Approvisionner les utilisateurs sur Office 365

Vous pouvez créer, mettre à jour, synchroniser et annuler l'approvisionnement des utilisateurs dans Office 365 depuis votre org Okta. Vous pouvez importer des utilisateurs dans Okta à partir de différents répertoires sources et les approvisionner dans Office 365 à l'aide de mappages de profil.

Avant de commencer

Terminez Configurer l'authentification unique pour Office 365.
Importer des utilisateurs dans Okta : vous pouvez importer des utilisateurs à partir d'un service d'annuaire comme Active Directory (AD) ou d'une autre application comme Salesforce Actuellement, Okta ne prend pas en charge les importations qui prennent plus de deux heures. Contactez le support si vous avez ce type d'importation. Vous pouvez également créer des utilisateurs directement dans Okta. Consultez les sections suivantes pour plus d'informations :
Choisissez le type d'approvisionnement en fonction de vos besoins en matière d'approvisionnement. Consultez Options d'approvisionnement pour Office 365.
Assurez-vous que vous disposez d'un compte administrateur général dans Microsoft et d'un compte administrateur d'applications dans le locataire Okta.

Démarrer la procédure

Pour approvisionner les utilisateurs dans Office 365, vous devez effectuer les tâches suivantes dans l'ordre :

Configurer Okta pour l'approvisionnement Office 365
Mapper les attributs de profil Okta → Office 365
Tester l'approvisionnement

Configurer Okta pour l'approvisionnement de Office 365

Vous pouvez automatiser les opérations d'approvisionnement en activant l'intégration d'API, en obtenant le consentement administrateur pour l'importation d'utilisateurs et en configurant les paramètres des étapes du cycle de vie utilisateur.

Activer l'intégration d'API

Office 365 exige votre accord pour effectuer l'authentification auprès de l'API Microsoft Cela permet à Okta dactiver l'approvisionnement dans les applications Office 365

Accédez à Office 365 > Approvisionnement > Intégration > Configurer l'intégration d'API.
Cochez la case Activer l'intégration d'API.
Cliquez sur S'authentifier avec Microsoft Office 365 pour donner votre accord. Vous êtes redirigé(e) vers la page de connexion Microsoft Azure.
Cliquez sur Accepter. Après avoir accepté les portées dans le portail Microsoft Azure, vous serez redirigé vers Okta.

Sélectionnez le type d'approvisionnement et les paramètres

Les options d'approvisionnement dépendent du type approvisionnement que vous sélectionnez. Synchronisation du profil est sélectionné par défaut.

Accédez à Office 365 > Approvisionnement > Application > Modifier.
Sélectionnez Type d'approvisionnement Office 365.

Vous pouvez changer le type d'approvisionnement de Synchronisation du profil en Gestion des licences et des rôles uniquement, Universel ou Synchronisation de l'utilisateur. Consultez Types d'approvisionnement pour Office 365.

Pour Synchronisation universelle uniquement : sélectionnez Envoyer le profil complet, les contacts et les salles de conférence de ces instances AD si vous souhaitez synchroniser les groupes et les ressources Active Directory.

Remarque :
Un compte de service est créé dans Azure Active Directory avec le format de nom d'utilisateur svc_OKTA_sync_{appId}. Ceci s'applique uniquement aux types approvisionnement Synchronisation de l'utilisateur et Synchronisation universelle . Ne supprimez pas et ne modifiez pas ce compte. Le compte de service ne doit pas utiliser MFA et doit être exclu de toutes les politiques d'accès conditionnel Microsoft Entra ID.
Facultatif. Activer l'approvisionnement Synchronisation de l'utilisateur ou Synchronisation universelle sans informations d'identification peut entraîner une erreur en cas de permissions insuffisantes. Pour la corriger, suivez ces étapes dans PowerShell.
1. Installer les modules Microsoft PowerShell Graph v1.0 et bêta.
  
  Install-Module Microsoft.Graph -Force
  
  Install-Module Microsoft.Graph.Beta -AllowClobber -Force
2. Connectez-vous au compte Microsoft Administrateur d'identité hybride.
  
  Connect-MgGraph -scopes "Organization.ReadWrite.All,Directory.ReadWrite.All"
3. Vérifiez le statut du type de synchronisation DirSync.
  
  Get-MgOrganization | Select OnPremisesSyncEnabled
4. Stockez l' identifiant de tenant dans une variable nommée organizationId.
  
  $organizationId = (Get-MgOrganization).Id
5. Stockez la valeur mise à jour pour l'attribut DirSyncEnabled .
  
  $params = @{onPremisesSyncEnabled = $true}
6. Procédez à la mise à jour.
  
  Update-MgOrganization -OrganizationId $organizatnnnnionId -BodyParameter $params
7. Vérifiez la commande.
  
  Get-MgOrganization | Select OnPremisesSyncEnabled
Activez Créer des utilisateurs pour créer ou associer un utilisateur dans Microsoft Office 365 lorsque vous affectez l'app à un utilisateur dans Okta.
Remarque :
Cette option n'est pas disponible si le type d'approvisionnement est défini sur Gestion des licences et des rôles uniquement.
Activez Mettre à jour les attributs d'utilisateur pour mettre à jour les attributs utilisateur dans Microsoft Office 365 lorsque vous affectez l'application à un utilisateur dans Okta.
Gérez la permission d'approvisionnement pour les actions de création et de mise à jour.
Activez ou désactivez les autres paramètres d'approvisionnement. Consultez Débuter avec l'approvisionnement et l'annulation de l'approvisionnement d'Office 365.
Cliquez sur Enregistrer.
Remarque :
Vérifiez votre portée d'approvisionnement avant d'enregistrer. L'enregistrement de vos paramètres déclenche une synchronisation immédiate. En fonction de la permission sélectionnée, Okta envoie les attributs, les licences et les rôles utilisateur à Microsoft Entra ID pour tous les utilisateurs affectés à l'app.

Remarque :

Chaque utilisateur approvisionné pour Office 365 possède un attribut, StsRefreshTokensValidFromqui est une date qui invalide les sessions utilisateur et les jetons d'actualisation existants lorsque l'utilisateur change son mot de passe, ce qui nécessite une reconnexion à l'application. Cet attribut est automatiquement calculé et complété en fonction du type d'approvisionnement.

Licence uniquement ou Synchronisation du profil : l'attribut StsRefreshTokensValidFrom est défini sur la date et l'heure actuelles lorsque l'utilisateur modifie son mot de passe dans Okta.
Synchronisation de l'utilisateur ou Synchronisation universelle : si l'utilisateur est lié à partir d'Active Directory, l'attribut StsRefreshTokensValidFrom est défini sur l'attribut pwdLastSet dans Active Directory. Pour les autres utilisateurs, l'attribut StsRefreshTokensValidFrom est défini sur la date et l'heure à laquelle l'utilisateur modifie son mot de passe dans Okta.

Gérer la permission d'approvisionnement pour les actions de création et de mise à jour

Remarque :

Cette section est visible uniquement si vous activez Créer des utilisateurs ou Mettre à jour les attributs d'utilisateur.

Sélectionnez le niveau des données utilisateur qu'Okta gère dans Microsoft Office 365 :

Attributs utilisateur, licences et rôles : sélectionnez cette option pour gérer les attributs, les licences et les rôles. Il s'agit de l'option par défaut.
Attributs utilisateur uniquement : sélectionnez cette option pour gérer uniquement les attributs utilisateur.
Remarque :
L'option Attributs utilisateur uniquement n'est pas disponible si Gestion des droits est activé ou si le type d'approvisionnement est défini sur Gestion des licences et des rôles uniquement.

Mapper des attributs de profil Okta vers Office 365

Le format du nom d'utilisateur peut varier en fonction de la source de vos utilisateurs. Pour que les utilisateurs puissent se connecter à Office 365, leur nom d'utilisateur Office 365 doit être une adresse e-mail pour le domaine que vous fédérez (username@yourfederated.domain).

Remarque :

Vous devez remapper les attributs chaque fois que vous apportez des modifications aux paramètres d'approvisionnement.

Mappage du nom d'utilisateur inchangé

Si le nom de vos utilisateurs est déjà une adresse e-mail pour le domaine que vous fédérez (username@yourfederated.domain), vous pouvez mapper l'adresse e-mail telle quelle.

Accédéez à Authentification Office 365 > Modifier.
Dans Détails des informations d'identification > Format du nom d'utilisateur de l'application , sélectionnez E-mail.
Cliquez Enregistrer.

Mapper le nom d'utilisateur personnalisé

Si vos utilisateurs sont sourcés depuis différents répertoires ou différentes applications, il est possible que leur nom d'utilisateur change. Vous pouvez utiliser le Langage d'expression Okta pour personnaliser le nom d'utilisateur qui sera transmis à Office 365.

Accédez à Office 365 > Authentification > Modifier.
Dans Détails des identifiants > Format du nom d'utilisateur de l'application, sélectionnez Personnalisé.
Saisissez cette expression dans la zone de texte à disposition :
String.substringBefore(user.email, "@") + "@yourfederated.domain"
Remplacez yourfederated.domain par le domaine que vous fédérez.
Saisissez un utilisateur Okta dans la zone Prévisualiser pour vérifier le résultat du mappage.
Le nom d'utilisateur obtenu doit être identique à celui de l'utilisateur dans Office 365.
Cliquez Enregistrer.

Mapper une adresse e-mail

Si les adresses e-mail de vos utilisateurs ne résident pas dans le domaine que vous fédérez, vous pouvez utiliser le Okta Expression Language pour personnaliser l'adresse e-mail qui sera transmise à Office 365

Prérequis

Vous devez sélectionner Synchronisation de l'utilisateur ou Synchronisation universelle comme type d'approvisionnement. Consultez Options d'approvisionnement pour Office 365.

Accédez à Répertoire > Éditeur de profil > Mappages de Microsoft Office 365 > Okta vers Microsoft Office 365.
Dans le champ source.email, saisissez l'expression : String.substringBefore(user.email, "@") + "@yourfederated.domain"
Remplacez yourfederated.domain par le domaine que vous fédérez.
Saisissez un utilisateur Okta dans la zone Aperçu pour vérifier le résultat du mappage.
L'adresse e-mail qui en résulte doit correspondre à l'adresse e-mail Office 365 de l'utilisateur.
Quittez Prévisualiser et enregistrez les mappages.
Cliquez sur Appliquer les mises à jour maintenant.

Tester l'approvisionnement

Assurez-vous d'avoir bien configuré l'approvisionnement en affectant Office 365 aux utilisateurs de test dans Okta et en vérifiant qu'ils apparaissent dans votre locataire Microsoft. Assurez-vous d'avoir sélectionné l'option Créer des utilisateurs dans Approvisionnement.

Dans Okta :

Ouvrez l'onglet Affectation dans l'application Microsoft Office 365.
Cliquez sur Affecter.
Affecter les licences Office 365 adéquates aux utilisateurs de test.
Cliquez sur Terminé.

Dans le Centre d'administration Microsoft :

Ouvrez la liste des utilisateurs actifs.
Assurez-vous que tous les utilisateurs de test apparaissent dans la liste avec les licences adéquates.

Dans Okta :

Connectez-vous à Okta en tant qu'utilisateur de test.
Assurez-vous que toutes les applications Office 365 apparaissent sur le Dashboard de l'utilisateur.

Remarque :

Si vous avez choisi Synchronisation de l'utilisateur ou Synchronisation universelle comme type d'approvisionnement, tous les utilisateurs, quelle que soit l'origine de leur profil, apparaissent comme étant synchronisés avec Active Directory dans le locataire Office 365. Cependant, les utilisateurs individuels sont toujours sourcés depuis leurs annuaires respectifs.

Étape suivante

Affecter Office 365 aux utilisateurs et aux groupes