Partager via


Répertorier les attributions de rôles Microsoft Entra

Cet article explique comment répertorier les rôles que vous avez attribués dans Microsoft Entra ID. Dans Microsoft Entra ID, les rôles peuvent être attribués au niveau de l’organisation ou avec une seule application comme étendue.

  • Les attributions de rôles au niveau de l’étendue de l’organisation sont ajoutées à et peuvent être consultées dans la liste des attributions de rôle d’application unique.
  • Les attributions de rôles au niveau d’une application unique ne sont pas ajoutées à et ne peuvent pas être affichées dans la liste des attributions à l’échelle de l’organisation.

Prérequis

  • Module Microsoft Graph PowerShell lors de l'utilisation de PowerShell
  • Consentement administrateur (avec l’Afficheur Graph pour l’API Microsoft Graph)

Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou de l’Afficheur Graph.

Centre d’administration Microsoft Entra

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Cette procédure décrit comment répertorier les attributions de rôle avec une étendue à l’échelle de l’organisation.

  1. Connectez-vous au Centre d'administration Microsoft 365.

  2. Accédez à Identité>Rôles et administrateurs>Rôles et administrateurs.

  3. Sélectionnez un rôle pour l’ouvrir et afficher ses propriétés.

  4. Sélectionnez Attributions pour répertorier les attributions de rôle.

    Répertorier les attributions de rôle et les autorisations lorsque vous ouvrez un rôle dans la liste

Répertorier mes attributions de rôle

Il est également facile de répertorier vos propres autorisations. Sélectionnez Votre rôle dans la page Rôles et administrateurs pour afficher les rôles qui sont actuellement attribués.

Répertorier mes attributions de rôle

Télécharger les attributions de rôle

Pour télécharger toutes les attributions de rôles actives sur tous les rôles, y compris les rôles intégrés et personnalisés, effectuez les étapes suivantes (actuellement en préversion).

  1. Dans la page Rôles et administrateurs, sélectionnez Tous les rôles.

  2. Sélectionnez Télécharger les attributions.

    Un fichier CSV qui liste les attributions sur toutes les étendues pour tous les rôles est téléchargé.

    Capture d’écran montrant le téléchargement de toutes les attributions de rôles.

Pour télécharger toutes les attributions d’un rôle spécifique, effectuez les étapes suivantes.

  1. Dans la page Rôles et administrateurs, sélectionnez un rôle.

  2. Sélectionnez Télécharger les attributions.

    Un fichier CSV qui liste les attributions sur toutes les étendues pour ce rôle est téléchargé.

    Capture d’écran montrant le téléchargement de toutes les attributions pour un rôle spécifique.

Répertorier les attributions de rôle à l’échelle d’une seule application

Cette section décrit comment répertorier les attributions de rôle à l’échelle d’une seule application. Cette fonctionnalité est actuellement disponible en préversion publique.

  1. Connectez-vous au centre d’administration Microsoft Entra.

  2. Accédez à Identité>Applications>Inscriptions d’applications.

  3. Sélectionnez l’inscription d’une application pour afficher ses propriétés. Vous devrez peut-être sélectionner Toutes les applications pour afficher la liste complète des inscriptions d’applications dans votre organisation Microsoft Entra.

    Créer ou modifier des inscriptions d’applications à partir de la page Inscriptions d’applications

  4. Lors de l’inscription de l’application, sélectionnez Rôles et administrateurs, puis sélectionnez un rôle pour voir ses propriétés.

    Répertorier les attributions de rôle de l’inscription d’application à partir de la page Inscriptions d’applications

  5. Sélectionnez Attributions pour répertorier les attributions de rôle. L’ouverture de la page des attributions dans le cadre de l’inscription de l’application vous montre les attributions de rôle à l’échelle de cette ressource Microsoft Entra.

    Répertorier les attributions de rôle de l’inscription d’application à partir des propriétés d’une inscription d’application

PowerShell

Cette section décrit l’affichage des attributions d’un rôle avec une étendue à l’échelle de l’organisation. Cet article utilise me module Microsoft Graph PowerShell. Pour afficher les attributions pour une application unique à l’aide de PowerShell, vous pouvez utiliser les applets de commande dans Attribuer des rôles personnalisés avec PowerShell.

Utilisez les commandes Get-MgRoleManagementDirectoryRoleDefinition et Get-MgRoleManagementDirectoryRoleAssignment pour lister les attributions de rôles.

L’exemple suivant montre comment lister les attributions de rôles pour le rôle Administrateur de groupes.

# Fetch list of all directory roles with template ID
Get-MgRoleManagementDirectoryRoleDefinition

# Fetch a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Fetch membership for a role
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

L’exemple suivant montre comment lister toutes les attributions de rôles actives sur tous les rôles, y compris les rôles intégrés et personnalisés (actuellement en préversion).

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}
Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

API Microsoft Graph

Cette section décrit comment répertorier les attributions de rôle avec une étendue à l’échelle de l’organisation. Pour répertorier les attributions de rôle à l’échelle d’une seule application à l’aide de l’API Graph, vous pouvez utiliser les opérations dans Attribuer des rôles personnalisés avec l’API Graph.

Utilisez l’API List unifiedRoleAssignments pour obtenir les attributions de rôles pour une définition de rôle spécifique. L’exemple suivant montre comment lister les attributions de rôles pour une définition de rôle spécifique avec l’ID 00000000-0000-0000-0000-000000000000.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’

response

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

Étapes suivantes