Le tenant Microsoft Teams

La connexion à Microsoft Teams se fait via l’accès aux API Graph de Microsoft. Cette connexion assure une intégration robuste et complète dans l’écosystème Microsoft.

Pour en savoir plus sur l’API Microsoft :

https://learn.microsoft.com/fr-fr/graph/overview

Et plus particulièrement sur le sujet de Microsoft Teams :

https://learn.microsoft.com/fr-fr/graph/teams-messaging-overview

Pour cette partie, nous devons enregistrer une application Syfadis afin d’autoriser la plateforme à se connecter au tenant de votre entreprise.

Créer une application Syfadis sur Microsoft Entra ID

La création d’une application Syfadis dans l’environnement Microsoft Entra ID permet de bénéficier de la globalité des permissions pour des connexions entre Microsoft Teams et Syfadis Xperience.

Vous devez vous connecter en tant qu’administrateur au portail Microsoft Entra ID (anciennement Azure Active Directory) afin de mettre en place l’application.

Enregistrer une application Syfadis

Accéder à l’admin center de Microsoft Entra ID au travers du portail (https://portal.azure.com) pour ajouter l’application Syfadis.

Accès aux applications d’entreprise

Il faut créer une nouvelle application Syfadis sur le tenant, qui permettra de créer les clés d’identité afin d’établir la connexion avec la plateforme Syfadis Xperience.

1. Cliquez sur Create your own application.

Création de l’application dans le tenant Microsoft

2. Dans la pop-in, configurez le nom et le type d’application.

Création de l’application

• Après la création de l’application, le site redirige vers la page de l’application. Vous y trouverez une partie des informations relatives à la connexion entre Microsoft Teams et Syfadis Xperience.

• Les ID de l’application (client) et directory (tenant) sont visibles dans cet écran. Vous pouvez conserver ces informations à côté dans un fichier le temps de la manipulation. Cette page reste accessible.

Page de l’application Syfadis

Définir les URI de callback

1. Cliquez sur Authentication puis sur Add a platform.

2. Dans la partie Configure platforms/Web applications, cliquez sur Web.

3. Renseignez le Redirect URI. Dans notre exemple : https://<VotreURI>/Directory/Login/GetAzureAccessToken

• Cette URI doit être saisi afin que le tenant Microsoft Teams connaisse l’URI de retour.

Remarque :

Si le paramètre de configuration Xperience Utiliser le mode applicatif d’Azure pour le tracking des présences (scope application) est positionné à Vrai, cette étape peut être ignorée. (Pour plus d’information, voir la section : Paramètre à activer pour récupérer des présences Teams).

Important - l’URI est sensible à la casse.

En fonction de votre environnement Teams (single ou multi-tenant), sélectionner soit :

• Accounts in this organizational directory only (Single tenant)

• Accounts in any organizational directory (Any Microsoft Entra ID tenant – Multi tenant)

4. Cliquez sur Save.

Générer une clé secrète d’utilisation

Afin de faire fonctionner cette application, en plus des identifiants, il faut générer une clé secrète d’utilisation.

1. Dans Microsoft Entra ID, accédez aux inscriptions d’application.

2. Sélectionnez l’application créée.

3. Générez la clé secrète de connexion.

Vous ne pourrez plus récupérer cette clé a posteriori.

4. Conservez cette clé au moins le temps de la manipulation (même si vous la voyez de manière temporaire après la manipulation).

Invalider la clé secrète

Vous pouvez invalider une clé secrète et en générer des nouvelles si vous la perdez. Dans ce cas, mettez la clé à jour dans la plateforme de formation (au niveau du paramétrage).

Pour plus de sécurité, Microsoft recommande de modifier la clé de manière périodique, et de lui fixer une date de validité.

Cela permet aussi le contrôle de l’accès au tenant par des applications tierces. Vous pouvez dans le cadre du LMS choisir une date éloignée, mais conservez un rappel afin de la mettre à jour si besoin.

Attribuer des privilèges d’accès à la Graph API

Afin d’utiliser l’API, il faut attribuer à l’application certains accès. Ces accès doivent être accordés soit au niveau application soit au niveau délégué (nécessaire pour la récupération du tracking) :

1. Ajoutez les autorisations en cliquant sur API autorisées / Ajouter une autorisation.

Ajout des autorisations

Un volet s’ouvre ensuite sur la droite.

2. Choisissez l’API Microsoft Graph, puis utilisez la barre de recherche afin de retrouver les permissions à accorder :

Recherche des autorisations

3. Ajoutez les autorisations nécessaires au niveau délégué et au niveau application, en se référant au tableau ci-dessous :

Pour rappel, il existe deux types d’autorisation qui seront utilisées pour la configuration de notre connecteur :

• Le type délégué : signifie que l’application peut agir au nom et pour le compte d’un utilisateur concernant l’autorisation en question.

• Le type application : signifie que l’application elle-même peut agir pour l’autorisation en question.

Voici la liste des autorisations nécessaires au fonctionnement du Connecteur Teams, en détaillant le besoin. Voici les définitions de chacune de ces autorisations : https://learn.microsoft.com/fr-fr/graph/permissions-reference.

4. Une fois les autorisations ajoutées, accordez le consentement administrateur, afin que le connecteur puisse bénéficier de ces autorisations, en cliquant sur le bouton Grant admin consent for [domaine] :

Votre application est à présent configurée.

Vérifier les autorisations dans le tenant

Syfadis a besoin que les utilisateurs soient autorisés à accéder à l’application Teams.

Pour effectuer cela, appliquer les 2 paramètres suivants :

• Assignment required? – ce paramètre doit être positionné sur « No »

• Visible to users?

Propriétés de l’application

Installer et paramétrer PowerShell

Une fois les classes virtuelles effectuées et afin de pouvoir :

• utiliser la récupération des temps de présence (tracking) et,

• synchroniser les participants de la classe virtuelle,

Vous devez configurer l’accès aux réunions en ligne à notre connecteur.

Pour cela, en plus des autorisations d’application nécessaires à l’API Microsoft Graph, les administrateurs clients doivent configurer une stratégie d’accès à l’application.

Configurer la stratégie d’accès à l’application Teams

1. Installez Teams PowerShell pour se connecter en ligne de commandes à Azure

2. Vérifiez que la version de Windows PowerShell est supérieure ou égale à 5.1

3. Vérifiez que la version du Framework .NET installée est supérieure ou égale 4.7.2

4. Installez la dernière version de PowerShellGet :

Install-Module -Name PowerShellGet -Force -AllowClobber 
Installer le module "Teams PowerShell ": 
Install-Module -Name MicrosoftTeams -Force -AllowClobber 

• Plus de détails sur la documentation officielle de Microsoft : https://learn.microsoft.com/fr-fr/microsoftteams/teams-powershell-install

5. Il faut ensuite se connecter à Azure avec les lignes de commande suivantes (une fois le module précédent installé) :

Import-Module MicrosoftTeams 
Connect-MicrosoftTeams

6. Une page va s’ouvrir dans le navigateur. Saisissez les identifiants et mot de passe utilisés pour se connecter au portail Microsoft Entra ID.

Autoriser les accès à l’application Syfadis sur Entra ID

1. Une fois la connexion avec PowerShell établie, exécutez les lignes de commandes suivantes pour autoriser les accès à notre application Entra ID créée précédemment pour utiliser les connecteurs Teams :

New-CsApplicationAccessPolicy -Identity <NomDeLaPolicy> -AppIds " 
<Identifiant de l'application dans le portail Azure>" -Description " 
<Description de la policy>"

2. Donnez les droits à des utilisateurs spécifiques :

Grant-CsApplicationAccessPolicy -PolicyName <NomDeLaPolicy> -Identity "<ID de l'utilisateur dans Azure Active Directory>"

3. Pour octroyer ce droit à tous les utilisateurs du tenant de l’application, utilisez la commande suivante :

Grant-CsApplicationAccessPolicy -PolicyName <NomDeLaPolicy> -Global

Pour plus de détails, voici le lien de la documentation officielle : https://learn.microsoft.com/fr-fr/graph/cloud-communication-online-meeting-application-access-policy

Cette modification peut prendre un certain temps avant d’être effective (jusqu’à 30 minutes selon Microsoft).

Utiliser le connecteur en mode « simple »

Si vous préférez empêcher le connecteur d'écrire dans les calendriers Outlook des utilisateurs, Syfadis Xperience peut être configuré en mode « Simple ».

Dans ce mode, contrairement à la configuration complète, les invitations Outlook sont gérées via une configuration de notification dans Syfadis Xperience, en utilisant spécifiquement le type de notification Invitation à la classe virtuelle.

La configuration reste en grande partie la même, sauf que les permissions suivantes ne sont pas requises :

• Calendars.Read

• Calendriers.ReadWrite

Cette approche simplifie l'intégration tout en maintenant la fonctionnalité d'envoi d'invitations.

Si vous optez pour ce mode de fonctionnement, il convient d’en informer les équipes Syfadis afin que le paramétrage soit appliqué sur votre plateforme Xperience.

Quel que soit le mode utilisé (avec accès au calendrier Outlook ou sans), il est nécessaire que les adresses mails définies dans Entra ID correspondent aux adresses mails des utilisateurs dans Xperience.