Approvisionner les utilisateurs sur Office 365

Vous pouvez créer, mettre à jour, synchroniser et annuler l'approvisionnement des utilisateurs dans Office 365 depuis votre org Okta. Vous pouvez importer des utilisateurs dans Okta à partir de différents répertoires sources et les approvisionner dans Office 365 à l'aide de mappages de profil.

Avant de commencer

Terminez cette étape : Configurer l'authentification unique pour Office 365.
Importer des utilisateurs dans Okta) : vous pouvez importer des utilisateurs à partir d'un répertoire comme Active Directory (AD) ou d'une application comme Salesforce. Actuellement, Okta ne prend pas en charge les importations qui prennent plus de deux heures. Contactez le support si vous disposez de ce type d'importation. Vous pouvez également créer des utilisateurs directement dans Okta. Consultez les sections suivantes pour plus d'informations :
Choisissez le type d'approvisionnement en fonction de vos besoins en matière d'approvisionnement. Consultez Options d'approvisionnement pour Office 365.
Assurez-vous que vous disposez d'un compte administrateur général dans Microsoft et d'un compte administrateur d'applications dans le locataire Okta.

Commencer la procédure

Pour approvisionner les utilisateurs dans Office 365, vous devez effectuer les tâches suivantes dans l'ordre :

Configurer Okta pour l'approvisionnement Office 365
Mapper les attributs de profil Okta avec Office 365
Tester l'approvisionnement

Configurer Okta pour l'approvisionnement Office 365

Vous pouvez automatiser les opérations d'approvisionnement en activant l'intégration d'API, en obtenant le consentement administrateur pour l'importation d'utilisateurs et en configurant les paramètres des étapes du cycle de vie utilisateur.

Activer l'intégration d'API

Office 365 exige votre accord pour effectuer l'authentification auprès de l'API Microsoft Cela permet à Okta dactiver l'approvisionnement dans les applications Office 365.

Accédez à Office 365ApprovisionnementIntégrationConfigurer l'intégration d'API.
Cochez la case Activer l'intégration d'API.
Cliquez sur S'authentifier avec Microsoft Office 365 pour donner votre accord. Vous êtes redirigé(e) vers la page de connexion Microsoft Azure.
Cliquez sur Accepter. Après avoir accepté les portées dans le portail Microsoft Azure, vous serez redirigé vers Okta.

Sélectionnez le type d'approvisionnement et les paramètres

Les options d'approvisionnement dépendent du type approvisionnement que vous sélectionnez. Synchronisation du profil est sélectionné par défaut.

Accédez à Office 365ApprovisionnementDans l'applicationModifier.
Sélectionnez Type d'approvisionnement Office 365.

Vous pouvez changer le type d'approvisionnement Synchronisation du profil en Gestion des licences et des rôles, Universel ou Synchronisation de l'utilisateur. Consultez Options d'approvisionnement pour Office 365.

Pour Synchronisation universelle uniquement : sélectionnez Envoyer le profil complet, les contacts et les salles de conférence de ces instances AD si vous souhaitez synchroniser les groupes et les ressources Active Directory.

Un compte de service est créé dans Azure Active Directory avec le format de nom d'utilisateur svc_OKTA_sync_{appId}. Ceci s'applique uniquement aux types approvisionnement Synchronisation de l'utilisateur et Synchronisation universelle . Ne supprimez pas et ne modifiez pas ce compte. Le compte de service ne doit pas utiliser MFA et doit être exclu de toutes les politiques d'accès conditionnel ID Microsoft Entra.
Facultatif. Activer l'approvisionnement Synchronisation de l'utilisateur ou Synchronisation universelle sans informations d'identification peut entraîner une erreur en cas de permissions insuffisantes. Pour la corriger, suivez ces étapes dans PowerShell.
1. Installer les modules Microsoft PowerShell Graph v1.0 et bêta.
  Install-Module Microsoft.Graph -Force
  Install-Module Microsoft.Graph.Beta -AllowClobber -Force
2. Connectez-vous au compte Microsoft Administrateur d'identité hybride.
  Connect-MgGraph - portées "Organization.ReadWrite.All, Directory.ReadWrite.All"
3. Vérifiez le statut du type de synchronisation DirSync.
  Get-MgOrganization | Sélectionnez OnPremisesSyncEnabled
4. Stockez l' identifiant de tenant dans une variable nommée organizationId.
  $organizationId = (Get-MgOrganization).Id
5. Stockez la valeur mise à jour pour l'attribut DirSyncEnabled .
  $params = @{onPremisesSyncEnabled = $true}
6. Procédez à la mise à jour.
  Update-MgOrganization -OrganizationId $organizetnnonId -BodyParameter $params
7. Vérifiez la commande.
  Get-MgOrganization | Sélectionnez OnPremisesSyncEnabled
Activez ou désactivez les autres paramètres d'approvisionnement. Consultez Débuter avec l'approvisionnement et l'annulation de l'approvisionnement d'Office 365.
Cliquez sur Enregistrer.

Chaque utilisateur approvisionné pour Office 365 possède un attribut, StsRefreshTokensValidFromqui est une date qui invalide les sessions utilisateur et les jetons d'actualisation existants lorsque l'utilisateur change son mot de passe, ce qui nécessite une reconnexion à l'application. Cet attribut est automatiquement calculé et complété en fonction du type d'approvisionnement.

Licence uniquement ou Synchronisation du profil : l'attribut StsRefreshTokensValidFrom est défini sur la date et l'heure actuelles lorsque l'utilisateur modifie son mot de passe dans Okta.
Synchronisation de l'utilisateur ou Synchronisation universelle : si l'utilisateur est lié à partir d'Active Directory (AD), l'attribut StsRefreshTokensValidFrom est défini sur l'attribut pwdLastSet dans Active Directory. Pour les autres utilisateurs, l'attribut StsRefreshTokensValidFrom est défini sur la date et l'heure à laquelle l'utilisateur modifie son mot de passe dans Okta.

Mapper les attributs de profil Okta avec Office 365

Le format du nom d'utilisateur peut varier en fonction de la source de vos utilisateurs. Pour que les utilisateurs puissent se connecter à Office 365, leur nom d'utilisateur Office 365 doit être une adresse e-mail pour le domaine que vous fédérez (username@yourfederated.domain).

Vous devez remapper les attributs chaque fois que vous apportez des modifications aux paramètres d'approvisionnement.

Mappage du nom d'utilisateur inchangé

Si le nom de vos utilisateurs est déjà une adresse e-mail pour le domaine que vous fédérez (username@yourfederated.domain), vous pouvez mapper l'adresse e-mail telle quelle.

Rendez-vous dans Authentification Office 365Modifier.
Dans Détails des identifiantsFormat du nom d'utilisateur de l'application, sélectionnez E-mail.
Cliquez sur Enregistrer.

Mapper le nom d'utilisateur personnalisé

Si vos utilisateurs sont sourcés depuis différents répertoires ou différentes applications, il est possible que leur nom d'utilisateur change. Vous pouvez utiliser le Okta Expression Language pour personnaliser le nom d'utilisateur qui sera transmis à Office 365.

Accédez à AuthentificationOffice 365Modifier.
Dans Détails des identifiantsFormat du nom d'utilisateur de l'application, sélectionnez Personnalisé.
Saisissez cette expression dans la zone de texte à disposition :
String.substringBefore(user.email, "@") + "@yourfederated.domain"
Remplacez yourfederated.domain par le domaine que vous fédérez.
Saisissez un utilisateur Okta dans la zone Prévisualiser pour vérifier le résultat du mappage.
Le nom d'utilisateur obtenu doit être identique à celui de l'utilisateur dans Office 365.
Cliquez sur Enregistrer.

Mapper une adresse e-mail

Si les adresses e-mail de vos utilisateurs ne résident pas dans le domaine que vous fédérez, vous pouvez utiliser le Okta Expression Language pour personnaliser l'adresse e-mail qui sera transmise à Office 365.

Prérequis

Vous devez sélectionner Synchronisation de l'utilisateur ou Synchronisation universelle comme type d'approvisionnement. Consultez Options d'approvisionnement pour Office 365.

Accédez à DirectoryProfile EditorMappages de Microsoft Office 365Utilisateur Okta vers Microsoft Office 365.
Dans le champ source.email, saisissez l'expression suivante :
String.substringBefore(user.email, "@") + "@yourfederated.domain"
Remplacez yourfederated.domain par le domaine que vous fédérez.
Saisissez un utilisateur Okta dans la zone Aperçu pour vérifier le résultat du mappage.
L'adresse e-mail qui en résulte doit correspondre à l'adresse e-mail Office 365 de l'utilisateur.
Quittez Prévisualiser et enregistrez les mappages.
Cliquez sur Appliquer les mises à jour maintenant.

Tester l'approvisionnement

Assurez-vous d'avoir bien configuré l'approvisionnement en affectant Office 365 aux utilisateurs de test dans Okta et en vérifiant qu'ils apparaissent dans votre locataire Microsoft. Assurez-vous d'avoir sélectionné l'option Créer des utilisateurs dans Approvisionnement.

Dans Okta :

Ouvrez l'onglet Affectation dans l'application Microsoft Office 365.
Cliquez sur Affecter.
Affecter les licences Office 365 adéquates aux utilisateurs de test.
Cliquez sur Terminé.

Dans le Centre d'administration Microsoft :

Ouvrez la liste des utilisateurs actifs.
Assurez-vous que tous les utilisateurs de test apparaissent dans la liste avec les licences adéquates.

Dans Okta :

Connectez-vous à Okta en tant qu'utilisateur de test.
Assurez-vous que toutes les applications Office 365 apparaissent sur le Dashboard de l'utilisateur.

Si vous avez choisi Synchronisation de l'utilisateur ou Synchronisation universelle comme type d'approvisionnement, tous les utilisateurs, quelle que soit l'origine de leur profil, apparaissent comme étant synchronisés avec Active Directory dans le locataire Office 365. Cependant, les utilisateurs individuels sont toujours sourcés depuis leurs annuaires respectifs.

Prochaine étape

Affecter Office 365 aux utilisateurs et aux groupes