Microsoft Entra : Comment automatiser les tâches de Microsoft 365 et AzureAD avec PowerShell en activant l'authentification sans mot de passe ?

Mise à jour le 25 avril 2024

Dans le milieu professionnel, de plus en plus de services Microsoft sont externalisés vers leurs solutions cloud internes : Microsoft365/Azure/Entra. Cela peut sembler indigeste, mais c'est un fait. L'utilisation de PowerShell pour administrer ces services est presque obligatoire, et pour ouvrir une console d'administration powershell il faut généralement s'authentifier avec un identifiant, un mot de passe et également le logiciel microsoft authenticator. Mais comment exécuter des scripts qui doivent être lancés automatiquement et nécessiteront donc une authentification sans aucune interaction humaine? Eh bien, c'est exactement ce que je vais expliquer dans cet article : comment s'authentifier à ExchangeOnlineManagement et AzureAD avec PowerShell sans mot de passe!

Prérequis

Prérequis :
- .Net : 4.7.2
- Tls : 1.2

Il faudra s'assurer que l'on dispose d'une version de .Net au moins égale à 4.7.2 et de Tls en version 1.2. Par exemple, à partir d'un serveur Windows 2016, j'ai dû mettre à jour ma version de .Net et activer Tls à 1.2.

Afficher la version actuelle de Tls :

PS C:\> [Net.ServicePointManager]::SecurityProtocol
Ssl3, Tls

Définir la version Tls en 1.2 pour le contexte actuel de la session :

PS C:\> [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
PS C:\> [Net.ServicePointManager]::SecurityProtocol
Tls12

Création d'un certificat auto-signé

Nous aurons besoin d'un certificat comme moyen d'authentification pour nos scripts. Nous allons donc en créer un nouveau sur la machine sur laquelle nous souhaitons lancer nos scripts.

Depuis une console PowerShell ouverte avec les droits administrateur, créer un certificat auto-signé, ici valable pour une durée de 10 ans dans le magasin Ordinateur Local\Personnel :

PS C:\> $cert = New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -NotAfter (Get-Date).AddYears(10) -Subject "CN=Office365Automation" -KeySpec KeyExchange

Utiliser la commande certlm.msc pour ouvrir la console de Gestion de certificats et vérifier la présence du certificat précédement créé :

Exporter le certificat auto-signé vers le fichier mycert.cer dans C:\ :

PS C:\> $cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Subject -eq "CN=Office365Automation" } PS C:\> Export-Certificate -Cert $cert -FilePath "C:\mycert.cer"

Microsoft Entra

Se connecter depuis l'adresse https://entra.microsoft.com, au portail Microsoft Entra avec un compte administrateur :

Inscription de l'application

Chercher le terme inscription d'applications dans la barre de recherche :

Cliquer sur Nouvelle inscription:

Microsoft Entra, menu Inscription d'applications avec nouvelle inscription encadré en rouge

Entrer un Nom, choisir Locataire unique et cliquer sur S'inscrire :

Microsoft Entra, menu Inscrire une application

Aller dans le menu API autorisées et cliquer sur Ajouter une autorisation :

Microsoft Entra, menu API autorisées avec ajouter une autorisation entouré en rouge

Depuis l'onglet API utilisées par mon organisation, rechercher le terme Office 365 Exchange (ou directement l'id: 00000002-0000-0ff1-ce00-000000000000) et cliquer sur Office 365 Exchange Online :

Microsoft Entra, menu demander des autorisations d'api, avec l'entrée Office 365 Exchange encadré en rouge

Choisir Autorisation d'applicaiton puis cocher la case full_access_as_app et cliquer sur Ajouter des autorisations :

Microsoft Entra, menu demander des autorisations d'api, Ajouter des autorisations pour Office 365 Exchange

Faire de même avec Windows Azure Active Directory (ou directement l'id: 00000002-0000-0000-c000-000000000000):

Microsoft Entra, menu Demander des autorisations d'API, sélectionner l'api Windows Azure Active Directory

Rechercher l'autorisation Directory.ReadWrite.All, cocher la case associée et cliquer sur Ajouter des autorisations :

Microsoft Entra, menu Demander des autorisations d'API, sélection de l'autorisation Directory.ReadWrite.All permission

On pourra supprimer les autorisation pour Microsoft Graph :

Microsoft Entra, menu API autorisés avec la suppression de l'entrée Microsoft Graph Entry

Maintenant aller dans le menu manifeste et insérer le code ci-dessous, puis cliquer sur Enregistrer :

				{
					"id": "dc50a0fb-09a3-484d-be87-e023b12c6440",
					"type": "Role"
				},

Insertion de code dans le menu Microsoft Entra Manifeste

Depuis le menu API autorisées, cliquer sur Accorder un consentement d'administrateur :

Microsoft Entra, menu API autorisées avec le bouton Accorder un consentement encadré en rouge

Dans le menu Certificats & secrets, cliquer sur l'onglet Certificats puis sur Télécharger le certificat :

Microsoft Entra, menu certificats et secrets

Importer le certificat précédement créé et cliquer sur Ajouter :

Microsoft Entra, menu certificats et secrets, télécharger le certificat

Une fois importé, le certificat devrait apparaitre :

vue sur les certificats importés dans le menu certificats et secrets du portail microsoft entra

Depuit le menu Vue d'ensemble, récupérer les informations sur ID d'application, ID de l'objet et ID de l'annuaire :

Microsoft Entra rôles et administrateurs

Depuis la barre de recherche, chercher rôles et administrateurs Microsoft Entra :

Recherche du terme rôles et administrateurs, dans la barre de recherche Microsoft Entra

Depuis Tous les rôles chercher Administrateur Exchange et éditer le rôle (⚠️cela donnera les droits administrateur complet à l'application pour Exchange, envisagez de donner des droits plus restreints⚠️) :

Cliquer sur Ajouter des affectations :

microsoft entra, menu Administrateur Exchange, Affectations

Chercher le nom de l'Application précédemment créé :

Ajouter des affectations depuis les affectations de microsoft entra

Toujours depuis le menu Tous les rôles, chercher Administrateur général (⚠️cela donnera les droits administrateur complet à l'application pour AzureAD, envisager de donner des droits plus restreints⚠️) :

microsoft entra, menu tous les rôles, recherche sur le terme Administrateur général

Comme pour le rôle Administrateur Exchange, cliquer sur Ajouter des affectations :

microsoft entra, édition des affectations pour le role Administrateur général

Rechercher le nom de l'Application précédemment définie :

microsoft entra, Ajouter des affectations au role

Connexion avec PowerShell

Maintenant que tout a été configuré dans le portail Entra, on peut ouvrir une console PowerShell (avec les droits administrateur) afin de se connecter aux environnements de gestion Exchange Online Management et AzureAd sans mot de passe.

Les Modules PowerShell

Installer les modules PowerShell pour ExchangeOnlineManagement et AzureAD :

PS C:\> Install-Module -name ExchangeOnlineManagement PS C:\> Install-Module -name AzureAd

Vérifier que l'on peut importer les modules et entrer la commande powershell.exe -ExecutionPolicy Unrestricted si l'erreur suivante apparait :

PS C:\> Import-Module ExchangeOnlineManagement
Import-Module : File C:\Program Files\WindowsPowerShell\Modules\ExchangeOnlineManagement\3.4.0\netFramework\ExchangeOnlineManagement.psm1 cannot be loaded because running scripts is disabled on this system. For more information, see about_Execution_Policies at https:/go.microsoft.com/fwlink/?LinkID=135170.
At line:1 char:1
+ Import-Module ExchangeOnlineManagement
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : SecurityError: (:) [Import-Module], PSSecurityException
    + FullyQualifiedErrorId : UnauthorizedAccess,Microsoft.PowerShell.Commands.ImportModuleCommand

PS C:\> PowerShell.exe -ExecutionPolicy Unrestricted

Connexion aux services

Récupérer l'empreinte du certificat :

PS C:\> Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Subject -eq "CN=Office365Automation" } | Select-Object Thumbprint

Thumbprint
----------
05E5C016FA061E38265D863F04C6CAFC674C84B0

Les arguments :
- CertificateThumbprint : Empreinte du certificat autosigné
- AppId ou ApplicationId : Application ID
- Organization or TenantDomain : le nom du compte au format XXX.onmicrosoft.com

Se connecter à ExchangeOnline avec les informations précédemment collectées :

PS C:\> Connect-ExchangeOnline -CertificateThumbprint "05E5C016FA061E38265D863F04C6CAFC674C84B0" -AppId "0fe06d0b-XXXXXX-XXXX-XXXX-XXXXXXXXXXXX" -Organization "XXX.onmicrosoft.com" -ShowBanner:$false

Se connecter à AzureAD :

PS C:\> Connect-AzureAD -CertificateThumbprint "05E5C016FA061E38265D863F04C6CAFC674C84B0" -ApplicationId "0fe06d0b-XXXXXX-XXXX-XXXX-XXXXXXXXXXXX" -TenantDomain "XXX.onmicrosoft.com"

Tests

Une fois connecté, et grace aux droits définis précédemment, on devrait être capable de créer un compte Office365 et définir des droits AzureAD.

Par exemple ici, avec la création d'une Boite aux lettres et l'obkgation donnée à l'utilisateur de changer son mot de passe à la première connexion :

PS C:\> New-Mailbox -Name "Jane Doe" -DisplayName "Jane Doe" -MicrosoftOnlineServicesID "jane.doe@STD.onmicrosoft.com" -Password (ConvertTo-SecureString -String "P@ssW0rDSuXX" -AsPlainText -Force) -FirstName "Jane" -LastName "Doe"

PS C:\> Set-Mailbox -Identity "Jane Doe" -Office "In Hell To Pay"

PS C:\> Set-AzureADUser -ObjectId "jane.doe@STD.onmicrosoft.com" -PasswordProfile @{ Password = "P@ssW0rDSuXX"; ForceChangePasswordNextLogin = $true } -Department "In Hell To Pay"

Informatique

Zik

Autres