wadyuDocumentation
FRENDEIT
App

Guides pratiques

Onboarding tenant client

L’onboarding crée le lien entre un MSP Wadyu et un tenant Microsoft 365 client. Ce lien doit rester strictement attaché au MSP courant.

Principe

Un tenant client représente l’environnement Microsoft 365 d’une organisation. Dans Wadyu, il n’existe jamais seul : il est rattaché à un MSP tenant. Toutes les données synchronisées ou collectées doivent porter ce rattachement pour empêcher les lectures croisées.

Le consentement Microsoft ne doit pas être vu comme une simple formalité. Il définit les permissions que Wadyu pourra utiliser pour lire les informations nécessaires : tenant, appareils, inventaires, utilisateurs ou signaux Intune selon le périmètre activé.

Avant de commencer

Vérifiez que l’administrateur connecté à Wadyu appartient bien au tenant MSP. Vérifiez ensuite que le compte utilisé pour consentir le tenant client dispose des droits Microsoft nécessaires. Un compte sans privilège suffisant peut terminer le flux côté navigateur mais laisser Wadyu sans accès exploitable.

Préparez le nom du client, le domaine principal attendu, le type de relation, la personne de contact et les contraintes de conformité. Ces informations aident ensuite à interpréter les rapports et à choisir la rétention.

Flux de consentement

Depuis Clients, l’administrateur lance “Nouveau client” ou “Ajouter tenant”. Wadyu redirige vers Microsoft, Microsoft demande le consentement, puis renvoie vers le callback Wadyu. La console crée ou met à jour la fiche client et stocke le lien tenant dans le contexte MSP.

Le résultat attendu est un client en statut linked. Les champs clés sont l’identifiant tenant Entra, le mspTenantId, le displayName, le domaine principal, le type de relation, la date de liaison et le compte Microsoft ayant consenti.

Contrôles après callback

Confirmez que le client apparaît dans la liste et dans le sélecteur de scope. Ouvrez sa fiche et vérifiez que l’identifiant Entra correspond au tenant attendu. Un mauvais tenant ajouté par erreur doit être retiré avant toute collecte.

Si le domaine principal est null, complétez-le manuellement lorsque c’est nécessaire pour l’exploitation. Si le type direct_self apparaît pour un client final, vérifiez que le consentement n’a pas été fait avec le tenant MSP par erreur.

Sécurité et isolation

Chaque requête applicative doit être filtrée par MSP et client. L’interface peut afficher un scope “Tous les clients”, mais l’API doit conserver les garde-fous. Un client ne doit jamais permettre de lire les données d’un autre client, même si un identifiant est deviné.

Les tokens Microsoft et caches MSAL doivent rester chiffrés côté serveur. Les erreurs, logs et audits ne doivent jamais afficher de secret client, refresh token, access token ou clé collecteur en clair.

Erreurs fréquentes

“MSP tenant de login introuvable” indique souvent un domaine MSP non mappé ou une URL de login sans contexte. Un callback affichant du JSON peut signaler un returnTo absent, une session interrompue ou une route API appelée directement.

Une synchronisation Graph vide après consentement peut venir de permissions insuffisantes, d’un tenant sans Intune, d’un secret expiré, d’un problème d’autorité tenant ou d’un throttling Microsoft temporaire.