez sur le bouton Synchronisation Microsoft Azure.
Renseignez les champs demandés dans la popup qui s’affiche:
- ID du client: il s’agit de l’ID d’application (client) de l’application TinyMDM que vous avez créé dans Azure AD à l’étape “Inscrire une application”
- ID secrète du client: il s’agit de la valeur du secret que vous avez créé dans Azure AD à l’étape “Nouveau secret client” (attention, la valeur, pas l’ID du secret)
- ID du groupe: il s’agit de l’ID d’objet du groupe “TinyMDM” (niveau 0) que vous avez créé dans Azure AD à l’étape “Nouveau groupe”
- ID du locataire: il s’agit d’ID de l’annuaire (locataire) que vous pouvez trouver dans l’onglet “Vue d’ensemble” de votre compte Azure AD
- Portée: https://graph.microsoft.com/.default
En quelques secondes, les utilisateurs et groupes importés apparaissent dans la console TinyMDM. Les utilisateurs sont créés comme des utilisateurs anonymes (sans email) si aucun email n’a été défini dans le compte Azure AD (ne pas confondre nom d’utilisateur principal et email).
Pour reprendre notre exemple, nous voyons donc apparaître Tom Smith et John Doe sans groupe, et les utilisateurs Jane Doe et Richard Roe dans le groupe Direction, créé également (visible dans le sous onglet “Groupes”). Vous pouvez maintenant les affecter à des politiques de sécurité TinyMDM.
Au besoin, pour resynchroniser vos utilisateurs Microsoft Entra ID (par exemple si vous avez de nouveaux salariés ou des salariés qui ont quitté votre entreprise), vous pouvez cliquer à nouveau sur le bouton Synchronisation Microsoft Azure. Les utilisateurs qui ne font plus partie du groupe “TinyMDM” à importer (niveau 0), apparaitront comme “Azure ID: supprimé” dans TinyMDM. Vous pourrez les retrouver facilement dans la console via la recherche avancée des utilisateurs, en cochant la case “Uniquement les utilisateurs avec Azure ID supprimé“. Si un appareil est enrôlé sur un utilisateur obsolète, pensez à transférer l’appareil vers un autre utilisateur.
Attention, dans votre compte Microsoft Azure, en cas de changement de groupe d’un utilisateur ou de passage d’un état sans groupe à un groupe, il est important de bien supprimer l’utilisateur de son ancienne position car ce n’est pas proposé automatiquement par Azure.
- Exemple 1: dans votre compte Microsoft Azure, si vous ajoutez Richard Roe (du groupe “Direction”) à un groupe “RH”, il appartiendra aux deux groupes (donc sera toujours affilié à “Direction” dans la console TinyMDM en cas de resynchronisation). Une fois Richard Roe ajouté au groupe “RH” dans Microsoft, vous devrez aussi le supprimer du groupe “Direction” via Microsoft, pour qu’il n’appartienne plus qu’à un seul groupe. C’est seulement ainsi qu’en cas de resynchronisation Microsoft Azure des utilisateurs, Richard Roe sera mis à jour comme appartenant désormais au compte “RH” dans la console d’administration TinyMDM.
- Exemple 2: dans votre compte Microsoft Azure, si vous ajoutez Tom Smith (sans groupe) à un groupe “Direction”, il sera synchronisé à la fois en tant qu’utilisateur individuel et à la fois via le groupe “Direction” (donc sera toujours à l’état de sans groupe dans la console TinyMDM en cas de resynchronisation). Une fois Tom Smith ajouté au groupe “Direction” dans Microsoft, vous devrez aussi le supprimer du groupe “TinyMDM” (niveau 0) comme utilisateur individuel via Microsoft, pour qu’il ne soit plus synchronisé que via le groupe “Direction”. C’est seulement ainsi qu’en cas de resynchronisation Microsoft Azure des utilisateurs, Tom Smith sera mis à jour comme appartenant désormais au compte “Direction” dans la console d’administration TinyMDM.