Intégration Microsoft Teams

Utilisez le connecteur d'action Microsoft Teams pour envoyer des messages, gérer les chaînes, planifier des réunions et gérer la collaboration d'équipe directement dans Amazon Quick via le langage naturel.

Amazon Quick prend en charge plusieurs méthodes d'authentification pour Microsoft Teams. Choisissez la méthode qui répond le mieux aux exigences de sécurité de votre entreprise.

• Application OAuth par défaut — Utilise une application OAuth AWS gérée. Aucune information d'identification supplémentaire n'est requise. Les utilisateurs s'authentifient directement avec leur compte Microsoft.

• Application OAuth personnalisée : utilise une application gérée par le client enregistrée dans Microsoft Entra. Cette option donne à votre organisation le contrôle total de la configuration OAuth. Les utilisateurs s'authentifient au nom d'un utilisateur connecté (autorisations déléguées).

• Service-to-Service OAuth — Utilise les informations d'identification du client pour l'authentification de serveur à serveur sans interaction de l'utilisateur (autorisations de l'application). Convient aux flux de travail automatisés.

Pour plus d'informations sur les méthodes d'authentification prises en charge par Amazon Quick, consultezMéthodes d’authentification.

Avant de commencer

Assurez-vous de disposer des éléments suivants avant de configurer l'intégration.

• Un compte Microsoft 365 avec accès à Teams.

• Pour l'application OAuth personnalisée ou Service-to-Service OAuth : accès au centre d'administration Microsoft Entra sur le site Web de Microsoft avec au moins les autorisations de développeur d'applications.

• Pour les conditions d'abonnement, voirConfiguration des intégrations dans la console.

Configuration de Microsoft Entra

Si vous utilisez l'authentification par défaut de l'application OAuth, ignorez cette section et passez à. Configuration du connecteur dans Amazon Quick

Avant de configurer Amazon Quick, créez un enregistrement d'application dans Microsoft Entra. Effectuez toutes les étapes suivantes dans Entra avant de passer à la console Amazon Quick.

Pour plus d'informations sur les enregistrements d'applications, voir Enregistrer une application auprès de la plateforme d'identité Microsoft dans la documentation Microsoft.

Enregistrez l'application

1. Ouvrez le centre d'administration Microsoft Entra.

2. Dans le menu de navigation de gauche, choisissez Entra ID, puis sélectionnez Inscriptions d'applications.

3. Choisissez Nouvel enregistrement.

4. Dans Nom, entrez un nom descriptif pour votre intégration.

5. Pour les types de comptes pris en charge, sélectionnez Comptes uniquement dans ce répertoire d'organisation.

6. Pour l'URI de redirection, sélectionnez Web et entrezhttps://{region}.quicksight.aws.amazon.com/sn/oauthcallback. Remplacez {region} par la AWS région dans laquelle votre instance Amazon Quick est déployée.

7. Choisissez S’inscrire.

8. Sur la page d'aperçu, copiez l'ID de l'application (client) et l'ID du répertoire (locataire). Vous avez besoin de ces valeurs pour la configuration d'Amazon Quick.

Création d'un secret client

Amazon Quick a besoin d'un secret client pour s'authentifier auprès de Microsoft Entra. Ce secret sert de mot de passe pour l'enregistrement de l'application.

1. Lors de l'enregistrement de votre application, sélectionnez Certificats et secrets.

2. Choisissez Nouveau secret client.

3. Entrez une description et choisissez une période d'expiration.

4. Choisissez Ajouter.

5. Copiez immédiatement la valeur. Cette valeur n'est affichée qu'une seule fois.

Important

Copiez la valeur secrète, pas l'ID secret. La valeur est la chaîne la plus longue utilisée pour l'authentification.

Configurer les autorisations d'API

Microsoft Graph prend en charge deux types d'autorisation pour cette intégration. Les autorisations déléguées permettent à l'application d'agir au nom d'un utilisateur connecté. Les autorisations de l'application permettent à l'application d'agir sans qu'un utilisateur soit connecté. Pour plus d'informations, consultez la section Présentation des autorisations Microsoft Graph dans la documentation Microsoft.

1. À partir de l'enregistrement de votre application, choisissez les autorisations d'API.

2. Choisissez Ajouter une autorisation, puis Microsoft Graph.

3. Choisissez Autorisations déléguées ou Autorisations d'application en fonction de votre méthode d'authentification, puis ajoutez les autorisations dans le tableau approprié ci-dessous.

4. Choisissez Accorder le consentement de l'administrateur pour [nom de votre locataire] pour approuver les autorisations.

Pour l'authentification des utilisateurs (autorisations déléguées) :

Ajoutez ce qui suit en tant qu'autorisations déléguées lors de l'enregistrement de votre application Entra. Pour la référence complète des autorisations, consultez la référence des autorisations Microsoft Graph dans la documentation Microsoft.

Intégration des actions des équipes — autorisations déléguées

Autorisations	Description
Chat.ReadWrite	Permet à l'application de lire et d'écrire les messages de chat de l'utilisateur connecté.
ChatMessage.Send	Permet à l'application d'envoyer des messages de chat au nom de l'utilisateur connecté.
Team.ReadBasic.All	Permet à l'application de lire les noms et les descriptions des équipes au nom de l'utilisateur connecté.
Channel.ReadBasic.All	Permet à l'application de lire les noms et les descriptions des chaînes au nom de l'utilisateur connecté.
Channel.Create	Permet à l'application de créer des chaînes dans n'importe quelle équipe au nom de l'utilisateur connecté.
ChannelMessage.Read.All	Permet à l'application de lire tous les messages de la chaîne au nom de l'utilisateur connecté.
ChannelMessage.Send	Permet à l'application d'envoyer des messages dans les chaînes au nom de l'utilisateur connecté.
ChannelMember.ReadWrite.All	Permet à l'application d'ajouter et de supprimer des membres des chaînes au nom de l'utilisateur connecté.
TeamMember.ReadWrite.All	Permet à l'application d'ajouter et de supprimer des membres de toutes les équipes au nom de l'utilisateur connecté.
User.Read.All	Permet à l'application de lire l'ensemble complet des propriétés de profil de tous les utilisateurs au nom de l'utilisateur connecté.
OnlineMeetings.ReadWrite	Permet à l'application de lire et de créer des réunions en ligne pour le compte de l'utilisateur connecté.
OnlineMeetingTranscript.Read.All	Permet à l'application de lire toutes les transcriptions des réunions en ligne au nom de l'utilisateur connecté.
Calendars.ReadWrite	Permet à l'application de lire et d'écrire des événements dans les calendriers des utilisateurs au nom de l'utilisateur connecté.
offline_access	Permet à l'application d'actualiser les jetons d'accès sans obliger l'utilisateur à se reconnecter. Cela réduit la fréquence à laquelle les utilisateurs doivent se réauthentifier.

Pour l'authentification du service (autorisations de l'application) :

Ajoutez les éléments suivants comme autorisations d'application lors de votre inscription à l'application Entra.

Intégration des actions des équipes — autorisations des applications

Autorisations	Description
Chat.Read.All	Permet à l'application de lire tous les messages de chat de votre organisation sans qu'un utilisateur soit connecté.
Chat.Send	Permet à l'application d'envoyer des messages de chat sans qu'un utilisateur soit connecté.
Team.ReadBasic.All	Permet à l'application de lire les noms et les descriptions de toutes les équipes sans qu'un utilisateur soit connecté.
Channel.ReadBasic.All	Permet à l'application de lire tous les noms et descriptions des chaînes sans qu'un utilisateur soit connecté.
ChannelMessage.Read.All	Permet à l'application de lire tous les messages de la chaîne sans qu'un utilisateur soit connecté.
ChannelMessage.Send	Permet à l'application d'envoyer des messages à n'importe quel canal sans qu'un utilisateur soit connecté.
ChannelMember.ReadWrite.All	Permet à l'application d'ajouter et de supprimer des membres de toutes les chaînes sans qu'un utilisateur soit connecté.
TeamMember.ReadWrite.All	Permet à l'application d'ajouter et de supprimer des membres de toutes les équipes sans qu'un utilisateur soit connecté.
User.Read.All	Permet à l'application de lire l'ensemble complet des propriétés de profil de tous les utilisateurs sans qu'un utilisateur soit connecté.
OnlineMeetingTranscript.Read.All	Permet à l'application de lire toutes les transcriptions des réunions en ligne sans qu'un utilisateur soit connecté.

Important

Avec l'authentification de service, toutes les actions sont exécutées en tant que compte de service. Tout utilisateur ayant accès à cette intégration peut effectuer des actions dans toutes les équipes et sur tous les canaux auxquels le compte de service peut accéder. Définissez les autorisations de l'application en fonction des exigences de sécurité de votre organisation.

Enregistrez vos informations d'identification

Avant de quitter le centre d'administration Microsoft Entra, vérifiez que vous disposez des valeurs suivantes. Vous en avez besoin pour la configuration d'Amazon Quick.

Informations d'identification requises auprès de Microsoft Entra

Value	Où le trouver
ID de l’application (client)	Page d'aperçu de l'enregistrement de l'application
ID du répertoire (locataire)	Page d'aperçu de l'enregistrement de l'application
Valeur secrète du client	Page des certificats et secrets

Configuration du connecteur dans Amazon Quick

Se connecter depuis l'onglet Disponible

Si vous souhaitez utiliser l'authentification par défaut de l'application OAuth, vous pouvez vous connecter directement depuis l'onglet Disponible sans configuration supplémentaire.

1. Dans la console Amazon Quick, choisissez Connectors.

2. Dans l'onglet Disponible, recherchez MSTeams et choisissez Connect.

3. Terminez le flux de connexion Microsoft et accordez les autorisations demandées.

Pour configurer un connecteur avec l'application OAuth personnalisée ou Service-to-Service OAuth à la place, utilisez l'onglet Créer pour votre équipe, comme décrit ci-dessous.

Créez à partir de l'onglet Créer pour votre équipe

Une fois que vous avez terminé toute configuration d'Entra requise, créez le connecteur dans Amazon Quick.

1. Dans la console Amazon Quick, choisissez Connectors.

2. Choisissez l'onglet Créer pour votre équipe.

3. Recherchez et choisissez Microsoft Teams.

   Note

   Si un connecteur Microsoft Teams existe déjà, une boîte de dialogue contenant vos connecteurs existants s'affiche. Pour utiliser un connecteur existant, choisissez-le. Pour en créer un nouveau, choisissez Non, créer un nouveau.

4. Entrez un nom pour votre connecteur. Choisissez éventuellement + Ajouter une description pour ajouter une description.

5. Pour Type de connexion, sélectionnez Réseau public.

6. Pour la configuration OAuth, choisissez l'une des méthodes d'authentification suivantes et configurez les champs obligatoires.

   1. Pour l'application OAuth par défaut :

      Aucune information d'identification supplémentaire n'est requise. Choisissez Next (Suivant) pour continuer.

   2. Pour l'application OAuth personnalisée (authentification utilisateur avec autorisations déléguées), configurez les champs suivants :

      • URL de base (facultatif) — URL de base de l'API Microsoft Graph. Exemple : https://graph.microsoft.com/v1.0

      • ID client — L'identifiant de l'application (client) indiqué lors de l'enregistrement de votre application Entra.

      • Secret client — La valeur du secret client issue de l'enregistrement de votre application Entra.

      • URL du jeton : point de terminaison du jeton. Exemple : https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token

      • URL d'autorisation : point de terminaison d'autorisation. Exemple : https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/authorize

      • URL de redirection : Pre-filled avec l'URL de rappel Amazon Quick.

   3. Pour Service-to-ServiceOAuth (authentification de service avec autorisations d'application), configurez les champs suivants :

      • URL de base (facultatif) — URL de base de l'API Microsoft Graph. Exemple : https://graph.microsoft.com/v1.0

      • ID client — L'identifiant de l'application (client) indiqué lors de l'enregistrement de votre application Entra.

      • Secret client — La valeur du secret client issue de l'enregistrement de votre application Entra.

      • URL du jeton : point de terminaison du jeton. Exemple : https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token

      Note

      L'étendue de la demande de jeton d'identification du client (https://graph.microsoft.com/.default) est définie automatiquement par Amazon Quick. Il n'est pas nécessaire de le configurer manuellement.

7. Choisissez Suivant.

8. Si vous avez choisi l'application OAuth par défaut ou l'application OAuth personnalisée, une fenêtre d'autorisation Microsoft s'ouvre. Passez en revue les autorisations demandées et choisissez Accepter.

   Si vous voyez une erreur au lieu de la boîte de dialogue de consentement, il est possible que votre organisation limite l'accès aux applications tierces. Consultez Consentement de l'administrateur pour Microsoft 365.

9. Sur la page Révision, passez en revue les actions disponibles pour le connecteur. Choisissez Suivant.

10. Sur la page Publier, choisissez qui peut accéder au connecteur. Vous pouvez autoriser l'accès à tous les membres de votre organisation ou rechercher des équipes ou des groupes spécifiques.

11. Choisissez Publier.

Actions disponibles

Après avoir configuré l'intégration, les actions suivantes sont disponibles.

Actions disponibles dans Microsoft Teams

Catégorie	Action	Description
Chats	Liste des chats	Consultez vos conversations par chat.
Chats	Créer un chat	Démarrez une nouvelle conversation par chat.
Chats	Envoyer un message de chat	Envoyez un message dans un chat.
Équipes	Liste des équipes	Afficher les équipes dont vous êtes membre.
Équipes	Liste des membres de l'équipe	Afficher les membres d'une équipe.
Équipes	Ajouter un membre de l'équipe	Ajoutez un membre à une équipe.
Canaux	Liste des chaînes	Afficher les chaînes d'une équipe.
Canaux	Créer une chaîne	Créez une nouvelle chaîne dans une équipe.
Canaux	Lister les messages de la chaîne	Afficher les messages d'une chaîne.
Canaux	Envoyer un message à la chaîne	Publiez un message sur une chaîne.
Canaux	Liste des membres de la chaîne	Afficher les membres d'une chaîne.
Canaux	Ajouter un membre de la chaîne	Ajoutez un membre à une chaîne.
Utilisateurs	Répertorier des utilisateurs	Afficher les utilisateurs de votre organisation.
Meetings	Lister les réunions en ligne	Consultez vos réunions en ligne planifiées.
Meetings	Créer une réunion en ligne	Planifiez une nouvelle réunion en ligne.
Meetings	Répertorier les transcriptions des réunions	Consultez les transcriptions des réunions.
Calendrier	Lister les événements du calendrier	Consultez les événements sur votre calendrier.
Calendrier	Créer un événement du calendrier	Créez un nouvel événement du calendrier.

Gestion et résolution des problèmes

Pour modifier, partager ou supprimer votre intégration, consultezGestion des intégrations existantes.

Problèmes d’authentification

• Enregistrement d'application incorrect — Vérifiez que l'enregistrement de l'application dans Microsoft Entra inclut les autorisations d'API requises et que le consentement de l'administrateur a été accordé.

• Secret client expiré — Vérifiez si le secret client a expiré dans Certificats et secrets et générez-en un nouveau si nécessaire.

• URI de redirection incorrect — Vérifiez que l'URI de redirection dans Microsoft Entra correspondhttps://{region}.quicksight.aws.amazon.com/sn/oauthcallback.

Messages d'erreur courants

• Access denied. You do not have permission to perform this action— L'utilisateur authentifié ne dispose pas des autorisations requises. Contactez votre administrateur pour vérifier et accorder les autorisations appropriées.

• AADSTS50020: User account from identity provider does not exist in tenant— Le compte utilisateur n'est pas configuré dans le client Microsoft Entra approprié. Vérifiez que le compte utilisateur existe chez le locataire qui correspond à l'ID du répertoire (tenant) indiqué lors de l'enregistrement de votre application.

Consentement de l'administrateur pour Microsoft 365

Lorsque vous utilisez la méthode d'authentification par défaut de l'application OAuth, Amazon Quick utilise une application AWS gérée pour accéder à Microsoft Teams au nom de l'utilisateur connecté. La plupart des utilisateurs peuvent terminer la configuration sans aucune étape supplémentaire. Toutefois, si votre client Microsoft 365 restreint l'accès aux applications tierces, un administrateur Microsoft 365 doit accorder un consentement unique avant que les utilisateurs puissent se connecter.

Si un message d'erreur s'affiche lorsque vous vous connectez lors de la configuration du connecteur, il est possible que votre organisation limite l'accès aux applications tierces. Partagez les informations suivantes avec votre administrateur Microsoft 365 :

• Procédure à suivre : accordez le consentement de l'administrateur pour l'application d'intégration Amazon Quick Microsoft Teams.

• Pourquoi : Amazon Quick a besoin d'un accès délégué aux canaux, aux discussions, aux réunions et aux données du calendrier de Teams pour effectuer des actions au nom des utilisateurs.

Un administrateur peut donner son consentement de l'une des manières suivantes :

• Par le biais de la boîte de dialogue de consentement, un administrateur global ou un administrateur de rôles privilégiés lance le flux de configuration du connecteur. Dans la boîte de dialogue de connexion Microsoft, ils cochent la case Consentement au nom de votre organisation et choisissent Accepter.

• Via le centre d'administration Microsoft Entra : connectez-vous au centre d'administration Microsoft Entra sur le site Web de Microsoft. Choisissez les applications d'entreprise, recherchez l'application Amazon Quick, choisissez Autorisations, puis choisissez Accorder le consentement de l'administrateur pour Your Organization.

Une fois le consentement accordé, tous les utilisateurs de votre organisation peuvent se connecter sans être invités à donner leur consentement individuel.

Note

Pour vérifier si votre locataire restreint le consentement des utilisateurs, rendez-vous dans le centre d'administration Microsoft Entra et choisissez Applications d'entreprise, Consentement et autorisations, Paramètres de consentement utilisateur. Si le paramètre est Ne pas autoriser le consentement de l'utilisateur, un administrateur doit accorder son consentement avant que les utilisateurs puissent utiliser le connecteur.