Modifier

Partager via


Créer et attribuer un rôle personnalisé dans Microsoft Entra ID

Cet article explique comment créer des rôles personnalisés dans Microsoft Entra ID. Pour connaître les principes de base des rôles personnalisés, consultez la vue d’ensemble des rôles personnalisés. Le rôle peut être affecté soit au niveau de l’étendue au niveau du répertoire, soit à une étendue de ressource d’inscription d’application uniquement.

Vous pouvez créer des rôles personnalisés dans la page Rôles et administrateurs du centre d’administration Microsoft Entra.

Prérequis

  • Licence Microsoft Entra ID P1 ou P2
  • Administrateur de rôle privilégié
  • Module Microsoft.Graph (avec PowerShell)
  • Consentement administrateur (avec l’Afficheur Graph pour l’API Microsoft Graph)

Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou de l’Afficheur Graph.

Créer un rôle dans le centre d’administration Microsoft Entra

Créer un rôle personnalisé pour accorder l’accès pour gérer les inscriptions des applications

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Identité>Rôles et administrateurs>Rôles et administrateurs.

  3. Sélectionnez Nouveau rôle personnalisé.

    Créer ou modifier des rôles à partir de la page Rôles et administrateurs

  4. Dans l’onglet Notions de base, indiquez un nom et une description pour le rôle.

    Vous pouvez cloner les autorisations de base à partir d’un rôle personnalisé, mais vous ne pouvez pas cloner un rôle intégré.

    fournir un nom et une description pour un rôle personnalisé sous l’onglet Notions de base

  5. Sous l'onglet Permissions, sélectionnez les permissions nécessaires pour gérer les propriétés de base et les propriétés des informations d’identification des inscriptions d’applications. Pour obtenir une description détaillée de chaque permission, consultez Sous-types et permissions d’inscription de l’application dans Microsoft Entra ID.

    1. Tout d’abord, entrez « informations d’identification » dans la barre de recherche et sélectionnez la permission microsoft.directory/applications/credentials/update.

      Sélectionnez les permissions pour un rôle personnalisé sous l’onglet Permissions.

    2. Ensuite, entrez « notions de base » dans la barre de recherche, sélectionnez la permission microsoft.directory/applications/basic/update, puis cliquez sur Suivant.

  6. Sur l’onglet Vérifier + Créer, vérifiez les permissions, puis sélectionnez Créer.

    Votre rôle personnalisé s’affiche dans la liste des rôles disponibles à affecter.

Créer un rôle avec PowerShell

Connexion

Utilisez la commande Connect-MgGraph pour vous connecter à votre locataire.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Create the custom role

Create a new role using the following PowerShell script:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})

# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId

Assign the custom role using PowerShell

Assign the role using the below PowerShell script:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'user@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'MyApp1'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Créer un rôle avec l’API Microsoft Graph

Effectuez les étapes suivantes :

  1. Utilisez l’API Create unifiedRoleDefinition pour créer un rôle personnalisé.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
    

    body

    {
      "description": "Can manage basic aspects of application registrations.",
      "displayName": "Application Support Administrator",
      "isEnabled": true,
      "templateId": "<GUID>",
      "rolePermissions": [
          {
              "allowedResourceActions": [
                  "microsoft.directory/applications/basic/update",
                  "microsoft.directory/applications/credentials/update"
              ]
          }
      ]
    }
    

    Notes

    "templateId": "GUID" est un paramètre facultatif qui est envoyé dans le corps en fonction des besoins. Si vous avez besoin de créer plusieurs rôles personnalisés différents avec des paramètres communs, il est préférable de créer un modèle et de définir une valeur de templateId. Vous pouvez générer au préalable une valeur de templateId à l’aide de l’applet de commande PowerShell (New-Guid).Guid.

  2. Utilisez l’API Create unifiedRoleAssignment pour affecter le rôle personnalisé.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    

    Corps

    {
        "principalId":"<GUID OF USER>",
        "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
        "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
    }
    

Affecter un rôle personnalisé étendu à une ressource

Tout comme les rôles intégrés, les rôles personnalisés sont attribués par défaut à l'échelle de l'entreprise pour accorder des permissions d'accès à toutes les inscriptions d’applications de votre organisation. En outre, des rôles personnalisés et certains rôles intégrés pertinents (selon le type de ressource Microsoft Entra) peuvent également être attribués à l’étendue d’une seule ressource Microsoft Entra. Cela vous permet de donner à l’utilisateur l’autorisation de mettre à jour les informations d’identification et les propriétés de base d’une application unique sans avoir à créer un deuxième rôle personnalisé.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant que Développeur d’application.

  2. Accédez à Identité>Applications>Inscriptions d’applications.

  3. Sélectionnez l’inscription d’application à laquelle vous accordez l’accès à gérer. Vous devrez peut-être sélectionner Toutes les applications pour afficher la liste complète des inscriptions d’applications dans votre organisation Microsoft Entra.

    Sélectionner l’inscription d’application en tant qu’étendue de ressource pour une attribution de rôle

  4. Dans inscription d’application, sélectionnez Rôles et administrateurs. Si vous n’en avez encore jamais créé, vous trouverez des instructions dans la procédure précédente.

  5. Sélectionnez le rôle pour ouvrir la page Affectations.

  6. Sélectionnez Ajouter une affectation pour ajouter un utilisateur. L'utilisateur se verra accorder toutes les autorisations pour l’inscription d’application sélectionnée seulement.