Contexte

Lorsqu’un collaborateur souhaite accéder à une application web avec son compte, une demande de consentement est alors faite aux administrateurs afin de valider que l’application ne demande pas trop de permissions de lecture sur le compte de l’utilisateur.

La demande prend cette forme :

Puis il est précisé à l’utilisateur que la demande a été transférée à un administrateur.

Les paramètres de configuration du tenant font que cette demande est ensuite transmise à la boite mail azureconsentement@xxx.com

Vous pouvez le vérifier en allant dans le portail Entra, puis Entreprise applications > Consent and permissions > Admin consent settings

Consent and permissions – Microsoft Azure

Pour que la personne soit alertée que sa demande doit faire l’objet d’un ticket, nous avons mis en place une Logic App dans le but de prévenir la personne que sans cette demande de ticket, sa demande ne sera pas traitée.

Fonctionnement de l’application

L’application utilise la boite mail partagée « azureconsentement@xxx.com » pour recevoir les mails provenant d’Azure mais également pour envoyer aux utilisateurs.

Le déclencheur de la Logic-app est la réception dans la boite mail partagée « azureconsentement@xxx.com » d’un mail contenant l’objet : « Examinez la demande de consentement » et provenant de azure-noreply@microsoft.com.

 Le scan de la boite à lieu toutes les 3 minutes.

Les étapes suivantes découpent le mail de l’utilisateur à l’origine de la demande présent dans le corps du mail afin de l’ajouter dans une variable permettant d’envoyer un mail type depuis la boite azureconsentement@xxx.com.

Voici la configuration du mail envoyé aux utilisateurs pour faire valider leur demande :

Le collaborateur recevra donc 2 mails, un premier pour l’avertir que sa demande d’accès a bien été reçue, puis un second pour le prévenir qu’il doit faire un ticket