Répertorier les attributions de rôles Microsoft Entra
Cet article explique comment répertorier les rôles que vous avez attribués dans Microsoft Entra ID. Dans Microsoft Entra ID, les rôles peuvent être attribués au niveau de l’organisation ou avec une seule application comme étendue.
- Les attributions de rôles au niveau de l’étendue de l’organisation sont ajoutées à et peuvent être consultées dans la liste des attributions de rôle d’application unique.
- Les attributions de rôles au niveau d’une application unique ne sont pas ajoutées à et ne peuvent pas être affichées dans la liste des attributions à l’échelle de l’organisation.
Prérequis
- Module Microsoft Graph PowerShell lors de l'utilisation de PowerShell
- Consentement administrateur (avec l’Afficheur Graph pour l’API Microsoft Graph)
Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou de l’Afficheur Graph.
Centre d’administration Microsoft Entra
Conseil
Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.
Cette procédure décrit comment répertorier les attributions de rôle avec une étendue à l’échelle de l’organisation.
Connectez-vous au Centre d'administration Microsoft 365.
Accédez à Identité>Rôles et administrateurs>Rôles et administrateurs.
Sélectionnez un rôle pour l’ouvrir et afficher ses propriétés.
Sélectionnez Attributions pour répertorier les attributions de rôle.
Répertorier mes attributions de rôle
Il est également facile de répertorier vos propres autorisations. Sélectionnez Votre rôle dans la page Rôles et administrateurs pour afficher les rôles qui sont actuellement attribués.
Télécharger les attributions de rôle
Pour télécharger toutes les attributions de rôles actives sur tous les rôles, y compris les rôles intégrés et personnalisés, effectuez les étapes suivantes (actuellement en préversion).
Dans la page Rôles et administrateurs, sélectionnez Tous les rôles.
Sélectionnez Télécharger les attributions.
Un fichier CSV qui liste les attributions sur toutes les étendues pour tous les rôles est téléchargé.
Pour télécharger toutes les attributions d’un rôle spécifique, effectuez les étapes suivantes.
Dans la page Rôles et administrateurs, sélectionnez un rôle.
Sélectionnez Télécharger les attributions.
Un fichier CSV qui liste les attributions sur toutes les étendues pour ce rôle est téléchargé.
Répertorier les attributions de rôle à l’échelle d’une seule application
Cette section décrit comment répertorier les attributions de rôle à l’échelle d’une seule application. Cette fonctionnalité est actuellement disponible en préversion publique.
Connectez-vous au centre d’administration Microsoft Entra.
Accédez à Identité>Applications>Inscriptions d’applications.
Sélectionnez l’inscription d’une application pour afficher ses propriétés. Vous devrez peut-être sélectionner Toutes les applications pour afficher la liste complète des inscriptions d’applications dans votre organisation Microsoft Entra.
Lors de l’inscription de l’application, sélectionnez Rôles et administrateurs, puis sélectionnez un rôle pour voir ses propriétés.
Sélectionnez Attributions pour répertorier les attributions de rôle. L’ouverture de la page des attributions dans le cadre de l’inscription de l’application vous montre les attributions de rôle à l’échelle de cette ressource Microsoft Entra.
PowerShell
Cette section décrit l’affichage des attributions d’un rôle avec une étendue à l’échelle de l’organisation. Cet article utilise me module Microsoft Graph PowerShell. Pour afficher les attributions pour une application unique à l’aide de PowerShell, vous pouvez utiliser les applets de commande dans Attribuer des rôles personnalisés avec PowerShell.
Utilisez les commandes Get-MgRoleManagementDirectoryRoleDefinition et Get-MgRoleManagementDirectoryRoleAssignment pour lister les attributions de rôles.
L’exemple suivant montre comment lister les attributions de rôles pour le rôle Administrateur de groupes.
# Fetch list of all directory roles with template ID
Get-MgRoleManagementDirectoryRoleDefinition
# Fetch a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c
# Fetch membership for a role
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
Id PrincipalId RoleDefinitionId DirectoryScopeId AppScop
eId
-- ----------- ---------------- ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
L’exemple suivant montre comment lister toutes les attributions de rôles actives sur tous les rôles, y compris les rôles intégrés et personnalisés (actuellement en préversion).
$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}
Id PrincipalId RoleDefinitionId DirectoryScopeId AppScop
eId
-- ----------- ---------------- ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /
API Microsoft Graph
Cette section décrit comment répertorier les attributions de rôle avec une étendue à l’échelle de l’organisation. Pour répertorier les attributions de rôle à l’échelle d’une seule application à l’aide de l’API Graph, vous pouvez utiliser les opérations dans Attribuer des rôles personnalisés avec l’API Graph.
Utilisez l’API List unifiedRoleAssignments pour obtenir les attributions de rôles pour une définition de rôle spécifique. L’exemple suivant montre comment lister les attributions de rôles pour une définition de rôle spécifique avec l’ID 00000000-0000-0000-0000-000000000000
.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’
response
HTTP/1.1 200 OK
{
"id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "00000000-0000-0000-0000-000000000000",
"directoryScopeId": "/"
}
Étapes suivantes
- N’hésitez pas à nous donner votre avis sur le forum des rôles d’administrateur Microsoft Entra.
- Pour plus d’informations sur les autorisations de rôle, consultez Rôles intégrés Microsoft Entra.
- Pour les autorisations d’utilisateur par défaut, consultez une comparaison des autorisations par défaut d’un utilisateur invité et d’un membre.