Lire en anglais

Partager via


Les rôles au sein des services Microsoft

Le services dans Microsoft 365 peuvent être gérés avec des rôles d’administration dans Microsoft Entra ID. Certains services fournissent également des rôles supplémentaires spécifiques au service. Cet article répertorie le contenu, les références d’API et les références d’audit et de surveillance liés au contrôle d’accès en fonction du rôle pour Microsoft 365 et d’autres services.

Microsoft Entra

Microsoft Entra ID et services associés dans Microsoft Entra.

Microsoft Entra ID

Zone Contenu
Vue d’ensemble Rôles intégrés dans Microsoft Entra
Informations de référence sur l’API de gestion Rôles Microsoft Entra
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Lorsque le rôle est attribué à un groupe, gérez les appartenances aux groupes à l’aide de l’API Groups v1.0 Microsoft Graph
Référence d’audit et de surveillance Rôles Microsoft Entra
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie RoleManagement
• Lorsqu’un rôle est attribué à un groupe, pour auditer les modifications apportées aux appartenances aux groupes, consultez les audits avec la catégorie GroupManagement et les activités Add member to group et Remove member from group

Gestion des droits d’utilisation

Zone Contenu
Vue d’ensemble Rôles de gestion des droits d’utilisation
Informations de référence sur l’API de gestion Rôles spécifiques à la gestion des droits d’utilisation dans Microsoft Entra ID
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Voir les rôles disposant d’autorisations commençant par : microsoft.directory/entitlementManagement

Rôles spécifiques à la gestion des droits d’utilisation
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur entitlementManagement
Référence d’audit et de surveillance Rôles spécifiques à la gestion des droits d’utilisation dans Microsoft Entra ID
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie RoleManagement

Rôles spécifiques à la gestion des droits d’utilisation
Dans le journal d’audit Microsoft Entra, avec la catégorie EntitlementManagement et une des activités suivantes :
Remove Entitlement Management role assignment
Add Entitlement Management role assignment

Microsoft 365

Services dans la suite Microsoft 365.

Exchange

Zone Contenu
Vue d’ensemble Autorisations dans Exchange Online
Informations de référence sur l’API de gestion Rôles spécifiques à Exchange dans Microsoft Entra ID
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Rôles disposant d’autorisations commençant par : microsoft.office365.exchange

Rôles spécifiques à Exchange
Version bêta de l’API roleManagement de Microsoft Graph
• Utilisent le fournisseur exchange
Référence d’audit et de surveillance Rôles spécifiques à Exchange dans Microsoft Entra ID
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie RoleManagement

Rôles spécifiques à Exchange
Utilisez la version bêta de l’API de sécurité de Microsoft Graph (requête du journal d’audit) et listez les événements d’audit pour lesquels recordType == ExchangeAdmin et l’opération est l’une des suivantes :
Add-RoleGroupMember, Remove-RoleGroupMember, Update-RoleGroupMember, New-RoleGroup, Remove-RoleGroup, New-ManagementRole, Remove-ManagementRoleEntry, New-ManagementRoleAssignment

SharePoint

Inclut SharePoint, OneDrive, Delve, Listes, Project Online et Loop.

Zone Contenu
Vue d’ensemble À propos du rôle d’administrateur SharePoint dans Microsoft 365
Delve pour les administrateurs
Paramètres de contrôle pour Listes Microsoft
Modifier la gestion des autorisations dans Project Online
Informations de référence sur l’API de gestion Rôles spécifiques à SharePoint dans Microsoft Entra ID
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Rôles disposant d’autorisations commençant par : microsoft.office365.sharepoint
Référence d’audit et de surveillance Rôles spécifiques à SharePoint dans Microsoft Entra ID
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie RoleManagement

Intune

Zone Contenu
Vue d’ensemble Contrôle d’accès en fonction du rôle avec Microsoft Intune
Informations de référence sur l’API de gestion Rôles spécifiques à Intune dans Microsoft Entra ID
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Rôles disposant d’autorisations commençant par : microsoft.intune

Rôles spécifiques à Intune
Version bêta de l’API roleManagement de Microsoft Graph
• Utilisent le fournisseur deviceManagement
• Sinon, utilisez la version bêta de l’API de gestion du contrôle d’accès basé sur les rôles de Microsoft Graph spécifique à Intune
Référence d’audit et de surveillance Rôles spécifiques à Intune dans Microsoft Entra ID
API directoryAudit v1.0 Microsoft Graph
• Catégorie RoleManagement

Rôles spécifiques à Intune
Vue d’ensemble de l’audit dans Intune
Accès d’API aux journaux d’audit spécifiques à Intune :
Version bêta de l’API GetAuditActivityTypes de Microsoft Graph
• Commencez par lister les types d’activités pour lesquels category=Role, puis utilisez la version bêta de l’API auditEvents de Microsoft Graph pour répertorier tous les auditEvents pour chaque type d’activité

Teams

Inclut Teams, Bookings, Copilot Studio pour Teams et Shifts.

Zone Contenu
Vue d’ensemble Utiliser des rôles d’administrateur Microsoft Teams pour gérer Teams
Informations de référence sur l’API de gestion Rôles spécifiques à Teams dans Microsoft Entra ID
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Rôles disposant d’autorisations commençant par : microsoft.teams
Référence d’audit et de surveillance Rôles spécifiques à Teams dans Microsoft Entra ID
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie RoleManagement

Suite Purview

Inclut la suite Purview, Azure Information Protection et Cloisonnement de l’information.

Zone Contenu
Vue d’ensemble Rôles et groupes de rôles dans Microsoft Defender pour Office 365 et Microsoft Purview
Informations de référence sur l’API de gestion Rôles spécifiques à Purview dans Microsoft Entra ID
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Voir les rôles disposant d’autorisations commençant par :
microsoft.office365.complianceManager
microsoft.office365.protectionCenter
microsoft.office365.securityComplianceCenter

Rôles spécifiques à Purview
Utilisent PowerShell : PowerShell sécurité et conformité. Les cmdlets spécifiques sont :
Get-RoleGroup
Get-RoleGroupMember
New-RoleGroup
Add-RoleGroupMember
Update-RoleGroupMember
Remove-RoleGroupMember
Remove-RoleGroup
Référence d’audit et de surveillance Rôles spécifiques à Purview dans Microsoft Entra ID
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie RoleManagement

Rôles spécifiques à Purview
Utilisez la version bêta de l’API de sécurité de Microsoft Graph (version bêta de requête de journal d’audit) et listez les événements d’audit pour lesquels recordType == SecurityComplianceRBAC et l’opération est l’une des suivantes : Add-RoleGroupMemberRemove-RoleGroupMemberUpdate-RoleGroupMemberNew-RoleGroupRemove-RoleGroup

Power Platform

Inclut Power Platform, Dynamics 365, Flow et Dataverse for Teams.

Zone Contenu
Vue d’ensemble Utiliser les rôles d’administrateur de service pour gérer votre client
Rôles de sécurité et privilèges
Informations de référence sur l’API de gestion Rôles spécifiques à Power Platform dans Microsoft Entra ID
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Voir les rôles disposant d’autorisations commençant par :
microsoft.powerApps
microsoft.dynamics365
microsoft.flow

Rôles spécifiques à Dataverse
Effectuer des opérations à l’aide de l’API Web
• Interrogent la table/référence d’entité User (SystemUser)
• Les attributions de rôles sont incluses dans les tables systemuserroles_association
Référence d’audit et de surveillance Rôles spécifiques à Power Platform dans Microsoft Entra ID
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie RoleManagement

Rôles spécifiques à Dataverse
Vue d’ensemble de l’audit dans Dataverse
Accès d’API aux journaux d’audit spécifiques à Dataverse :
API web Dataverse
Référence de table d’audit
• Audits avec des codes d’action :
53 - Attribuer un rôle à une équipe
54 - Supprimer un rôle d’une équipe
55 - Attribuer un rôle à un utilisateur
56 - Supprimer un rôle d’un utilisateur
57 - Ajouter des privilèges à un rôle
58 - Supprimer des privilèges d’un rôle
59 - Remplacer les privilèges d’un rôle

Suite Defender

Inclut la suite Defender, Secure Score, Cloud App Security, et Threat Intelligence.

Zone Contenu
Vue d’ensemble Contrôle d’accès basé sur les rôles unifié de Microsoft Defender XDR
Informations de référence sur l’API de gestion Rôles spécifiques à Defender dans Microsoft Entra ID
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Les rôles suivants disposent d’autorisations (référence) : Administrateur de la sécurité, Opérateur de sécurité, Lecteur de sécurité, Administrateur général et Lecteur général

Rôles spécifiques à Defender
Les charges de travail doivent être activées pour utiliser le contrôle d’accès basé sur les rôles unifié de Defender. Consultez Activer le contrôle d’accès basé sur les rôles unifié de Microsoft Defender XDR. L’activation du contrôle d’accès basé sur les rôles unifié de Defender désactive les rôles individuels de la solution Defender.
• Peuvent uniquement être gérés via le portail security.microsoft.com.
Référence d’audit et de surveillance Rôles spécifiques à Defender dans Microsoft Entra ID
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie RoleManagement

Viva Engage

Zone Contenu
Vue d’ensemble Gérer les rôles d’administrateur dans Viva Engage
Informations de référence sur l’API de gestion Rôles spécifiques à Viva Engage dans Microsoft Entra ID
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Voir les rôles disposant d’autorisations commençant par microsoft.office365.yammer.

Rôles spécifiques à Viva Engage
• Les rôles d’administrateur vérifié et d’administrateur réseau peuvent être gérés via le centre d’administration Yammer.
• Le rôle de Chargé de communication d’entreprise peut être attribué via le centre d’administration Viva Engage.
L’API d’exportation de données Yammer peut être utilisée pour exporter le fichier admins.csv afin de consulter la liste des administrateurs
Référence d’audit et de surveillance Rôles spécifiques à Viva Engage dans Microsoft Entra ID
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie RoleManagement

Rôles spécifiques à Viva Engage
• Utilisent l’API d’exportation de données Yammer pour exporter de manière incrémentielle admins.csv pour obtenir une liste des administrateurs

Viva Connections

Zone Contenu
Vue d’ensemble Rôles d’administrateur et tâches dans Microsoft Viva
Informations de référence sur l’API de gestion Rôles spécifiques à Viva Connections dans Microsoft Entra ID
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Les rôles suivants disposent d’autorisations : Administrateur SharePoint, Administrateur Teams et Administrateur général
Référence d’audit et de surveillance Rôles spécifiques à Viva Connections dans Microsoft Entra ID
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie RoleManagement

Viva Learning

Zone Contenu
Vue d’ensemble Configurer Microsoft Viva Learning dans le centre d’administration Teams
Informations de référence sur l’API de gestion Rôles spécifiques à Viva Learning dans Microsoft Entra ID
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Voir les rôles disposant d’autorisations commençant par microsoft.office365.knowledge
Référence d’audit et de surveillance Rôles spécifiques à Viva Learning dans Microsoft Entra ID
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie RoleManagement

Viva Insights

Zone Contenu
Vue d’ensemble Rôles dans Viva Insights
Informations de référence sur l’API de gestion Rôles spécifiques à Viva Insights dans Microsoft Entra ID
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Voir les rôles disposant d’autorisations commençant par microsoft.office365.insights
Référence d’audit et de surveillance Rôles spécifiques à Viva Insights dans Microsoft Entra ID
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie RoleManagement
Zone Contenu
Vue d’ensemble Configurer Recherche Microsoft
Informations de référence sur l’API de gestion Rôles spécifiques à Recherche dans Microsoft Entra ID
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Voir les rôles disposant d’autorisations commençant par microsoft.office365.search
Référence d’audit et de surveillance Rôles spécifiques à Recherche dans Microsoft Entra ID
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie RoleManagement

Impression universelle

Zone Contenu
Vue d’ensemble Rôles d’administrateur pour l’impression universelle
Informations de référence sur l’API de gestion Rôles spécifiques à l’impression universelle dans Microsoft Entra ID
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Voir les rôles disposant d’autorisations commençant par microsoft.azure.print
Référence d’audit et de surveillance Rôles spécifiques à l’impression universelle dans Microsoft Entra ID
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie RoleManagement

Gestion de la suite d’applications Microsoft 365

Inclut la gestion de la suite d’applications Microsoft 365 et Forms.

Zone Contenu
Vue d’ensemble Vue d’ensemble du centre d’administration des applications Microsoft 365
Paramètres d’administrateur pour Microsoft Forms
Informations de référence sur l’API de gestion Rôles spécifiques aux applications Microsoft 365 dans Microsoft Entra ID
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Les rôles suivants disposent d’autorisations : Administrateur d’applications Office, Administrateur de sécurité, Administrateur général
Référence d’audit et de surveillance Rôles spécifiques aux applications Microsoft 365 dans Microsoft Entra ID
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie RoleManagement

Azure

Contrôle d’accès basé sur les rôles Azure pour le plan de contrôle et les informations d’abonnement d’Azure.

Azure

Inclut Azure et Sentinel.

Zone Contenu
Vue d’ensemble Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (RBAC Azure) ?
Rôles et autorisations dans Microsoft Sentinel
Informations de référence sur l’API de gestion Rôles spécifiques au service Azure dans Azure
API d’autorisation Azure Resource Manager
• Attribution de rôle : Lister, Créer/Mettre à jour, Supprimer
• Définition de rôle : Lister, Créer/Mettre à jour, Supprimer

• Il existe une méthode héritée pour accorder l’accès aux ressources Azure appelée administrateurs classiques. Les administrateurs classiques sont équivalents au rôle Propriétaire dans le contrôle d’accès basé sur les rôles Azure. Les administrateurs classiques seront supprimés en août 2024.
• Notez qu’un administrateur général Microsoft Entra peut obtenir un accès unilatéral à Azure via l’élévation de l’accès.
Référence d’audit et de surveillance Rôles spécifiques au service Azure dans Azure
Surveiller les modifications du contrôle d’accès basé sur les rôles Azure à l’aide du journal d’activité Azure
API du journal d’activité Azure
• Audits avec la catégorie d’événement Administrative et l’opération Create role assignment, Delete role assignment, Create or update custom role definition, Delete custom role definition.

Afficher les journaux d’élévation de l’accès dans le journal d’activité Azure au niveau du locataire
API du journal d’activité Azure – Journaux d’activité du locataire
• Audits avec la catégorie d’événement Administrative et qui contiennent la chaîne elevateAccess.
• L’accès aux journaux d’activité au niveau du locataire nécessite d’utiliser l’élévation d’accès au moins une fois pour obtenir un accès au niveau du locataire.

Commerce

Services liés à l’achat et à la facturation.

Gestion des coûts et facturation – Contrats d’entreprise

Zone Contenu
Vue d’ensemble Administration des rôles du Contrat Entreprise Azure
Informations de référence sur l’API de gestion Rôles spécifiques aux Contrats d’entreprise dans Microsoft Entra ID
Les Contrats d’entreprise ne prennent pas en charge les rôles Microsoft Entra.

Rôles spécifiques aux Contrats d’entreprise
API d’attributions de rôles de facturation
• Administrateur d’entreprise (ID de rôle : 9f1983cb-2574-400c-87e9-34cf8e2280db)
• Administrateur d’entreprise (lecture seule) (ID de rôle : 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e)
• Acheteur des Contrats d’entreprise (ID de rôle : da6647fb-7651-49ee-be91-c43c4877f0c4)
API d’attributions de rôles du service d’inscription
• Administrateur de service (ID de rôle : fb2cf67f-be5b-42e7-8025-4683c668f840)
• Lecteur de service (ID de rôle : db609904-a47f-4794-9be8-9bd86fbffd8a)
API d’attributions de rôles de compte d’inscription
• Propriétaire de compte (ID de rôle : c15c22c0-9faf-424c-9b7e-bd91c06a240b)
Référence d’audit et de surveillance Rôles spécifiques aux Contrats d’entreprise
API du journal d’activité Azure – Journaux d’activité du locataire
• L’accès aux journaux d’activité au niveau du locataire nécessite d’utiliser l’élévation d’accès au moins une fois pour obtenir un accès au niveau du locataire.
• Audits pour lesquels resourceProvider == Microsoft.Billing et operationName contient billingRoleAssignments ou EnrollmentAccount

Gestion des coûts et facturation – Contrats clients Microsoft

Zone Contenu
Vue d’ensemble Présentation des rôles d'administrateur Azure dans le cadre des Contrats client Microsoft
Comprendre votre compte de facturation d’entreprise Microsoft
Informations de référence sur l’API de gestion Rôles spécifiques aux Contrats clients Microsoft dans Microsoft Entra ID
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Les rôles suivants disposent d’autorisations : Administrateur de facturation, Administrateur général.

Rôles spécifiques aux Contrats clients Microsoft
• Par défaut, les rôles Administrateur général et Administrateur de facturation Microsoft Entra se voient automatiquement attribués le rôle Propriétaire du compte de facturation dans le contrôle d’accès basé sur les rôles spécifique aux Contrats clients Microsoft.
API d’attribution de rôle de facturation
Référence d’audit et de surveillance Rôles spécifiques aux Contrats clients Microsoft dans Microsoft Entra ID
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie RoleManagement

Rôles spécifiques aux Contrats clients Microsoft
API du journal d’activité Azure – Journaux d’activité du locataire
• L’accès aux journaux d’activité au niveau du locataire nécessite d’utiliser l’élévation d’accès au moins une fois pour obtenir un accès au niveau du locataire.
• Audits pour lesquels resourceProvider == Microsoft.Billing et operationName est l’un des suivants (tous disposant du préfixe Microsoft.Billing) :
/permissionRequests/write
/billingAccounts/createBillingRoleAssignment/action
/billingAccounts/billingProfiles/createBillingRoleAssignment/action
/billingAccounts/billingProfiles/invoiceSections/createBillingRoleAssignment/action
/billingAccounts/customers/createBillingRoleAssignment/action
/billingAccounts/billingRoleAssignments/write
/billingAccounts/billingRoleAssignments/delete
/billingAccounts/billingProfiles/billingRoleAssignments/delete
/billingAccounts/billingProfiles/customers/createBillingRoleAssignment/action
/billingAccounts/billingProfiles/invoiceSections/billingRoleAssignments/delete
/billingAccounts/departments/billingRoleAssignments/write
/billingAccounts/departments/billingRoleAssignments/delete
/billingAccounts/enrollmentAccounts/transferBillingSubscriptions/action
/billingAccounts/enrollmentAccounts/billingRoleAssignments/write
/billingAccounts/enrollmentAccounts/billingRoleAssignments/delete
/billingAccounts/billingProfiles/invoiceSections/billingSubscriptions/transfer/action
/billingAccounts/billingProfiles/invoiceSections/initiateTransfer/action
/billingAccounts/billingProfiles/invoiceSections/transfers/delete
/billingAccounts/billingProfiles/invoiceSections/transfers/cancel/action
/billingAccounts/billingProfiles/invoiceSections/transfers/write
/transfers/acceptTransfer/action
/transfers/accept/action
/transfers/decline/action
/transfers/declineTransfer/action
/billingAccounts/customers/initiateTransfer/action
/billingAccounts/customers/transfers/delete
/billingAccounts/customers/transfers/cancel/action
/billingAccounts/customers/transfers/write
/billingAccounts/billingProfiles/invoiceSections/products/transfer/action
/billingAccounts/billingSubscriptions/elevateRole/action

Abonnements d’entreprise et facturation – Gestion des licences en volume

Zone Contenu
Vue d’ensemble Questions fréquences sur la gestion des rôles des utilisateurs de la gestion des licences en volume
Informations de référence sur l’API de gestion Rôles spécifiques à la gestion de licences en volume dans Microsoft Entra ID
La gestion des licences en volume ne prend pas en charge les rôles Microsoft Entra.

Rôles spécifiques à la gestion des licences en volume
Les utilisateurs et les rôles de la gestion des licences en volume sont gérés dans le centre d’administration M365.

Espace partenaires

Zone Contenu
Vue d’ensemble Rôles, autorisations et accès à l’espace de travail des utilisateurs
Informations de référence sur l’API de gestion Rôles spécifiques à l’Espace partenaires dans Microsoft Entra ID
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Les rôles suivants disposent d’autorisations : Administrateur général, Administrateur d’utilisateurs.

Rôles spécifiques à l’Espace partenaires
Les rôles spécifiques à l’Espace partenaires peuvent uniquement être gérés via l’Espace partenaires.
Référence d’audit et de surveillance Rôles spécifiques à l’Espace partenaires dans Microsoft Entra ID
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie RoleManagement

Autres services

Azure DevOps

Zone Contenu
Vue d’ensemble À propos des autorisations et des groupes de sécurité
Informations de référence sur l’API de gestion Rôles spécifiques à Azure DevOps dans Microsoft Entra ID
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Voir les rôles disposant d’autorisations commençant par microsoft.azure.devOps.

Rôles spécifiques à Azure DevOps
Créer/lire/mettre à jour/supprimer des autorisations accordées via l’API d’attribution de rôles roleAssignments
• Afficher les autorisations des rôles avec l’API de définition de rôles roleDefinitions
Rubrique de référence sur les autorisations
• Lorsqu’un groupe Azure DevOps (important : différent du groupe Microsoft Entra) est affecté à un rôle, créez/lisez/mettez à jour/supprimez des appartenances à un groupe avec l’API d’appartenance aux groupes
Référence d’audit et de surveillance Rôles spécifiques à Azure DevOps dans Microsoft Entra ID
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie RoleManagement

Rôles spécifiques à Azure DevOps
Accéder au journal d’audit AzureDevOps
Référence d’API d’audit
Référence d’AuditId
• Audits avec l’ActionId Security.ModifyPermission, Security.RemovePermission.
• Pour les modifications apportées aux groupes affectés à des rôles, les audits avec les ActionId Group.UpdateGroupMembership, Group.UpdateGroupMembership.Add, Group.UpdateGroupMembership.Remove

Fabric

Inclut Fabric et Power BI.

Zone Contenu
Vue d’ensemble Comprendre les rôles d'administrateur de Microsoft Fabric
Informations de référence sur l’API de gestion Rôles spécifiques à Fabric dans Microsoft Entra ID
API roleManagement v1.0 Microsoft Graph
• Utilisent le fournisseur directory
• Voir les rôles disposant d’autorisations commençant par microsoft.powerApps.powerBI.
Référence d’audit et de surveillance Rôles spécifiques à Fabric dans Microsoft Entra ID
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie RoleManagement

Portail de support unifié pour la gestion des dossiers de support client

Inclut le portail de support unifié et Services Hub.

Zone Contenu
Vue d’ensemble Autorisations et rôles de Services Hub
Informations de référence sur l’API de gestion Gérez ces rôles dans le portail Services Hub, https://serviceshub.microsoft.com.

Autorisations d’application Microsoft Graph

En plus des systèmes de contrôle d’accès basé sur les rôles mentionnés précédemment, des élévations d’autorisations peuvent être accordées aux inscriptions d’applications Microsoft Entra et aux principaux de service à l’aide des autorisations d’application. Par exemple, une identité d’application non interactive et non humaine peut être autorisée à lire tous les messages dans un locataire (autorisation d’application Mail.Read). Le tableau suivant répertorie comment gérer et surveiller les autorisations d’application.

Zone Contenu
Vue d’ensemble Vue d’ensemble des autorisations de Microsoft Graph
Informations de référence sur l’API de gestion Rôles spécifiques à Microsoft Graph dans Microsoft Entra ID
API servicePrincipal v1.0 Microsoft Graph
• Énumérez les appRoleAssignments pour chaque servicePrincipal dans le locataire.
• Pour chaque appRoleAssignment, obtenez des informations sur les autorisations accordées par l’attribution en lisant la propriété appRole de l’objet servicePrincipal référencé par les resourceId et appRoleId dans appRoleAssignment.
• Les autorisations d’application pour Microsoft Graph (servicePrincipal avec appID == « 00000003-0000-0000-c000-000000000000 ») qui accordent l’accès à Exchange, SharePoint, Teams, etc., présentent un intérêt spécifique. Voici une référence pour les autorisations Microsoft Graph.
• Voir aussi les opérations de sécurité Microsoft Entra pour les applications.
Référence d’audit et de surveillance Rôles spécifiques à Microsoft Graph dans Microsoft Entra ID
Vue d’ensemble des journaux d’activité Microsoft Entra
Accès d’API aux journaux d’audit Microsoft Entra :
API directoryAudit v1.0 Microsoft Graph
• Audits avec la catégorie ApplicationManagement et le nom d’activité Add app role assignment to service principal

Étapes suivantes