Résumé
Pour que l'intégration d'Office Protect se fasse en toute simplicité, les clients doivent s'assurer que leur organisation M365 est correctement préparée pour permettre à l'application de fonctionner.
Lors d’intégration d’Office Protect, trois problèmes peuvent survenir :
- Authentification multifacteur
- Problèmes de licences
- Utilisateurs de fédération Azure AD
Authentification multifacteur
Activer l’authentification multifacteur empêche Secmon de se connecter à Msol. Les politiques d’accès conditionnel peuvent être configurées de façon à activer l’authentification multifacteur pour chaque nouvel utilisateur respectant certaines conditions.
Deux types de politiques d’accès conditionnels peuvent poser problème :
Les politiques d’accès conditionnels qui activent l’authentification multifacteur pour les utilisateurs (pour tous les utilisateurs ou les administrateurs)
Les politiques d’accès conditionnels qui requièrent l’authentification multifacteur à l’extérieur des emplacements approuvés
Remarque : activer les paramètres de sécurité par défaut n’empêchera pas Secmon de se connecter
Résolution
Dans le cas de politiques d'accès conditionnels qui activent l’authentification multifacteur : créez une règle d'exclusion dans la politique pour permettre à Secmon de se connecter sans authentification multifacteur.
- Pour ce faire, accédez au Centre d'administration Azure Active Directory https://aad.portal.azure.com/
- Cliquez sur « Azure Active Directory », puis sur « Sécurité »
- Sélectionnez Accès conditionnel
- À l'intérieur de la politique, sélectionnez Utilisateurs spécifiques inclus, et l'onglet Exclure
- Cochez la boîte Utilisateurs et groupes
- Sélectionnez Secmon, puis Enregistrer
- Ajoutez l'adresse IP de Sherweb à vos emplacements approuvés : https://helpdesk.sherweb.com/fr/support/solutions/articles/67000660197-comment-configurer-des-adresses-ip-approuv%C3%A9es-pour-office-protect
Licence Microsoft 365
Si vous organisation a aucune licence, Office Protect ne pourra pas se connecter à Exchange ou aux services Microsoft 365 et ne sera donc pas en mesure de fonctionner.
Si l’organisation vient juste d’être créée, Microsoft peut prendre un certain temps – parfois jusqu’à 3 jours – pour la détecter et en autoriser les activités. Votre paramétrage est bloqué sur « Start Feed Subscription » et votre organisation est nouvelle? Attendez quelques jours pour que la connexion se fasse.
Utilisateurs de fédération Azure AD
Si les utilisateurs de votre organisation sont fédérés dans l’Active Directory, la création d’utilisateurs requiert « onPremiseImmutableID ». Puisque nous ne pouvons pas attribuer de valeur à ce champ, vous devez autoriser la création d'un utilisateur non fédéré pour que Secmon soit un utilisateur Azure AD.
onPremisesImmutableId : « Cette propriété permet d’associer un compte d’utilisateur Active Directory sur site à son objet utilisateur Azure AD. Cette propriété doit être spécifiée lors de la création d’un compte d’utilisateur dans graph si vous utilisez un domaine fédéré pour la propriété userPrincipalName (UPN) de l’utilisateur. » https://learn.microsoft.com/fr-fr/graph/api/resources/user?view=graph-rest-1.0
Si possible, migrez vers ADFS à partir d’un modèle d’authentification Pass-through. Sinon, Office Protect ne sera pas en mesure de créer Secmon, nécessaire pour compléter la configuration.