Créer un rôle personnalisé dans l’ID Microsoft Entra

Cet article explique comment créer un rôle personnalisé dans Microsoft Entra ID à l’aide du Centre d’administration Microsoft Entra, de Microsoft Graph PowerShell ou de l’API Microsoft Graph.

Pour connaître les principes de base des rôles personnalisés, consultez la vue d’ensemble des rôles personnalisés . Le rôle peut être affecté soit au niveau de l’étendue au niveau du répertoire, soit à une étendue de ressource d’inscription d’application uniquement. Pour plus d’informations sur le nombre maximal de rôles personnalisés qui peuvent être créés dans une organisation Microsoft Entra, consultez limites et restrictions du service Microsoft Entra.

Conditions préalables

• Licence Microsoft Entra ID P1 ou P2
• Administrateur de rôle privilégié
• Module Microsoft Graph PowerShell lors de l’utilisation de PowerShell
• Consentement administrateur lors de l’utilisation de l’Explorateur Graph pour l’API Microsoft Graph

Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou l’Explorateur Graph.

centre d’administration

Créer un rôle personnalisé

Ces étapes décrivent comment créer un rôle personnalisé dans le Centre d’administration Microsoft Entra pour gérer les inscriptions d’applications.

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail à partir duquel vous commencez.

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu'administrateur de rôle privilégié au moins.

2. Accédez à Identité>Rôles et administrateurs>Rôles et administrateurs.

3. Sélectionnez nouveau rôle personnalisé.

   

4. Sous l’onglet De base, fournissez un nom et une description pour le rôle.

   Vous pouvez cloner les autorisations de base à partir d’un rôle personnalisé, mais vous ne pouvez pas cloner un rôle intégré.

   

5. Sous l’onglet Autorisations, sélectionnez les autorisations nécessaires pour gérer les propriétés de base et les propriétés d’informations d’identification des inscriptions d’applications. Pour obtenir une description détaillée de chaque permission, consultez Autorisations et sous-types d’inscription d’application dans Microsoft Entra ID.

   1. Tout d’abord, entrez « informations d’identification » dans la barre de recherche et sélectionnez l’autorisation microsoft.directory/applications/credentials/update.

      

   2. Ensuite, entrez « Essentiel » dans la barre de recherche, sélectionnez l’autorisation microsoft.directory/applications/basic/update, puis cliquez sur Suivant.

6. Sous l’onglet Vérifier + créer, passez en revue les autorisations et sélectionnez Créer.

   Votre rôle personnalisé s’affiche dans la liste des rôles disponibles à attribuer.

PowerShell

Se connecter

Utilisez la commande Connect-MgGraph pour vous connecter à votre locataire.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Créer un rôle personnalisé

Créez un rôle à l’aide du script PowerShell suivant :

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
      
# Set of permissions to grant
$rolePermissions = @{
    "allowedResourceActions" = @(
        "microsoft.directory/applications/basic/update",
        "microsoft.directory/applications/credentials/update"
    )
}
      
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
    -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true

Mettre à jour un rôle personnalisé

# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
   -DisplayName "Updated DisplayName"

Supprimer un rôle personnalisé

# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f

API Graph

Créer un rôle personnalisé

Procédez comme suit :

1. Utilisez l’API Create unifiedRoleDefinition pour créer un rôle personnalisé.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Corps

   {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
   }
   

   Note

   "templateId": "GUID" est un paramètre facultatif qui est envoyé dans le corps en fonction des besoins. Si vous avez besoin de créer plusieurs rôles personnalisés différents avec des paramètres communs, il est préférable de créer un modèle et de définir une valeur templateId. Vous pouvez générer une valeur templateId au préalable à l’aide de l’applet de commande PowerShell (New-Guid).Guid.

2. Utilisez l’API Create unifiedRoleAssignment pour attribuer le rôle personnalisé.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   

   Corps

   {
   "principalId":"<GUID OF USER>",
   "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
   "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
   }
   

Contenu connexe

• Attribuer des rôles Microsoft Entra
• Rôles intégrés Microsoft Entra
• Comparaison des autorisations par défaut d’un utilisateur invité et membre