Aller au contenu
Requis de départ

Connexion IA à Microsoft 365

Ajouter les permissions Microsoft Graph nécessaires sur l'application d'entreprise SSO — connecteur M365, compléments Office et bot de réunions Teams.

Mis à jour le 27 juin 20263 min de lecture

Objectif


1. Autorisations déléguées (Microsoft Graph)

Usage : connexion SSO + connecteur MCP + compléments Office.

Inscriptions d'applications > Gérer > Autorisations d'API > + Ajouter une autorisation > Microsoft Graph > Autorisations déléguées.

Identité / connexion (SSO)

  • openid
  • profile
  • email
  • User.Read
  • User.ReadBasic.All

Courrier (Outlook)

  • Mail.Read
  • Mail.ReadWrite.Shared
  • Mail.Send.Shared
  • MailboxSettings.Read

Calendrier

  • Calendars.ReadWrite.Shared

Fichiers / SharePoint

  • Files.Read
  • Files.Read.All
  • Sites.Read.All

Contacts / personnes

  • Contacts.ReadWrite.Shared
  • People.Read.All
  • Presence.Read

Tâches / notes

  • Tasks.ReadWrite
  • Tasks.ReadWrite.Shared
  • Notes.Read.All
  • Notes.ReadWrite

Teams (chats / canaux / réunions)

  • Team.ReadBasic.All
  • Channel.ReadBasic.All
  • ChannelMessage.Send
  • Chat.Create
  • Chat.ReadWrite
  • ChatMessage.Send
  • OnlineMeetings.ReadWrite

Groupes

  • GroupMember.Read.All

2. Autorisations d'application (Microsoft Graph)

Usage : bot de réunions Teams + découverte automatique des boîtes/sites. App-only, consentement administrateur requis.

+ Ajouter une autorisation > Microsoft Graph > Autorisations d'application.

Découverte (back-end)

  • User.Read.All
  • MailboxSettings.Read
  • Reports.Read.All

Bot de réunions Teams (teamsbot)

  • Calls.AccessMedia.All
  • Calls.JoinGroupCall.Allau singulier (JoinGroupCall), pas JoinGroupCalls
  • Calls.JoinGroupCallAsGuest.All
  • Calls.Initiate.All
  • OnlineMeetings.Read.Allen application (le bot tourne sans utilisateur connecté)
  • Chat.Read.All
  • Chat.Read.WhereInstalled
  • Chat.ReadWrite.All
  • Chat.ReadWrite.WhereInstalled
  • ChatMessage.Read.All
  • GroupMember.Read.All
  • Calendars.Read

3. Consentement spécifique à la ressource (RSC)

À déclarer dans le manifeste de l'application Teams (authorization.permissions.resourceSpecific), pas dans Entra.

  • Calls.AccessMedia.Chat
  • Calls.JoinGroupCalls.Chatau pluriel (JoinGroupCalls) pour le RSC

4. Compléments Office (add-ins)

Deux réglages sur l'inscription, requis pour l'authentification imbriquée (NAA) des add-ins Office.

4.1 Authentification — Application à page unique (SPA)

Onglet Authentification > + Ajouter une plateforme > Application à page unique. URI de redirection au format brk-multihub://<domaine> (origine seule, sans sous-chemin) :

4.2 Exposer une API

Onglet Exposer une API :

  • Étendue exposée : access_as_user (api://<clientId>/access_as_user)
  • Qui peut consentir : Administrateurs et utilisateurs

5. Configuration supplémentaire du bot Teams (hors permissions)

Déjà en place si le teamsbot actuel fonctionne — à réutiliser tel quel.

  1. Azure Bot Service : inscription du bot liée à l'App ID, canal Teams, Appels activés, webhook de notification.

  2. Enregistrement de conformité (compliance recording) — c'est ce qui fait joindre le bot automatiquement à toutes les réunions/appels (modes all / all-except) :

    New-CsOnlineApplicationInstance -UserPrincipalName <upn> -DisplayName <nom> -ApplicationId <App ID>
    New-CsTeamsComplianceRecordingPolicy -Enabled $true -Identity <policy>
    Set-CsTeamsComplianceRecordingPolicy -Identity <policy> -ComplianceRecordingApplications @(New-CsTeamsComplianceRecordingApplication -Parent <policy> -Id <App ID>)
    Grant-CsTeamsComplianceRecordingPolicy -Identity <utilisateur> -PolicyName <policy>
    

6. Accorder le consentement administrateur

Inscriptions d'applications > Autorisations d'API > Accorder un consentement d'administrateur pour votre tenant.


Sources des permissions du bot : Microsoft Learn — « Register Calls & Meetings Bot » et l'exemple officiel PolicyRecordingBot (microsoft-graph-comms-samples). Permissions déléguées : connecteur M365 de la plateforme IA.

Besoin d'un coup de main ?

Notre équipe peut effectuer ces étapes avec vous en réunion et partage d'écran.

Contacter Hilo Tech

Retour à la collection : Requis de départ