Objectif
1. Autorisations déléguées (Microsoft Graph)
Usage : connexion SSO + connecteur MCP + compléments Office.
Inscriptions d'applications > Gérer > Autorisations d'API > + Ajouter une autorisation > Microsoft Graph > Autorisations déléguées.
Identité / connexion (SSO)
openidprofileemailUser.ReadUser.ReadBasic.All
Courrier (Outlook)
Mail.ReadMail.ReadWrite.SharedMail.Send.SharedMailboxSettings.Read
Calendrier
Calendars.ReadWrite.Shared
Fichiers / SharePoint
Files.ReadFiles.Read.AllSites.Read.All
Contacts / personnes
Contacts.ReadWrite.SharedPeople.Read.AllPresence.Read
Tâches / notes
Tasks.ReadWriteTasks.ReadWrite.SharedNotes.Read.AllNotes.ReadWrite
Teams (chats / canaux / réunions)
Team.ReadBasic.AllChannel.ReadBasic.AllChannelMessage.SendChat.CreateChat.ReadWriteChatMessage.SendOnlineMeetings.ReadWrite
Groupes
GroupMember.Read.All
2. Autorisations d'application (Microsoft Graph)
Usage : bot de réunions Teams + découverte automatique des boîtes/sites. App-only, consentement administrateur requis.
+ Ajouter une autorisation > Microsoft Graph > Autorisations d'application.
Découverte (back-end)
User.Read.AllMailboxSettings.ReadReports.Read.All
Bot de réunions Teams (teamsbot)
Calls.AccessMedia.AllCalls.JoinGroupCall.All← au singulier (JoinGroupCall), pasJoinGroupCallsCalls.JoinGroupCallAsGuest.AllCalls.Initiate.AllOnlineMeetings.Read.All← en application (le bot tourne sans utilisateur connecté)Chat.Read.AllChat.Read.WhereInstalledChat.ReadWrite.AllChat.ReadWrite.WhereInstalledChatMessage.Read.AllGroupMember.Read.AllCalendars.Read
3. Consentement spécifique à la ressource (RSC)
À déclarer dans le manifeste de l'application Teams (authorization.permissions.resourceSpecific), pas dans Entra.
Calls.AccessMedia.ChatCalls.JoinGroupCalls.Chat← au pluriel (JoinGroupCalls) pour le RSC
4. Compléments Office (add-ins)
Deux réglages sur l'inscription, requis pour l'authentification imbriquée (NAA) des add-ins Office.
4.1 Authentification — Application à page unique (SPA)
Onglet Authentification > + Ajouter une plateforme > Application à page unique. URI de redirection au format brk-multihub://<domaine> (origine seule, sans sous-chemin) :
4.2 Exposer une API
Onglet Exposer une API :
- Étendue exposée :
access_as_user(api://<clientId>/access_as_user) - Qui peut consentir : Administrateurs et utilisateurs
5. Configuration supplémentaire du bot Teams (hors permissions)
Déjà en place si le teamsbot actuel fonctionne — à réutiliser tel quel.
-
Azure Bot Service : inscription du bot liée à l'App ID, canal Teams, Appels activés, webhook de notification.
-
Enregistrement de conformité (compliance recording) — c'est ce qui fait joindre le bot automatiquement à toutes les réunions/appels (modes
all/all-except) :New-CsOnlineApplicationInstance -UserPrincipalName <upn> -DisplayName <nom> -ApplicationId <App ID> New-CsTeamsComplianceRecordingPolicy -Enabled $true -Identity <policy> Set-CsTeamsComplianceRecordingPolicy -Identity <policy> -ComplianceRecordingApplications @(New-CsTeamsComplianceRecordingApplication -Parent <policy> -Id <App ID>) Grant-CsTeamsComplianceRecordingPolicy -Identity <utilisateur> -PolicyName <policy>
6. Accorder le consentement administrateur
Inscriptions d'applications > Autorisations d'API > Accorder un consentement d'administrateur pour votre tenant.
Sources des permissions du bot : Microsoft Learn — « Register Calls & Meetings Bot » et l'exemple officiel PolicyRecordingBot (microsoft-graph-comms-samples). Permissions déléguées : connecteur M365 de la plateforme IA.
Besoin d'un coup de main ?
Notre équipe peut effectuer ces étapes avec vous en réunion et partage d'écran.