Qu'est-ce que c'est
Le connecteur Microsoft 365 de Ragindeed est une intégration hébergée qui permet à votre site d'accéder de manière sécurisée aux services Microsoft 365 (Outlook, SharePoint, OneDrive, Teams) via des autorisations déléguées par l'utilisateur. Ragindeed a complété le processus de vérification d'éditeur de Microsoft pour confirmer notre identité organisationnelle.
Le connecteur fonctionne comme un proxy sécurisé, et vos documents, e-mails et fichiers Microsoft 365 restent dans votre site. Le connecteur ne récupère les données que sur demande lors de requêtes actives. Les identifiants sont chiffrés et gérés par l'infrastructure Ragindeed.
Restriction d'accès
L'accès peut être entièrement restreint
Le connecteur fournit plusieurs couches de contrôle d'accès pour répondre à vos exigences de sécurité.
1. Contrôle au niveau de l'organisation
L'accès au connecteur nécessite un processus d'approbation en deux étapes. Tout d'abord, les propriétaires doivent explicitement activer le connecteur Microsoft 365 dans les paramètres d'organisation Ragindeed. Jusqu'à ce que cette approbation soit accordée, les utilisateurs n'ont aucun accès.
Deuxièmement, après que le propriétaire active le connecteur, un administrateur global Microsoft Entra doit effectuer l'authentification individuelle et accorder le consentement au nom de l'ensemble de l'organisation avant que les membres de l'équipe puissent se connecter.
2. Exigence de pré-consentement de l'administrateur Microsoft Entra
Avant que les utilisateurs puissent accéder au connecteur, un administrateur Microsoft Entra doit effectuer une configuration unique, qui :
- Ajoute les principaux de service dans Microsoft Entra ID pour les applications du connecteur Microsoft 365 Ragindeed
- Accorde le pré-consentement administrateur pour votre locataire Microsoft 365
- Restreint éventuellement les utilisateurs et groupes Microsoft Entra ID autorisés à utiliser le connecteur
- Restreint éventuellement les autorisations pour contrôler sélectivement les services Microsoft 365 accessibles
3. Révocation granulaire des autorisations
Vous pouvez désactiver sélectivement des capacités spécifiques via le centre d'administration Microsoft Entra :
| Pour restreindre | Action | Effet |
|---|---|---|
| Tous les accès | Désactiver le connecteur dans Ragindeed | Arrêt complet |
| SharePoint uniquement | Révoquer l'autorisation Sites.Read.All | Bloque SharePoint |
| Accès aux e-mails | Révoquer l'autorisation Mail.Read | Bloque Outlook |
| Chat Teams | Révoquer l'autorisation Chat.Read | Bloque Teams |
| Fichiers OneDrive | Révoquer Files.Read et/ou Files.Read.All | Bloque OneDrive |
4. Intégration de l'accès conditionnel Microsoft
Le connecteur prend entièrement en charge vos politiques Entra (Azure AD) existantes :
- Authentification multifacteur (MFA) : Appliquer l'authentification multifacteur
- Conformité des appareils : Exiger des appareils gérés/conformes
- Restrictions IP : Limiter l'accès au réseau d'entreprise ou au VPN
- Accès basé sur les groupes : Restreindre à des groupes de sécurité spécifiques
5. Autorisations au niveau de l'utilisateur
- Le connecteur utilise des autorisations déléguées
- Les utilisateurs ne peuvent accéder aux données Microsoft 365 pour lesquelles ils ont déjà la permission
- Les utilisateurs ne peuvent pas contourner les paramètres de partage SharePoint ou les autorisations de dossier
- Les utilisateurs ne peuvent pas accéder aux fichiers ou e-mails privés d'autres utilisateurs
- Les autorisations respectent intrinsèquement les politiques de prévention de la perte de données (DLP) Microsoft 365
Résumé de l'architecture de sécurité
Flux d'authentification
- OAuth 2.0 On-Behalf-Of (OBO) : Authentification déléguée conforme aux normes de l'industrie
- Protection PKCE : Prévention de l'interception du code d'autorisation
- Échange de jetons sécurisé : Aucun stockage d'identifiants utilisateur
- Stockage des jetons chiffré : Chiffrement lors de la mise en cache
Flux de données
- Les documents sont récupérés uniquement lors de requêtes actives
- Journalisation d'audit complète dans Microsoft 365
Isolation multi-locataire
- Les locataires Microsoft Entra sont séparés cryptographiquement
- L'isolation est appliquée par le biais de jetons d'accès signés numériquement
- Chaque utilisateur est lié cryptographiquement au locataire de son organisation
Capacités disponibles
Fonctionnalités actuelles (accès en lecture seule)
Le connecteur fournit un accès en lecture seule à :
| Outil | Description | Autorisation requise |
|---|---|---|
| sharepoint_search | Rechercher des documents et pages SharePoint | Sites.Read.All |
| sharepoint_folder_search | Trouver des dossiers SharePoint par nom | Sites.Read.All |
| outlook_email_search | Rechercher des e-mails avec filtres | Mail.Read |
| outlook_calendar_search | Rechercher des événements de calendrier | Calendars.Read |
| find_meeting_availability | Trouver les créneaux disponibles | Calendars.Read |
| chat_message_search | Rechercher des messages de chat Teams | Chat.Read |
| read_resource | Lire des fichiers, e-mails ou chats par URI | Variable |
Liste des autorisations
Autorisations de base
- User.Read - Se connecter et lire le profil utilisateur (exigence de base)
Autorisations de courrier
- Mail.Read - Lire le courrier de l'utilisateur
- Mail.ReadBasic - Lire les métadonnées du courrier
- Mail.Read.Shared - Lire le courrier partagé
Autorisations de calendrier
- Calendars.Read - Lire les calendriers et événements
- Calendars.Read.Shared - Lire les calendriers partagés
Autorisations de fichiers
- Files.Read - Lire les fichiers de l'utilisateur
- Files.Read.All - Lire tous les fichiers accessibles
Autorisations de sites
- Sites.Read.All - Lire les éléments dans toutes les collections de sites
Autorisations de chat
- Chat.Read - Lire les messages de chat Teams
- ChatMessage.Read - Lire les messages de chat spécifiques
Limitations actuelles
- Aucune capacité d'écriture : Impossible d'envoyer des e-mails, de planifier des réunions, de créer/modifier des documents
- Accès au niveau utilisateur uniquement : Pas d'accès avec principal de service
Questions fréquemment posées
Oui. Utilisez l'attribution d'applications Microsoft Entra pour restreindre l'accès à des utilisateurs ou groupes spécifiques pendant la phase de test, puis élargir progressivement.
Oui. Il est possible de brancher un lecteur avec un compte personnel qui sera accessible dans l'arborescence.
L'isolation multi-locataire assure une séparation complète. Chaque jeton contient l'ID de locataire validé cryptographiquement. L'accès entre locataires est impossible par conception.
Oui. Tous les appels API sont enregistrés dans le journal d'audit Microsoft 365 de votre organisation, accessible via le centre de conformité M365. Ragindeed enregistre également les événements d'authentification et d'exécution.
Plusieurs méthodes disponibles :
- Niveau administrateur : Désactivation globale dans Ragindeed
- Niveau autorisations : Révocation sélective dans Microsoft Entra
Pour activer le connecteur Microsoft 365 dans votre environnement Ragindeed, contactez notre équipe support à contact@ragindeed.com
Synchronisez vos documents depuis OneDrive, SharePoint ou Google Drive en quelques clics. Tester le connecteur gratuitement →