Lorsque vous connectez Atera à Microsoft Entra ID, l’application Atera demande un ensemble d’autorisations (scopes OAuth 2.0) à votre tenant. Cet article explique chaque autorisation demandée par Atera, ce qu’elle permet et à quel moment elle est réellement utilisée.
Pour les instructions de configuration, consultez Synchroniser les utilisateurs et les contacts depuis Microsoft Entra ID.
À propos de cet article
Cet article s’adresse aux responsables de la sécurité informatique, de la conformité et aux administrateurs qui ont besoin de comprendre précisément ce que demande Atera lors du processus de consentement OAuth d’Entra ID — que ce soit avant d’approuver l’intégration ou dans le cadre d’un audit interne.
Pour chaque autorisation, vous trouverez :
- Le nom de l’autorisation tel qu’il apparaît à l’écran de consentement
- Le scope Microsoft Graph
- Une description tirée directement de la documentation officielle de Microsoft
Certaines autorisations apparaissent deux fois dans la demande d’Atera — une fois en tant qu’autorisation d’application et une fois en tant qu’autorisation déléguée. Cela s’explique par le fait que différentes parties de la plateforme fonctionnent dans des contextes d’authentification différents :
- Les autorisations déléguées sont utilisées lorsqu’un utilisateur connecté est présent.
- Les autorisations d’application sont utilisées lorsque Atera ou Robin agit de manière autonome en arrière-plan, sans session utilisateur active.
Lorsqu’une autorisation est demandée sous les deux formes, la description ci-dessous utilise le texte de l’autorisation d’application issu de la documentation Microsoft, car c’est la plus permissive des deux. Lorsqu’une autorisation n’est demandée qu’en tant qu’autorisation déléguée, la description déléguée est utilisée.
Important : comprendre quand les autorisations sont invoquées
Accorder ne signifie pas activer
Les autorisations listées dans cet article sont accordées au moment où l’application Atera Entra ID est autorisée — indépendamment des fonctionnalités Atera activées par la suite. L’ensemble complet des scopes OAuth est enregistré auprès d’Entra ID même si seule une partie des fonctionnalités d’Atera est utilisée, comme la synchronisation des utilisateurs uniquement.
Accorder ces scopes ne provoque, en soi, aucune action dans votre environnement Entra ID. Les autorisations représentent un plafond, pas une instruction.
Autorisations d’écriture et Robin (IT Autopilot)
Les scopes de lecture/écriture et d’écriture ne seront utilisés que si Robin est activé dans votre environnement Atera. Lorsque Robin est activé, ces autorisations ne sont exercées que dans deux scénarios :
- Dans le cadre d’un workflow automatisé que Robin a été configuré pour exécuter (par exemple, une séquence d’intégration ou de sortie déclenchée).
- En réponse directe à une instruction explicite d’un utilisateur interagissant avec Robin (par exemple, un technicien ou un utilisateur final demandant à Robin de réinitialiser un mot de passe ou de modifier un paramètre de boîte aux lettres).
Robin n’agira jamais de manière autonome en dehors de ces deux contextes.
Les autorisations effectives sont limitées par vos contrôles d’accès Entra ID existants
Les actions autorisées dans Entra ID sont définies par les scopes OAuth 2.0 accordés, mais elles sont également strictement régies par les autorisations existantes de l’utilisateur autorisant dans Entra ID.
Si un utilisateur ne dispose pas de l’autorisation native Entra ID pour effectuer une action — comme modifier les méthodes d’authentification d’un autre utilisateur, changer l’appartenance à un groupe ou mettre à jour les paramètres de boîte aux lettres — il ne pourra pas exécuter cette action via Atera ou Robin, même si le scope OAuth correspondant a été accordé.
En d’autres termes : le scope OAuth définit ce que l’application est autorisée à demander. Le rôle et les droits de l’utilisateur dans Entra ID déterminent si cette demande sera acceptée.
Référence officielle Microsoft
Les valeurs de Scope et de description dans les tableaux ci-dessous sont directement issues de la référence officielle des autorisations Microsoft. Vous pouvez vérifier chaque scope à l’adresse suivante :
https://learn.microsoft.com/fr-fr/graph/permissions-reference
Autorisations demandées par Atera
Autorisations utilisateur et identité
| Autorisation | Scope | Ce qu’elle permet |
|---|---|---|
| Se connecter et lire le profil utilisateur | User.Read |
Permet aux utilisateurs de se connecter à l’application et permet à l’application de lire le profil des utilisateurs connectés. Elle permet également à l’application de lire les informations de base de l’entreprise des utilisateurs connectés. |
| Lire les profils de base de tous les utilisateurs | User.ReadBasic.All |
Permet à l’application de lire un ensemble de propriétés de profil de base des autres utilisateurs de votre organisation au nom de l’utilisateur connecté. Cela inclut le nom d’affichage, le prénom et le nom, l’adresse e-mail, les extensions ouvertes et la photo. |
| Lire les profils complets de tous les utilisateurs | User.Read.All |
Permet à l’application de lire l’ensemble complet des propriétés de profil, des rapports et des responsables des autres utilisateurs de votre organisation, au nom de l’utilisateur connecté. |
| Lire et modifier les profils complets de tous les utilisateurs | User.ReadWrite.All |
Permet à l’application de lire et de modifier l’ensemble complet des propriétés de profil, des rapports et des responsables des autres utilisateurs de votre organisation, au nom de l’utilisateur connecté. Permet également à l’application de créer et supprimer des utilisateurs ainsi que de réinitialiser les mots de passe des utilisateurs au nom de l’utilisateur connecté. |
| Lire et modifier l’accès au profil utilisateur | User.ReadWrite |
Permet à l’application de lire votre profil. Elle permet également à l’application de mettre à jour les informations de votre profil en votre nom. |
| Lire et modifier toutes les méthodes d’authentification des utilisateurs | UserAuthenticationMethod.ReadWrite.All |
Permet à l’application de lire et de modifier les méthodes d’authentification de tous les utilisateurs de votre organisation, sans utilisateur connecté. Les méthodes d’authentification incluent, par exemple, les numéros de téléphone d’un utilisateur et les paramètres de l’application Authenticator. |
| Accéder à l’annuaire en tant qu’utilisateur connecté | Directory.AccessAsUser.All |
Permet à l’application d’avoir le même accès aux informations de l’annuaire que l’utilisateur connecté. |
Autorisations d’annuaire et de groupe
| Autorisation | Scope | Ce qu’elle permet |
|---|---|---|
| Lire les données de l’annuaire | Directory.Read.All |
Permet à l’application de lire les données de l’annuaire de votre organisation, telles que les utilisateurs, groupes et applications, sans utilisateur connecté. |
| Lire et modifier les données de l’annuaire | Directory.ReadWrite.All |
Permet à l’application de lire et de modifier les données de l’annuaire de votre organisation, telles que les utilisateurs et groupes. Ne permet pas à l’application de supprimer des utilisateurs ou groupes, ni de réinitialiser les mots de passe des utilisateurs. |
| Lire et modifier tous les groupes | Group.ReadWrite.All |
Permet à l’application de créer des groupes, de lire toutes les propriétés et appartenances des groupes, de modifier les propriétés et appartenances des groupes, et de supprimer des groupes. Permet également à l’application de lire et modifier les conversations. Toutes ces opérations peuvent être effectuées par l’application sans utilisateur connecté. |
| Gérer les applications créées ou possédées par cette application | Application.ReadWrite.OwnedBy |
Permet à l’application de créer d’autres applications et de gérer entièrement ces applications (lecture, modification, mise à jour des secrets d’application et suppression), sans utilisateur connecté. Elle ne peut pas modifier d’autres applications dont elle n’est pas propriétaire. |
| Lire les informations de l’organisation | Organization.Read.All |
Permet à l’application de lire l’organisation et les ressources associées, sans utilisateur connecté. Les ressources associées incluent, par exemple, les licences souscrites et les informations de marque du tenant. |
Autorisations de messagerie et de calendrier
| Autorisation | Scope | Ce qu’elle permet |
|---|---|---|
| Lire les calendriers des utilisateurs | Calendars.Read |
Permet à l’application de lire les événements dans les calendriers des utilisateurs. |
| Lire et modifier les calendriers de toutes les boîtes aux lettres | Calendars.ReadWrite |
Permet à l’application de créer, lire, modifier et supprimer les événements de tous les calendriers sans utilisateur connecté. |
| Lire et modifier tous les paramètres de boîte aux lettres des utilisateurs | MailboxSettings.ReadWrite |
Permet à l’application de créer, lire, modifier et supprimer les paramètres de boîte aux lettres des utilisateurs sans utilisateur connecté. N’inclut pas l’autorisation d’envoyer des e-mails. |
| Lire et modifier les e-mails de toutes les boîtes aux lettres | Mail.ReadWrite |
Permet à l’application de créer, lire, modifier et supprimer les e-mails de toutes les boîtes aux lettres sans utilisateur connecté. N’inclut pas l’autorisation d’envoyer des e-mails. |
| Envoyer des e-mails en tant que n’importe quel utilisateur | Mail.Send |
Permet à l’application d’envoyer des e-mails en tant que n’importe quel utilisateur sans utilisateur connecté. |
| Maintenir l’accès aux données auxquelles vous lui avez donné accès | offline_access |
Permet à l’application de voir et de mettre à jour les données auxquelles vous lui avez donné accès, même lorsque les utilisateurs n’utilisent pas actuellement l’application. Cela ne donne aucune autorisation supplémentaire à l’application. |
Autorisations de fichiers et SharePoint
| Autorisation | Scope | Ce qu’elle permet |
|---|---|---|
| Avoir un accès complet à tous les fichiers accessibles par l’utilisateur | Files.ReadWrite.All |
Permet à l’application de lire, créer, modifier et supprimer tous les fichiers auxquels l’utilisateur connecté a accès. |
| Modifier ou supprimer des éléments dans toutes les collections de sites | Sites.ReadWrite.All |
Permet à l’application de modifier ou supprimer des documents et des éléments de liste dans toutes les collections de sites au nom de l’utilisateur connecté. |
| Avoir un contrôle total sur toutes les collections de sites | Sites.FullControl.All |
Permet à l’application de créer ou supprimer des bibliothèques de documents et des listes dans toutes les collections de sites sans utilisateur connecté. |
Autorisations de contacts
| Autorisation | Scope | Ce qu’elle permet |
|---|---|---|
| Avoir un accès complet aux contacts de l’utilisateur | Contacts.ReadWrite |
Permet à l’application de créer, lire, modifier et supprimer tous les contacts dans toutes les boîtes aux lettres sans utilisateur connecté. |
Autorisations de rapports et d’administration
| Autorisation | Scope | Ce qu’elle permet |
|---|---|---|
| Lire tous les rapports d’utilisation | Reports.Read.All |
Permet à une application de lire tous les rapports d’utilisation des services sans utilisateur connecté. Les services qui fournissent des rapports d’utilisation incluent Office 365 et Microsoft Entra ID. |
| Lire et modifier les paramètres des rapports d’administration | ReportSettings.ReadWrite.All |
Permet à l’application de lire et de modifier les paramètres des rapports d’administration, comme l’affichage ou non d’informations masquées dans les rapports, au nom de l’utilisateur connecté. |
| Lire tous les lieux de l’entreprise | Place.Read.All |
Permet à l’application de lire les lieux de l’entreprise (salles de réunion et listes de salles) pour les événements de calendrier et autres applications, sans utilisateur connecté. |
Autorisations d’appareils et de points de terminaison
| Autorisation | Scope | Ce qu’elle permet |
|---|---|---|
| Lire et modifier les appareils Microsoft Intune | DeviceManagementManagedDevices.ReadWrite.All |
Permet à l’application de lire et de modifier les propriétés des appareils gérés par Microsoft Intune, sans utilisateur connecté. N’autorise pas les opérations à fort impact telles que l’effacement à distance ou la réinitialisation du mot de passe du propriétaire de l’appareil. |
| Lire et modifier les Cloud PC | CloudPC.ReadWrite.All |
Permet à l’application de lire et de modifier les propriétés des Cloud PC, sans utilisateur connecté. |
