Limiter l'accès de l'application Promodag au contenu de certaines boîtes aux lettres

Si vous utilisez l'authentification par certificat à Office 365, l'autorisation full_access_as_app accorde par défaut à l'application Promodag Reports publiée dans Microsoft Intra ID l'accès à toutes les boîtes aux lettres du tenant Office 365. Vous pouvez limiter ce périmètre à un groupe de boîte aux lettres en suivant ce mode opératoire.

Créer un groupe de sécurité à extension messagerie

La première étape consiste à créer un groupe de sécurité à extension messagerie (mail-enabled security group) dans le centre d'administration Microsoft 365.
On y ajoutera en tant que membres toutes les boîtes aux lettres devant être analysées par les rapports de contenu de Promodag Reports.

Créer une nouvelle stratégie d'accès à l'application

Ensuite, créez une stratégie d'accès à l'application Promodag Reports au moyen de cette commande, qui utilise l'application ID et l'adresse email du groupe :

New-ApplicationAccessPolicy -AppId <application ID> -PolicyScopeGroupId <adresse email du groupe> -AccessRight RestrictAccess -Description "Limite l’accès de l’application Promodag aux membres du groupe xxx."

L'application ID est visible dans Promodag Reports, dans l'onglet Configuration Office 365 de Outils > Options.

On testera pour finir que la stratégie est bien appliquée avec cette commande, qui portera sur une boîte aux lettres ne faisant pas partie du groupe de sécurité :

Test-ApplicationAccessPolicy -Identity <adresse email de la boîte aux lettres> -AppId <application ID>

Note : les modifications apportées aux stratégies d'accès aux applications peuvent prendre plus d'une heure à être prises en compte, même si le test donne des résultats positifs.

Article lié: Configurer l'authentification par certificat à Office 365