Créer et attribuer un rôle personnalisé dans Microsoft Entra ID

  • Article

Cet article explique comment créer des rôles personnalisés dans Microsoft Entra ID. Pour connaître les principes de base des rôles personnalisés, consultez la vue d’ensemble des rôles personnalisés. Le rôle peut être affecté soit au niveau de l’étendue au niveau du répertoire, soit à une étendue de ressource d’inscription d’application uniquement.

Vous pouvez créer des rôles personnalisés dans la page Rôles et administrateurs du centre d’administration Microsoft Entra.

Prérequis

  • Licence Microsoft Entra ID P1 ou P2
  • Administrateur de rôle privilégié ou Administrateur général
  • Module Microsoft.Graph (avec PowerShell)
  • Consentement administrateur (avec l’Afficheur Graph pour l’API Microsoft Graph)

Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou de l’Afficheur Graph.

Créer un rôle dans le centre d’administration Microsoft Entra

Créer un rôle personnalisé pour accorder l’accès pour gérer les inscriptions des applications

Conseil

Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Identité>Rôles et administrateurs>Rôles et administrateurs.

  3. Sélectionnez Nouveau rôle personnalisé.

    Create or edit roles from the Roles and administrators page

  4. Dans l'onglet Notions de base, indiquez un nom et une description pour le rôle, puis cliquez sur Suivant.

    provide a name and description for a custom role on the Basics tab

  5. Sous l'onglet Permissions, sélectionnez les permissions nécessaires pour gérer les propriétés de base et les propriétés des informations d’identification des inscriptions d’applications. Pour obtenir une description détaillée de chaque permission, consultez Sous-types et permissions d’inscription de l’application dans Microsoft Entra ID.

    1. Tout d’abord, entrez « informations d’identification » dans la barre de recherche et sélectionnez la permission microsoft.directory/applications/credentials/update.

      Select the permissions for a custom role on the Permissions tab

    2. Ensuite, entrez « notions de base » dans la barre de recherche, sélectionnez la permission microsoft.directory/applications/basic/update, puis cliquez sur Suivant.

  6. Sur l’onglet Vérifier + Créer, vérifiez les permissions, puis sélectionnez Créer.

Votre rôle personnalisé s’affiche dans la liste des rôles disponibles à affecter.

Créer un rôle avec PowerShell

Connexion

Utilisez la commande Connect-MgGraph pour vous connecter à votre locataire.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Créer le rôle personnalisé

Créez un nouveau rôle à l’aide du script PowerShell suivant :

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
 
# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})
 
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId

Attribuer un rôle personnalisé avec PowerShell

Attribuez le rôle à l’aide du script PowerShell ci-dessous :

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'POSTMAN'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Créer un rôle avec l’API Microsoft Graph

  1. Utilisez l’API Create unifiedRoleDefinition pour créer un rôle personnalisé.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

    body

    {
   "description": "Can manage basic aspects of application registrations.",
   "displayName": "Application Support Administrator",
   "isEnabled": true,
   "templateId": "<GUID>",
   "rolePermissions": [
       {
           "allowedResourceActions": [
               "microsoft.directory/applications/basic/update",
               "microsoft.directory/applications/credentials/update"
           ]
       }
   ]
}

    Notes

    "templateId": "GUID" est un paramètre facultatif qui est envoyé dans le corps en fonction des besoins. Si vous avez besoin de créer plusieurs rôles personnalisés différents avec des paramètres communs, il est préférable de créer un modèle et de définir une valeur de templateId. Vous pouvez générer au préalable une valeur de templateId à l’aide de l’applet de commande PowerShell (New-Guid).Guid.

  2. Utilisez l’API Create unifiedRoleAssignment pour affecter le rôle personnalisé.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

    body

    {
    "principalId":"<GUID OF USER>",
    "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
    "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
}

Affecter un rôle personnalisé étendu à une ressource

Tout comme les rôles intégrés, les rôles personnalisés sont attribués par défaut à l'échelle de l'entreprise pour accorder des permissions d'accès à toutes les inscriptions d’applications de votre organisation. En outre, des rôles personnalisés et certains rôles intégrés pertinents (selon le type de ressource Microsoft Entra) peuvent également être attribués à l’étendue d’une seule ressource Microsoft Entra. Cela vous permet de donner à l’utilisateur l’autorisation de mettre à jour les informations d’identification et les propriétés de base d’une application unique sans avoir à créer un deuxième rôle personnalisé.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant que Développeur d’application.

  2. Accédez à Identité>Applications>Inscriptions d’applications.

  3. Sélectionnez l’inscription d’application à laquelle vous accordez l’accès à gérer. Vous devrez peut-être sélectionner Toutes les applications pour afficher la liste complète des inscriptions d’applications dans votre organisation Microsoft Entra.

    Select the app registration as a resource scope for a role assignment

  4. Dans inscription d’application, sélectionnez Rôles et administrateurs. Si vous n’en avez encore jamais créé, vous trouverez des instructions dans la procédure précédente.

  5. Sélectionnez le rôle pour ouvrir la page Affectations.

  6. Sélectionnez Ajouter une affectation pour ajouter un utilisateur. L'utilisateur se verra accorder toutes les autorisations pour l’inscription d’application sélectionnée seulement.

Étapes suivantes