Attribuer des rôles Azure AD aux utilisateurs

Pour accorder l’accès à des utilisateurs dans Azure Active Directory (Azure AD), vous attribuez des rôles Azure AD. Un rôle est une collection d’autorisations. Cet article explique comment attribuer des rôles Azure AD à l’aide du Portail Azure et de PowerShell.

Prérequis

  • Administrateur de rôle privilégié ou Administrateur général. Pour savoir qui est votre administrateur de rôle privilégié ou administrateur général, consultez Répertorier les attributions de rôle Azure AD
  • Licence Azure AD Premium P2 avec Privileged Identity Management (PIM)
  • Module AzureADPreview avec PowerShell
  • Consentement administrateur (avec l’Afficheur Graph pour l’API Microsoft Graph)

Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou de l’Afficheur Graph.

Portail Azure

Effectuez les étapes indiquant comment attribuer des rôles Azure AD à l’aide du Portail Azure. Votre expérience sera différente selon que vous avez activé ou non Azure AD Privileged Identity Management (PIM).

Attribuer un rôle

  1. Connectez-vous au Portail Azure ou au Centre d’administration Azure AD.

  2. Sélectionnez Azure Active Directory>Rôles et administrateurs pour afficher la liste de tous les rôles disponibles.

    Page Rôles et administrateurs dans Azure Active Directory.

  3. Sélectionnez un rôle pour afficher ses attributions.

    Pour identifier plus facilement le rôle dont vous avez besoin, utilisez Ajouter des filtres pour filtrer les rôles.

  4. Sélectionnez Ajouter des attributions, puis sélectionnez les utilisateurs que vous souhaitez affecter à ce rôle.

    Si vous voyez un nom différent de celui de l’image suivante, vous pouvez activer PIM. Voir la section suivante.

    Volet Ajouter des attributions pour le rôle sélectionné.

  5. Sélectionnez Ajouter pour attribuer le rôle.

Affecter un rôle à l’aide de PIM

Si Azure AD Privileged Identity Management (PIM) est activé, vous disposez de fonctionnalités d’attribution de rôle supplémentaires. Par exemple, vous pouvez rendre un utilisateur éligible à un rôle ou définir la durée. Lorsque PIM est activé, vous disposez de deux méthodes pour attribuer des rôles à l’aide du Portail Azure. Vous pouvez utiliser la page Rôles et administrateurs ou l’expérience PIM. Les deux utilisent le même service PIM.

Pour affecter des rôles à l’aide de la page Rôles et administrateurs, procédez comme suit. Si vous souhaitez attribuer des rôles à partir de la page Privileged Identity Management, consultez Attribuer des rôles Azure AD dans Privileged Identity Management.

  1. Connectez-vous au Portail Azure ou au Centre d’administration Azure AD.

  2. Sélectionnez Azure Active Directory>Rôles et administrateurs pour afficher la liste de tous les rôles disponibles.

    Page Rôles et administrateurs dans Azure Active Directory lorsque PIM est activé.

  3. Sélectionnez un rôle pour afficher ses attributions de rôles éligibles, actives et expirées.

    Pour identifier plus facilement le rôle dont vous avez besoin, utilisez Ajouter des filtres pour filtrer les rôles.

  4. Sélectionnez Ajouter des affectations.

  5. Sélectionnez Aucun membre sélectionné, puis sélectionnez les utilisateurs que vous souhaitez attribuer à ce rôle.

    Ajoutez la page Affectations et sélectionnez un volet de membre avec PIM activé.

  6. Sélectionnez Suivant.

  7. Dans l’onglet Paramètre, indiquez si vous souhaitez que cette attribution de rôle soit Éligible ou Active.

    Une attribution de rôle éligible signifie que l’utilisateur doit effectuer une ou plusieurs actions pour utiliser le rôle. Une attribution de rôle active signifie que l’utilisateur n’a pas à effectuer d’action pour utiliser le rôle. Pour plus d’informations sur la signification de ces paramètres, consultez Terminologie PIM.

    Page Ajouter des affectations et onglet Paramètre alors que PIM est activé.

  8. Utilisez les options restantes pour définir la durée de l’affectation.

  9. Sélectionnez Attribuer pour attribuer le rôle.

PowerShell

Effectuez les étapes suivantes pour attribuer des rôles Azure AD à l’aide de PowerShell.

Installation

  1. Ouvrez une fenêtre PowerShell et utilisez Import-Module pour importer le module AzureADPreview. Pour plus d'informations, consultez Prérequis pour utiliser PowerShell ou de l'Afficheur Graph.

    Import-Module -Name AzureADPreview -Force
    
  2. Dans une fenêtre PowerShell, utilisez Connect-AzureAD pour vous connecter à votre locataire.

    Connect-AzureAD
    
  3. Utilisez Get-AzureADUser pour obtenir l’utilisateur auquel vous souhaitez attribuer un rôle.

    $user = Get-AzureADUser -Filter "userPrincipalName eq 'user@contoso.com'"
    

Attribuer un rôle

  1. Utilisez Get-AzureADMSRoleDefinition pour obtenir le rôle que vous souhaitez attribuer.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"
    
  2. Utilisez New-AzureADMSRoleAssignment pour attribuer le rôle.

    $roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId
    

Attribuer un rôle comme éligible à l’aide de PIM

Si PIM est activé, vous disposez de fonctionnalités supplémentaires, telles que la création d’un utilisateur éligible pour une attribution de rôle ou la définition de l’heure de début et l’heure de fin d’une attribution de rôle. Ces fonctionnalités utilisent un autre ensemble de commandes PowerShell. Pour plus d’informations sur l’utilisation de PowerShell et PIM, consultez PowerShell pour les rôles Azure AD dans Privileged Identity Management.

  1. Utilisez Get-AzureADMSRoleDefinition pour obtenir le rôle que vous souhaitez attribuer.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"
    
  2. Utilisez Get-AzureADMSPrivilegedResource pour accéder à la ressource privilégiée. Dans ce cas, votre locataire.

    $aadTenant = Get-AzureADMSPrivilegedResource -ProviderId aadRoles
    
  3. Utilisez New-Object pour créer un objet AzureADMSPrivilegedSchedule afin de définir l’heure de début et l’heure de fin de l’attribution de rôle.

    $schedule = New-Object Microsoft.Open.MSGraph.Model.AzureADMSPrivilegedSchedule
    $schedule.Type = "Once"
    $schedule.StartDateTime = (Get-Date).ToUniversalTime().ToString("yyyy-MM-ddTHH:mm:ss.fffZ")
    $schedule.EndDateTime = "2021-07-25T20:00:00.000Z"
    
  4. Utilisez Open-AzureADMSPrivilegedRoleAssignmentRequest pour attribuer le rôle comme éligible.

    $roleAssignmentEligible = Open-AzureADMSPrivilegedRoleAssignmentRequest -ProviderId 'aadRoles' -ResourceId $aadTenant.Id -RoleDefinitionId $roleDefinition.Id -SubjectId $user.objectId -Type 'AdminAdd' -AssignmentState 'Eligible' -schedule $schedule -reason "Review billing info"
    

API Microsoft Graph

Suivez ces instructions pour attribuer un rôle à l’aide de l’API Microsoft Graph.

Attribuer un rôle

Dans cet exemple, un principal de sécurité avec objectID f8ca5a85-489a-49a0-b555-0a6d81e56f0d se voit recevoir le rôle d’administrateur de facturation (ID de définition de rôle b0f54661-2d74-4c50-afa3-1ec803f12efe) au niveau de l’étendue du locataire. Pour afficher la liste des ID de modèle de rôle immuables de tous les rôles intégrés, consultez Rôles intégrés Azure AD.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{ 
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/"
}

Affecter un rôle à l’aide de PIM

Affecter une attribution de rôle éligible limitée dans le temps

Dans cet exemple, un principal de sécurité avec objectID f8ca5a85-489a-49a0-b555-0a6d81e56f0d se voit recevoir une attribution de rôle éligible en fonction du temps pour l’administrateur de facturation (ID b0f54661-2d74-4c50-afa3-1ec803f12efe de définition de rôle) pendant 180 jours.

POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json

{
    "action": "adminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT180D"
        }
    }
}

Affecter une attribution de rôle permanente éligible

Dans l’exemple suivant, un principal de sécurité reçoit une attribution de rôle permanente éligible à l’administrateur de facturation.

POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json

{
    "action": "adminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "noExpiration"
        }
    }
}

Activer une attribution de rôle

Pour activer l’attribution de rôle, utilisez l’API Create roleAssignmentScheduleRequests.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
Content-type: application/json

{
    "action": "selfActivate",
    "justification": "activating role assignment for admin privileges",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
}

Pour plus d’informations sur la gestion des rôles Azure AD via l’API PIM dans Microsoft Graph, consultez Vue d’ensemble de la gestion des rôles via l’API PIM (Privileged Identity Management).

Étapes suivantes