Attribuer des rôles Microsoft Entra

Cet article explique comment attribuer des rôles Microsoft Entra à des utilisateurs et des groupes à l’aide du Centre d’administration Microsoft Entra, de Microsoft Graph PowerShell ou de l’API Microsoft Graph. Il décrit également comment attribuer des rôles à différents périmètres, tels que le locataire, l’enregistrement d’application et les périmètres d’unité administrative.

Vous pouvez attribuer des attributions de rôles directes et indirectes à un utilisateur. Si un utilisateur est affecté à un rôle par appartenance à un groupe, ajoutez l’utilisateur au groupe pour ajouter l’attribution de rôle. Pour plus d’informations, consultez Utiliser des groupes Microsoft Entra pour gérer les attributions de rôles.

Dans Microsoft Entra ID, les rôles sont généralement attribués pour s’appliquer à l’ensemble du locataire. Toutefois, vous pouvez également attribuer des rôles Microsoft Entra pour différentes ressources, telles que les inscriptions d’applications ou les unités administratives. Par exemple, vous pouvez affecter le rôle Administrateur du support technique afin qu’il s’applique simplement à une unité administrative particulière et non à l’ensemble du locataire. Les ressources auxquelles s’applique une attribution de rôle sont également appelées étendue. La restriction de l’étendue d’une attribution de rôle est prise en charge pour les rôles intégrés et personnalisés. Pour plus d’informations sur l’étendue, consultez Vue d’ensemble du contrôle d’accès en fonction du rôle (RBAC) dans Microsoft Entra ID.

Rôles Microsoft Entra dans PIM

Si vous disposez d’une licence Microsoft Entra ID P2 et que Privileged Identity Management (PIM), vous disposez de fonctionnalités supplémentaires lors de l’attribution de rôles, telles que la possibilité pour un utilisateur d’attribuer un rôle ou de définir l’heure de début et de fin d’une attribution de rôle. Pour plus d’informations sur l’attribution de rôles Microsoft Entra dans PIM, consultez les articles suivants :

Méthode	Information
Centre d’administration Microsoft Entra	Attribuer des rôles Microsoft Entra dans Privileged Identity Management
Microsoft Graph PowerShell	Tutoriel : Attribuer des rôles Microsoft Entra dans Privileged Identity Management à l’aide de Microsoft Graph PowerShell
Microsoft Graph API	Gérer les attributions de rôles Microsoft Entra à l’aide d’API PIM Attribuer des rôles Microsoft Entra dans Privileged Identity Management

Conditions préalables

• Administrateur de rôle privilégié
• Module Microsoft Graph PowerShell lors de l’utilisation de PowerShell
• Consentement de l’administrateur lors de l’utilisation de l’Explorateur Graph pour l’API Microsoft Graph

Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou l’Explorateur Graph.

Attribuer des rôles aux locataires

Cette section explique comment attribuer des rôles au niveau d’un locataire.

centre d’administration

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail à partir duquel vous commencez.

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’au moins un administrateur de rôle privilégié .

2. Accédez à Identité>Rôles & Administrateurs>Unités d’administration.

   

3. Sélectionnez un nom de rôle pour ouvrir le rôle. N’ajoutez pas de case à cocher à côté du rôle.

   

4. Sélectionnez Ajouter des affectations, puis sélectionnez les utilisateurs ou les groupes que vous souhaitez attribuer à ce rôle.

   Seuls les groupes assignables aux rôles sont affichés. Si un groupe n’est pas répertorié, vous devez créer un groupe assignable à un rôle. Pour plus d’informations, consultez Créer un groupe assignable de rôle dans Microsoft Entra ID.

   Si votre expérience est différente de la capture d’écran suivante, vous pouvez avoir Microsoft Entra ID P2 et PIM. Pour plus d’informations, consultez Attribuer des rôles Microsoft Entra dans Privileged Identity Management.

   

5. Sélectionnez Ajouter pour attribuer le rôle.

PowerShell

Suivez ces étapes pour attribuer des rôles Microsoft Entra à l’aide de PowerShell.

1. Ouvrez une fenêtre PowerShell. Si nécessaire, utilisez install-module pour installer Microsoft Graph PowerShell. Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou l’Explorateur Graph.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Dans une fenêtre PowerShell, utilisez Connect-MgGraph pour vous connecter à votre locataire.

   Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
   

3. Utilisez Get-MgUser pour obtenir l'utilisateur.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Utilisez Get-MgGroup pour obtenir le groupe assignable au rôle.

   $group = Get-MgGroup -Filter "DisplayName eq 'Contoso Helpdesk'"
   

4. Utilisez Get-MgRoleManagementDirectoryRoleDefinition pour obtenir le rôle que vous souhaitez attribuer.

   Pour afficher la liste des ID de définition de rôle pour tous les rôles intégrés, consultez Rôles intégrés Microsoft Entra.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"
   

5. Définissez le locataire comme étendue de l’attribution de rôle.

   $directoryScope = '/'
   

6. Utilisez New-MgRoleManagementDirectoryRoleAssignment pour attribuer le rôle.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $group.Id `
       -RoleDefinitionId $roleDefinition.Id
   

   Voici une autre façon d’attribuer un rôle.

   $params = @{
      "directoryScopeId" = "/" 
      "principalId" = $group.Id
      "roleDefinitionId" = $roleDefinition.Id
   }
   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -BodyParameter $params
   

API Graph

Suivez ces instructions pour attribuer un rôle à l’aide de l’API Microsoft Graph dans l’Explorateur Graph.

1. Connectez-vous à l’Afficheur Graph.

2. Utilisez l’API List users pour obtenir l’utilisateur.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

   Utilisez l'API Liste des groupes pour obtenir le groupe assignable à un rôle.

   GET https://graph.microsoft.com/v1.0/groups?$filter=displayName eq 'Contoso Helpdesk'
   

3. Utilisez l’API List unifiedRoleDefinitions pour obtenir le rôle que vous souhaitez attribuer.

   Pour afficher la liste des ID de définition de rôle pour tous les rôles intégrés, consultez Rôles intégrés Microsoft Entra.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'
   

4. Utilisez l’API Create unifiedRoleAssignment pour attribuer le rôle.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user or group>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/"
   }
   

   Réponse

   HTTP/1.1 201 Created
   Content-type: application/json
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
       "id": "<Role assignment ID>",
       "roleDefinitionId": "<ID of role definition>",
       "principalId": "<Object ID of user or group>",
       "directoryScopeId": "/"
   }
   

   Si la définition du principal ou du rôle n’existe pas, la réponse est introuvable.

   Réponse

   HTTP/1.1 404 Not Found
   

Attribuer des rôles dans le cadre de l'enregistrement d'une application

Les rôles intégrés et les rôles personnalisés sont attribués par défaut à l'échelle du locataire pour accorder des autorisations d’accès sur tous les enregistrements d’applications de votre organisation. En outre, des rôles personnalisés et certains rôles intégrés pertinents (en fonction du type de ressource Microsoft Entra) peuvent également être attribués à l’étendue d’une seule ressource Microsoft Entra. Cela vous permet de donner à l’utilisateur l’autorisation de mettre à jour les informations d’identification et les propriétés de base d’une application unique sans avoir à créer un deuxième rôle personnalisé.

Cette section explique comment attribuer des rôles au niveau d'une étendue d’enregistrement de l’application.

centre d’administration

1. Connectez-vous au Centre d’administration Microsoft Entra en tant que Développeur d’application.

2. Accédez à Identité>Applications>Inscriptions d’applications.

3. Sélectionnez une application. Vous pouvez utiliser la zone de recherche pour rechercher l’application souhaitée.

   Vous devrez peut-être sélectionner Toutes les applications pour afficher la liste complète des enregistrements d'applications dans votre espace locataire.

   Capture d’écran

4. Sélectionnez Rôles et administrateurs dans le menu de navigation de gauche pour afficher la liste de tous les rôles disponibles pour l'inscription de l'application.

   

5. Sélectionnez le rôle souhaité.

   Conseil

   Vous ne verrez pas la liste complète des rôles intégrés ou personnalisés De Microsoft Entra ici. Ceci est attendu. Nous affichons les rôles qui disposent d’autorisations relatives à la gestion des inscriptions d’applications uniquement.

6. Sélectionnez Ajouter des affectations, puis sélectionnez les utilisateurs ou les groupes auxquels vous souhaitez attribuer ce rôle.

   

7. Sélectionnez Ajouter pour attribuer le rôle au niveau de l’inscription d’application.

PowerShell

Suivez ces étapes pour affecter des rôles Microsoft Entra au niveau de l’étendue de l’application à l’aide de PowerShell.

1. Ouvrez une fenêtre PowerShell. Si nécessaire, utilisez install-module pour installer Microsoft Graph PowerShell. Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou l’Explorateur Graph.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Dans une fenêtre PowerShell, utilisez Connect-MgGraph pour vous connecter à votre locataire.

   Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Utilisez Get-MgUser pour obtenir l'utilisateur.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Pour affecter le rôle à un principal de service au lieu d’un utilisateur, utilisez la commande Get-MgServicePrincipal.

4. Utilisez Get-MgRoleManagementDirectoryRoleDefinition pour obtenir le rôle que vous souhaitez attribuer.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'Application Administrator'"
   

5. Utilisez Get-MgApplication pour obtenir l’inscription d’application au niveau de laquelle vous souhaitez attribuer le rôle.

   $appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'"
   $directoryScope = '/' + $appRegistration.Id
   

6. Utilisez New-MgRoleManagementDirectoryRoleAssignment pour attribuer le rôle.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id 
   

API Graph

Suivez ces instructions pour attribuer un rôle dans le cadre de l'application à l’aide de l’API Microsoft Graph dans Graph Explorer.

1. Connectez-vous à l’Afficheur Graph.

2. Utilisez l’API List users pour obtenir l’utilisateur.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Utilisez l’API List unifiedRoleDefinitions pour obtenir le rôle que vous souhaitez attribuer.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'
   

4. Utilisez la Répertorier les applications API pour obtenir l’application à laquelle vous souhaitez que l’attribution de rôle soit étendue.

   GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'
   

5. Utilisez l’API Create unifiedRoleAssignment pour attribuer le rôle.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/<Object ID of app registration>"
   }
   

   Réponse

   HTTP/1.1 201 Created
   

   Remarque

   Dans cet exemple, directoryScopeId est spécifiée en tant que /<ID>, contrairement à la section d’unité administrative. C’est par conception. La portée de /<ID> signifie que le mandataire peut gérer cet objet Microsoft Entra. L’étendue /administrativeUnits/<ID> signifie que le principal peut gérer les membres de l’unité administrative (en fonction du rôle attribué au principal), et non pas l’unité administrative elle-même.

Affecter des rôles avec une étendue d’unité administrative

Dans Microsoft Entra ID, pour avoir un contrôle administratif plus granulaire, vous pouvez attribuer un rôle Microsoft Entra avec une étendue limitée à une ou plusieurs unités administratives. Lorsqu’un rôle Microsoft Entra est attribué à l’étendue d’une unité administrative, les autorisations de rôle s’appliquent uniquement lors de la gestion des membres de l’unité administrative elle-même et ne s’appliquent pas aux paramètres ou configurations à l’échelle du locataire.

Par exemple, un administrateur qui est assigné au rôle d'Administrateur de groupes dans le cadre d’une unité administrative peut gérer les groupes qui sont membres de l’unité administrative, mais il ne peut pas gérer d’autres groupes dans le locataire. Il lui est également impossible de gérer les paramètres au niveau du locataire en rapport avec les groupes, tels que les stratégies d’expiration ou de nommage des groupes.

Cette section explique comment attribuer des rôles Microsoft Entra avec le périmètre de l’unité administrative.

Conditions préalables

• Licence Microsoft Entra ID P1 ou P2 pour chaque administrateur d’unité administrative
• Licences Gratuites d’ID Microsoft Entra pour les membres de l’unité administrative
• Administrateur de rôle privilégié
• Module Microsoft Graph PowerShell lors de l’utilisation de PowerShell
• Consentement de l’administrateur lors de l’utilisation de l’Explorateur Graph pour l’API Microsoft Graph

Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou l’Explorateur Graph.

Rôles qui peuvent être attribués dans le cadre de l'étendue d'une unité administrative

Les rôles suivants de Microsoft Entra peuvent être assignés à une unité administrative spécifique. En outre, tout rôle personnalisé peut être attribué avec une étendue d’unité administrative tant que les autorisations du rôle personnalisé incluent au moins une autorisation pertinente pour les utilisateurs, les groupes ou les appareils.

Rôle	Description
Administrateur d’authentification	Dispose du droit de consulter, définir et réinitialiser les informations des méthodes d'authentification pour tout utilisateur non administrateur uniquement dans l'unité administrative attribuée.
Administrateur d'appareil Cloud	Accès limité pour gérer les appareils dans l’ID Microsoft Entra.
Administrateur de groupes	Peut gérer tous les aspects des groupes dans l’unité administrative affectée uniquement.
administrateur du support technique	Peut réinitialiser les mots de passe pour les non-administrateurs dans l’unité administrative affectée uniquement.
Administrateur de licences	Peut attribuer, supprimer et mettre à jour des attributions de licences uniquement au sein de l’unité administrative.
administrateur de mot de passe	Peut réinitialiser les mots de passe pour les non-administrateurs au sein de l’unité administrative affectée uniquement.
administrateur d’imprimante	Peut gérer les imprimantes et les connecteurs d’imprimante. Pour plus d’informations, consultez Déléguer l’administration des imprimantes dans l’impression universelle.
administrateur d’authentification privilégié	Peut accéder à l’affichage, à la définition et à la réinitialisation des informations de méthode d’authentification pour n’importe quel utilisateur (administrateur ou non administrateur).
Administrateur SharePoint	Peut gérer uniquement les groupes Microsoft 365 dans l’unité administrative affectée. Pour les sites SharePoint associés à des groupes Microsoft 365 dans une unité administrative, peuvent également mettre à jour les propriétés du site (nom du site, URL et stratégie de partage externe) à l’aide du Centre d’administration Microsoft 365. Impossible d’utiliser le Centre d’administration SharePoint ou les API SharePoint pour gérer les sites.
Administrateur Teams	Peut gérer uniquement les groupes Microsoft 365 dans l’unité administrative affectée. Peut gérer les membres de l’équipe dans le Centre d’administration Microsoft 365 pour les équipes associées aux groupes dans l’unité administrative affectée uniquement. Impossible d’utiliser le Centre d’administration Teams.
Administrateur d’appareils Teams	Peut effectuer des tâches liées à la gestion sur des appareils certifiés Teams.
administrateur d’utilisateurs	Peut gérer tous les aspects des utilisateurs et des groupes, y compris la réinitialisation des mots de passe pour les administrateurs limités au sein de l’unité administrative affectée uniquement. Impossible de gérer actuellement les photos de profil des utilisateurs.
<rôle personnalisé>	Peut effectuer des actions qui s’appliquent aux utilisateurs, groupes ou appareils, en fonction de la définition du rôle personnalisé.

Certaines autorisations de rôle s’appliquent uniquement aux utilisateurs non administrateurs lorsqu’ils sont affectés à l’étendue d’une unité administrative. En d’autres termes, l’unité administrative délimitée à Administrateurs du Support Technique peut réinitialiser les mots de passe des utilisateurs de l’unité administrative uniquement si ces utilisateurs n’ont pas de rôles d’administrateur. La liste suivante d’autorisations est restreinte lorsque la cible d’une action est un autre administrateur :

• Lire et modifier les méthodes d’authentification utilisateur ou réinitialiser les mots de passe utilisateur
• Modifier les propriétés d’utilisateur sensibles telles que les numéros de téléphone, les adresses e-mail alternatives ou les clés secrètes D’autorisation (OAuth)
• Supprimer ou restaurer des comptes d’utilisateur

Principaux de sécurité auxquels une étendue d’unité administrative peut être affectée

Les principaux de sécurité suivants peuvent être affectés à un rôle dans le cadre d'une unité administrative :

• Utilisateurs
• Groupes compatibles avec l’attribution de rôle Microsoft Entra
• Principaux de service

Principaux de service et utilisateurs invités

Les principaux de service et les utilisateurs invités ne pourront pas utiliser une attribution de rôle délimitée à une unité administrative, sauf s’ils reçoivent également des autorisations correspondantes pour lire les objets. Cela est dû au fait que les principaux de service et les utilisateurs invités ne reçoivent pas d’autorisations de lecture d’annuaire par défaut, qui sont nécessaires pour effectuer des actions administratives. Pour permettre à un principal de service ou à un utilisateur invité d’utiliser une attribution de rôle étendue à une unité administrative, vous devez affecter le rôle Lecteurs d’annuaires (ou un autre rôle qui inclut des autorisations de lecture) dans une étendue de locataire.

Il n’est actuellement pas possible d’attribuer des autorisations de lecture d’annuaire limitées à une unité administrative. Pour plus d’informations sur les autorisations par défaut pour les utilisateurs, consultez autorisations utilisateur par défaut.

Affecter des rôles avec une étendue d’unité administrative

Cette section explique comment attribuer des rôles à l’étendue de l’unité administrative.

centre d’administration

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu'administrateur de rôle privilégié au minimum.

2. Accédez à Identité>Rôles & Administrateurs>Unités d’administration.

3. Sélectionnez une unité administrative.

   capture d’écran

4. Sélectionnez rôles et administrateurs dans le menu de navigation de gauche pour afficher la liste de tous les rôles disponibles pour être attribués sur une unité administrative.

   

5. Sélectionnez le rôle souhaité.

   Conseil

   Vous ne verrez pas la liste complète des rôles intégrés ou personnalisés De Microsoft Entra ici. Ceci est attendu. Nous affichons les rôles qui ont des autorisations relatives aux objets pris en charge dans l’unité administrative. Pour afficher la liste des objets pris en charge dans une unité administrative, consultez Unités administratives dans Microsoft Entra ID.

6. Sélectionnez Ajouter des affectations, puis sélectionnez les utilisateurs ou les groupes auxquels vous souhaitez attribuer ce rôle.

7. Sélectionnez Ajouter pour attribuer le rôle ayant pour périmètre l'unité administrative.

PowerShell

Suivez ces étapes pour attribuer des rôles Microsoft Entra au niveau de l’étendue de l’unité administrative à l’aide de PowerShell.

1. Ouvrez une fenêtre PowerShell. Si nécessaire, utilisez install-module pour installer Microsoft Graph PowerShell. Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou l’Explorateur Graph.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Dans une fenêtre PowerShell, utilisez Connect-MgGraph pour vous connecter à votre locataire.

   Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Utilisez Get-MgUser pour obtenir l'utilisateur.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

4. Utilisez Get-MgRoleManagementDirectoryRoleDefinition pour obtenir le rôle que vous souhaitez attribuer.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'User Administrator'"
   

5. Utilisez Get-MgDirectoryAdministrativeUnit pour obtenir l’unité administrative à laquelle vous souhaitez que l’attribution de rôle soit étendue.

   $adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'"
   $directoryScope = '/administrativeUnits/' + $adminUnit.Id
   

6. Utilisez New-MgRoleManagementDirectoryRoleAssignment pour attribuer le rôle.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

API Graph

Suivez ces instructions pour attribuer un rôle au niveau de l’unité administrative à l’aide de l’API Microsoft Graph dans Afficheur Graph.

Attribuer un rôle à l’aide de l’API Create unifiedRoleAssignment

1. Connectez-vous à l’Afficheur Graph.

2. Utilisez l’API List users pour obtenir l’utilisateur.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Utilisez l’API List unifiedRoleDefinitions pour obtenir le rôle que vous souhaitez attribuer.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'
   

4. Utilisez l’API List administrativeUnits pour obtenir l’unité administrative à laquelle vous souhaitez que l’attribution de rôle soit étendue.

   GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'
   

5. Utilisez l’API Create unifiedRoleAssignment pour attribuer le rôle.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/administrativeUnits/<Object ID of administrative unit>"
   }
   

   Réponse

   HTTP/1.1 201 Created
   

   Si le rôle n’est pas pris en charge, la réponse est une requête incorrecte.

   HTTP/1.1 400 Bad Request
   {
       "odata.error":
       {
           "code":"Request_BadRequest",
           "message":
           {
               "message":"The given built-in role is not supported to be assigned to a single resource scope."
           }
       }
   }
   

   Remarque

   Dans cet exemple, directoryScopeId est spécifié en tant que /administrativeUnits/<ID>, au lieu de /<ID>. C’est par conception. L’étendue /administrativeUnits/<ID> signifie que le principal peut gérer les membres de l’unité administrative (en fonction du rôle attribué au principal), et non pas l’unité administrative elle-même. La portée de /<ID> signifie que le mandataire peut gérer cet objet Microsoft Entra lui-même. Dans la section d’inscription d’application, vous voyez que l’étendue est /<ID>, car un rôle délimité sur une inscription d’application accorde le privilège de gérer l’objet lui-même.

Attribuer un rôle à l’aide d’une API scopedRoleMember

Vous pouvez également utiliser l'Ajouter une API scopedRoleMember pour attribuer un rôle avec une étendue d’unité administrative.

Demande

POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Corps

{
  "roleId": "roleId-value",
  "roleMemberInfo": {
    "id": "id-value"
  }
}

Étapes suivantes

• Répertorier les attributions de rôle Microsoft Entra
• Attribuer des rôles Microsoft Entra dans Privileged Identity Management
• Utiliser des groupes Microsoft Entra pour gérer les attributions de rôles
• Résoudre les problèmes de rôles Microsoft Entra attribués à des groupes