Dans cet article, nous allons voir comment restreindre la portée de délégation à un site Sharepoint pour une App via la permission Site.Selected.

Délégation des droits pour l’App

Dans Entra, sélectionnez votre App et rendez vous sur « Api Premissions« 

Puis sélectionnez « Microsoft Graph« 

Ensuite « Application permissions » et recherchez « Sites.Selected« 

Ensuite validez en faisant « Add Permission » et enfin « Grant admin consent for XXXX« 

Maintenant qu’on a donné un accès Sharepoint Online à notre App, nous allons utiliser Powershell pour restreindre ses droits.

Connexion

$Connection = Connect-PnPOnline -Url https://xxxxxxx-admin.sharepoint.com -Interactive -ReturnConnection -ForceAuthentication

Restriction

Grant-PnPAzureADAppSitePermission -AppId 52c15f64-938e-4ad3-9454-c02f754b06c2 -DisplayName Demo-AppSharepoint -Site "https://MONADMIN.sharepoint.com/sites/benefits" -Permissions Read -Verbose -Connection $Connection

Check

Get-PnPAzureADAppSitePermission -AppIdentity 52c15f64-938e-4ad3-9454-c02f754b06c2 -Site "https://MONADMIN.sharepoint.com/sites/benefits"

À partir de Windows 10 version 1809, les fonctionnalités à la demande (FOD) et les packs de langues ne peuvent être installés que via Windows Update et non par WSUS. Étant donné que RSAT est une fonctionnalité optionnelle (c’est-à-dire un FOD), ça ne sera plus possible de l’installer sur une machine ayant la stratégie qui empêche le téléchargement depuis les serveurs Windows update.

Voici un script PowerShell qui modifie temporairement les paramètres de votre poste de travail pour cesser d’utiliser WSUS, téléchargera et installera RSAT, puis rétablira les paramètres pour revenir à l’utilisation de WSUS par la suite :

#Modification de la clé de registre pour installer le module sans passer par WSUS mais directement par les serveurs Windows Update

Add-ToLog -Text "Modification de la clé de registre pour utiliser Windows Update et non WSUS..." -logFile $logFile

Set-ItemProperty "REGISTRY::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" UseWUserver -Value 0

Set-ItemProperty "REGISTRY::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" DisableWindowsUpdateAccess -Value 0
 

#Restart du service Windows Update pour prise en compte

Add-ToLog -Text "Redémarrage du service Windows Update" -logFile $logFile

Get-Service wuauserv | Restart-Service

 

#Installation du module PowerShell RSAT-AD

Add-ToLog -Text "Installation du module PowerShell Active Directory (RSAT)..." -logFile $logFile

Get-WindowsCapability -Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0" -Online | Add-WindowsCapability -Online | Out-Null

Add-WindowsCapability –Online –Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0"

#Remise par défaut de la clé de registre pour repasser par le WSUS

Add-ToLog -Text "Remise par défaut de la clé de registre pour à nouveau passer par le WSUS..." -logFile $logFile

Set-ItemProperty "REGISTRY::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" UseWUserver -Value 1

Introduction

Par défaut, les profils itinérants synchronisent l’ensemble du contenu des répertoires utilisateurs tels que Documents, Bureau, ou encore AppData. Cette synchronisation globale, bien que pratique, peut entraîner plusieurs problématiques :

• Volumes de données importants : certains dossiers contiennent des caches applicatifs ou des fichiers temporaires inutilement transférés.

• Données non pertinentes pour les sessions distantes : par exemple les téléchargements d’installateurs ou de ressources locales propres à une machine.

• Risques de conflits : certains fichiers ne sont pas conçus pour être utilisés simultanément sur plusieurs sessions, ce qui peut générer des erreurs de profil.

Pour améliorer les temps de connexion et de déconnexion, et réduire les erreurs de chargement des profils, il est recommandé d’exclure certains répertoires de la synchronisation.

À noter : l’exclusion n’efface pas les données locales de l’utilisateur. Elle empêche uniquement leur synchronisation avec le serveur.

Configuration

Il existe plusieurs méthodes pour définir des exclusions de répertoires, mais la plus simple et la plus centralisée reste l’utilisation des stratégies de groupe (GPO).

Voici la procédure à suivre :

1. Ouvrir la Console de gestion des stratégies de groupe (GPMC).

2. Accéder au chemin :
   Configuration utilisateur → Stratégies → Modèles d’administration → Système → Profils utilisateur

3. Rechercher et ouvrir le paramètre :
   « Exclure des répertoires dans les profils itinérants »

4. Activer la stratégie et renseigner la liste des dossiers à exclure (séparés par des points-virgules).

Conclusion

En excluant les répertoires non essentiels, on optimise la synchronisation des profils itinérants et on réduit les lenteurs liées aux connexions. Cette configuration permet un contrôle précis des éléments réellement nécessaires à la synchronisation, tout en allégeant les opérations de profil au quotidien.