Microsoft Entra ID (Azure AD)

Importez automatiquement vos employés depuis Microsoft 365 / Entra ID dans Badgr. L'intégration utilise l'API Microsoft Graph avec le flux OAuth2 client_credentials — aucune ouverture de port réseau requise, fonctionne partout depuis le cloud.

🗂️
Vous avez aussi un annuaire on-premise (Active Directory, Synology, OpenLDAP) ? L'intégration LDAP est complémentaire — les deux sources peuvent être actives en même temps sur le même compte Badgr. Voir le guide LDAP / Active Directory →

Prérequis

⚠️
Rôle requis

La configuration de l'intégration nécessite le rôle Global Administrator dans Entra ID pour accorder le consent admin à l'étape 5. Un administrateur d'application seul ne suffit pas.

Configuration — 6 étapes

1
Créer l'App Registration dans Entra ID
  1. Ouvrez portal.azure.com et connectez-vous avec un compte Global Admin.
  2. Dans la barre de recherche, tapez Entra ID (ou "Azure Active Directory") et ouvrez le service.
  3. Dans le menu de gauche, cliquez App registrations+ New registration.
  4. Remplissez le formulaire :
    • Name : Badgr Pointeuse
    • Supported account types : Accounts in this organizational directory only (Single tenant)
    • Redirect URI : laisser vide
  5. Cliquez Register.
2
Récupérer le Tenant ID et le Client ID

Sur la page Overview de l'application que vous venez de créer, vous voyez le panneau Essentials :

  • Copiez Directory (tenant) ID → c'est votre Tenant ID à coller dans Badgr
  • Copiez Application (client) ID → c'est votre Client ID

Ces deux valeurs ressemblent à : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

3
Générer un Client Secret
  1. Dans le menu de gauche de votre app, cliquez Certificates & secrets.
  2. Onglet Client secrets+ New client secret.
  3. Remplissez :
    • Description : Badgr Production
    • Expires : 24 months (maximum recommandé)
  4. Cliquez Add.
🚨
Copiez la valeur immédiatement

Dans la colonne Value (pas "Secret ID"), copiez la valeur du secret. Elle ne sera plus jamais affichée après un refresh de la page. Stockez-la dans un gestionnaire de mots de passe (Bitwarden, 1Password, etc.).

4
Ajouter la permission Graph User.Read.All
  1. Dans le menu de gauche, cliquez API permissions+ Add a permission.
  2. Choisissez Microsoft Graph.
  3. Sélectionnez Application permissions (pas "Delegated" — Badgr tourne côté serveur sans utilisateur connecté).
  4. Dans la liste, recherchez User.Read.All → cochez la case.
  5. Cliquez Add permissions.
ℹ️
Pourquoi Application et pas Delegated ?

Badgr s'authentifie de serveur à serveur (client_credentials) sans qu'un utilisateur soit présent. Seules les permissions de type Application fonctionnent dans ce flux.

5
Accorder le consent administrateur

Toujours sur la page API permissions de votre app :

  1. Cliquez le bouton ✓ Grant admin consent for [nom de votre tenant] (en haut du tableau des permissions).
  2. Confirmez Yes dans la boîte de dialogue.
  3. Vérifiez que la colonne Status de User.Read.All affiche "Granted for [tenant]" avec une coche verte ✅.
⚠️
Cette étape requiert Global Admin

Si le bouton est grisé, c'est que votre compte n'a pas les droits Global Administrator. Demandez à votre administrateur tenant de valider le consent.

6
Renseigner les 3 valeurs dans Badgr

Dans Badgr, ouvrez Employés → Importer depuis un annuaire → onglet Azure AD et collez :

  • Tenant ID (Directory ID)
  • Client ID (Application ID)
  • Client Secret (la valeur copiée à l'étape 3)

Cliquez Tester la connexion Azure. Vous devez voir le message "Connexion Azure AD réussie."

Vous pouvez ensuite rechercher et importer vos employés directement depuis l'interface.

Sécurité

🔒
Ce que Badgr fait pour protéger vos données
  • Le Client Secret est chiffré en AES-256 avant stockage — il n'est jamais stocké en clair
  • Les appels vers Microsoft (login.microsoftonline.com et graph.microsoft.com) transitent en TLS strict avec validation du certificat
  • Badgr ne lit que id, displayName et mail — aucune autre donnée utilisateur
  • Aucune donnée n'est partagée hors de votre tenant ni stockée hors de votre base Badgr

Rotation du Client Secret

Microsoft impose une date d'expiration sur les Client Secrets (max 24 mois). À l'approche de l'expiration :

  1. Créez un nouveau Client Secret (étape 3) sans supprimer l'ancien
  2. Mettez à jour Badgr avec le nouveau secret
  3. Vérifiez que la connexion fonctionne (Tester à nouveau)
  4. Supprimez l'ancien secret dans Entra ID
💡
Astuce multi-environnements

Créez une App Registration séparée par environnement (production, staging, dev) pour pouvoir rotater les secrets indépendamment et limiter l'impact en cas de fuite.

Configurer Azure AD dans Badgr →

Documentation à jour au 13 mai 2026. Si vous remarquez une incohérence avec le comportement réel de Badgr, écrivez-nous.

Besoin d'aide ? Contactez le support Badgr

Notre équipe répond en moins de 24h en jours ouvrés.

Réponse sous 24h en jours ouvrés.