Application cloud Office 365

• Ajoutez votre domaine Workspace à Microsoft Office 365. Pour obtenir des instructions, consultez Ajouter un domaine à Microsoft 365.
• Installez PowerShell.

• Configurer ImmutableID : Office 365 identifie les utilisateurs de manière unique à l'aide de l'attribut ImmutableID. Pour que l'authentification unique fonctionne entre Google et Office 365, chaque utilisateur d'Office 365 doit posséder un ImmutableID, et l'attribut d'ID de nom SAML envoyé à Office 365 lors de l'authentification unique doit être le même que l'ImmutableID.

  L'ImmutableID d'un utilisateur Office 365 varie selon la façon dont le compte utilisateur est créé. Voici les scénarios les plus probables :

  • Aucun utilisateur n'est encore présent dans Office 365 : si vous configurez Google pour qu'il provisionne automatiquement les utilisateurs, vous n'avez pas à configurer l'attribut ImmutableID. Il correspond déjà par défaut à l'adresse e-mail de l'utilisateur (le nom d'utilisateur principal, ou UPN). Passez à l'étape 1.

  • Si des utilisateurs ont été créés dans la console d'administration Office 365, l'ImmutableID doit être vierge. Pour ces utilisateurs, définissez l'ImmutableID dans Office 365 à l'aide de la commande PowerShell Update-MgUser afin qu'il corresponde à l'UPN de l'utilisateur :

    Update-MgUser -UserPrincipalName testuser@your-company.com -OnPremisesImmutableId testuser@your-company.com

    Vous pouvez également mettre tous les comptes utilisateur à jour de manière groupée à l'aide de Update-MgUser. Pour connaître la procédure à suivre, consultez la documentation PowerShell.

  • Si des utilisateurs ont été créés via la synchronisation Microsoft Entra ID, l'ImmutableID est une version encodée de l'objectGUID Active Directory. Pour ces utilisateurs :
    1. Récupérez l'ImmutableID d'Entra ID à l'aide de PowerShell. Par exemple, pour récupérer l'ImmutableID pour tous les utilisateurs et l'exporter vers un fichier CSV :

       $exportUsers = Get-MgUser -All | Select-Object UserprincipalName, OnPremisesImmutableId | Export-Csv C:csvfile

    2. Créez un attribut personnalisé dans Google, puis insérez l'ImmutableID Office 365 de chaque utilisateur dans son profil. Pour en savoir plus, consultez Ajouter un attribut personnalisé et Mettre à jour un profil utilisateur. Vous pouvez également automatiser ce processus avec GAM (un outil de ligne de commande Open Source) ou les API de la console d'administration.

    Pour en savoir plus sur l'attribut ImmutableID, consultez la documentation Microsoft.

1. Dans la console d'administration Google, accédez à Menu  ApplicationsApplications Web et mobiles.

   Accéder aux applications Web et mobiles

   Pour cette tâche, vous devez être connecté en tant que super-administrateur.

2. Cliquez sur Ajouter une applicationRechercher des applications.
3. Dans le champ Saisissez le nom de l'application, saisissez Office 365.
4. Dans les résultats de recherche, pointez sur Microsoft Office 365 et cliquez sur Sélectionner.
5. Dans la fenêtre Informations sur le fournisseur d'identité Google, pour Option 2 : Copier l'URL SSO, l'ID d'entité et le certificat :
   1. À côté du champ URL SSO, cliquez sur Copier  et enregistrez l'URL.
   2. À côté de ID d'entité, cliquez sur Copier  et enregistrez l'ID d'entité.
   3. À côté de Certificat, cliquez sur Copier  et enregistrez le certificat.

      Vous aurez besoin de ces informations pour effectuer la configuration dans Office 365.

Laissez la console d'administration Google ouverte. Vous continuerez la configuration dans la console d'administration après avoir suivi les étapes de configuration dans l'application.

1. Ouvrez une fenêtre de navigation privée dans votre navigateur, accédez à la page de connexion à Office 365, puis connectez-vous avec votre compte administrateur Office 365.
2. À l'aide d'un éditeur de texte, créez des variables PowerShell à partir des données que vous avez copiées à l'étape 1. Voici les valeurs nécessaires pour chaque variable :

   Variable	Valeur
   $DomainName	"your-company.com"
   $FederationBrandName	"Google Cloud Identity" (ou toute valeur que vous choisirez)
   $Authentication	"Fédéré"
   $PassiveLogOnUrl $ActiveLogOnUri	"URL SSO" (depuis l'étape 1)
   $SigningCertificate	"Collez tout le certificat ici" (étape 1)*
   $IssuerURI	"ID d'entité" (depuis l'étape 1)
   $LogOffUri	"https://accounts.google.com/logout"
   $PreferredAuthenticationProtocol	"SAMLP"

   * Assurez-vous que la variable $SigningCertificate se trouve sur une seule ligne de texte. Dans le cas contraire, PowerShell renverra un message d'erreur.
3. À l'aide de la console PowerShell, exécutez la commande Update-MgDomain pour configurer votre domaine Active Directory afin qu'il soit fédéré. Pour connaître la procédure à suivre, consultez la documentation Microsoft PowerShell.
4. (Facultatif) Pour tester les paramètres de fédération, utilisez la commande PowerShell suivante :

   Get-MgDomainFederationConfiguration -DomainName your-company.com | Format-List *

Remarque : Si votre domaine est déjà fédéré et que vous devez changer la fédération pour Google, exécutez la commande suivante en utilisant les mêmes paramètres que ceux du tableau ci-dessus :
Update-MgDomainFederationConfiguration

1. Retournez à l'onglet de navigateur où la console d'administration est ouverte.
2. Cliquez sur Continuer.
3. Sur la page Détails relatifs au fournisseur de services :
   1. Cochez la case Réponse signée.
   2. Pour le champ Format de l'ID du nom, sélectionnez Persistant.
   3. Pour ID du nom, choisissez une option :
      • Si vous avez créé un attribut personnalisé pour ajouter l'ImmutableID Office 365 aux profils de vos utilisateurs, sélectionnez cet attribut.
      • Si vous n'avez pas créé d'attribut ImmutableID personnalisé, sélectionnez Informations de baseAdresse e-mail principale.
4. Cliquez sur Continuer.
5. Sur la page Mappage des attributs, cliquez sur Sélectionner un champ et associez les attributs d'annuaire Google suivants aux attributs Office 365 correspondants. L'attribut IDPEmail est obligatoire.

   Attribut d'annuaire Google	Attribut Office 365
   Informations générales > Adresse e-mail principale	IDPEmail*

6. (Facultatif) Pour ajouter d'autres mappages, cliquez sur Ajouter un mappage, puis sélectionnez les champs à mapper.
7. (Facultatif) Pour saisir des noms de groupes pertinents pour cette application :
   1. Dans le champ Appartenance à un groupe (facultatif), cliquez sur Rechercher un groupe, saisissez une ou plusieurs lettres du nom du groupe, puis sélectionnez-en un.
   2. Ajoutez des groupes si nécessaire (75 groupes au maximum).
   3. Sous Attribut de l'application, saisissez le nom d'attribut des groupes du fournisseur de services correspondant.

   Quel que soit le nombre de noms de groupes saisis, la réponse SAML inclut uniquement les groupes dont un utilisateur est membre (directement ou indirectement). Pour en savoir plus, consultez À propos du mappage des informations d'appartenance à un groupe.

8. Cliquez sur Terminer.

1. Dans la console d'administration Google, accédez à Menu  ApplicationsApplications Web et mobiles.

   Accéder aux applications Web et mobiles

   Pour cette tâche, vous devez être connecté en tant que super-administrateur.

2. Cliquez sur Office 365.
3. Cliquez sur Accès des utilisateurs.

4. Pour activer ou désactiver un service pour tous les membres de votre organisation, cliquez sur Activé pour tous ou sur Désactivé pour tous, puis sur Enregistrer.

5. (Facultatif) Pour activer ou désactiver un service pour une unité organisationnelle :

   1. Sur la gauche, sélectionnez l'unité organisationnelle.
   2. Pour modifier l'état du service, sélectionnez Activé ou Désactivé.
   3. Choisissez une option :
      • Si l'état du service est défini sur Hérité et que vous souhaitez conserver le paramètre mis à jour, même si le paramètre parent est modifié, cliquez sur Remplacer.
      • Si l'état du service est défini sur Remplacé, cliquez sur Hériter pour rétablir le paramètre parent, ou cliquez sur Enregistrer pour conserver le nouveau paramètre, même si le paramètre parent est modifié.
        En savoir plus sur la structure organisationnelle
6. (Facultatif) Pour activer un service pour un ensemble d'utilisateurs dans une ou plusieurs unités organisationnelles, sélectionnez un groupe d'accès. Pour en savoir plus, consultez Personnaliser l'accès aux services à l'aide de groupes d'accès.
7. Vérifiez que les domaines de messagerie des comptes utilisateur Office 365 correspondent au domaine principal du compte Google géré de votre organisation.

Office 365 est compatible à la fois avec l'authentification unique initiée par le fournisseur d'identité et celle initiée par le fournisseur de services.

Vérifier l'authentification unique initiée par le fournisseur d'identité

1. Dans la console d'administration Google, accédez à Menu  ApplicationsApplications Web et mobiles.

   Accéder aux applications Web et mobiles

   Pour cette tâche, vous devez être connecté en tant que super-administrateur.

2. Cliquez sur Office 365.
3. Dans la section Office 365, cliquez sur Tester la connexion SAML.

   L'application s'ouvre dans un onglet distinct. Si ce n'est pas le cas, corrigez le message d'erreur, puis réessayez. Pour savoir comment résoudre les problèmes, consultez Messages d'erreur liés aux applications SAML.

Vérifier l'authentification unique initiée par le fournisseur de services

1. Fermez toutes les fenêtres du navigateur.
2. Accédez à la page de connexion à Office 365, puis connectez-vous avec votre compte administrateur Office 365.
   Vous devriez être automatiquement redirigé vers la page de connexion Google.
3. Sélectionnez votre compte et saisissez votre mot de passe.

Une fois vos identifiants authentifiés, l'application doit s'ouvrir.

En tant que super-administrateur, vous pouvez provisionner automatiquement les utilisateurs dans l'application. Pour en savoir plus, consultez Configurer le provisionnement des utilisateurs pour Office 365.