Partager via


Créer des rôles personnalisés pour gérer les applications d’entreprise dans Microsoft Entra ID

Cet article explique comment créer un rôle personnalisé avec des autorisations pour gérer les attributions d’applications d’entreprise pour les utilisateurs et groupes dans AMicrosoft Entra ID. Pour connaître les éléments des attributions de rôles et la signification des termes tels que le sous-type, l’autorisation et le jeu de propriétés, consultez Vue d’ensemble des rôles personnalisés.

Prérequis

  • Licence Microsoft Entra ID P1 ou P2
  • Administrateur de rôle privilégié
  • Microsoft Graph PowerShell SDK installé lors de l'utilisation de PowerShell
  • Consentement administrateur (avec l’Afficheur Graph pour l’API Microsoft Graph)

Pour plus d’informations, consultez Configuration requise pour l’utilisation de PowerShell ou de l’Explorateur graphique.

Autorisations des rôles des applications d’entreprise

Deux autorisations d’applications d’entreprise sont décrites dans cet article. Tous les exemples utilisent l’autorisation de mise à jour.

  • Pour lire les attributions d’utilisateurs et de groupes au niveau de l’étendue, accordez l’autorisation microsoft.directory/servicePrincipals/appRoleAssignedTo/read
  • Pour gérer les attributions d’utilisateurs et de groupes au niveau de l’étendue, accordez l’autorisation microsoft.directory/servicePrincipals/appRoleAssignedTo/update

L’octroi de l’autorisation de mise à jour permet au destinataire de gérer les attributions d’utilisateurs et de groupes aux applications d’entreprise. L’étendue des attributions d’utilisateurs et/ou de groupes peut être accordée pour une seule application ou pour toutes les applications. Si elle est accordée au niveau de l’organisation, le destinataire peut gérer les attributions pour toutes les applications. Si elle est accordée au niveau de l’application, le destinataire peut uniquement gérer les attributions pour l’application spécifiée.

L’octroi de l’autorisation de mise à jour s’effectue en deux étapes :

  1. Créer un rôle personnalisé avec l’autorisation microsoft.directory/servicePrincipals/appRoleAssignedTo/update
  2. Octroyez aux utilisateurs ou groupes des autorisations pour gérer les attributions d’utilisateurs et de groupes aux applications d’entreprise. Vous pouvez alors définir l’étendue au niveau de l’organisation ou d’une application unique.

Centre d'administration Microsoft Entra

Créer un rôle personnalisé

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Dans le centre d'administration de Microsoft Entra, vous pouvez créer et gérer des rôles personnalisés pour contrôler l'accès et les permissions pour les applications d'entreprise.

Remarque

Les rôles personnalisés sont créés et gérés au niveau de l’organisation, et sont uniquement disponibles à partir de la page Vue d’ensemble de l’organisation.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Identité>Rôles et administrateurs>Rôles et administrateurs.

  3. Sélectionnez Nouveau rôle personnalisé.

    Ajouter un rôle personnalisé à partir de la liste des rôles dans Microsoft Entra ID

  4. Sous l’onglet De base, indiquez « Gérer les attributions d’utilisateurs et de groupes » pour le nom du rôle et « Octroyer des autorisations pour gérer les attributions d’utilisateurs et de groupes » pour la description de rôle, puis sélectionnez Suivant.

    Indiquer le nom et la description du rôle personnalisé

  5. Sous l'onglet Autorisations, entrez « microsoft.directory/servicePrincipals/appRoleAssignedTo/update » dans la zone de recherche, activez les cases à cocher en regard des autorisations souhaitées, puis sélectionnez Suivant.

    Ajouter les autorisations au rôle personnalisé

  6. Sur l’onglet Vérifier + Créer, vérifiez les permissions, puis sélectionnez Créer.

    Vous pouvez maintenant créer le rôle personnalisé.

Attribuez le rôle à un utilisateur à l'aide du centre d'administration Microsoft Entra

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Identité>Rôles et administrateurs>Rôles et administrateurs.

  3. Sélectionnez le rôle Gérer les attributions d’utilisateurs et de groupes.

    Ouvrir Rôles et administrateurs et rechercher le rôle personnalisé

  4. Sélectionnez Ajouter une attribution, sélectionnez l’utilisateur souhaité, puis cliquez sur Sélectionner pour ajouter une attribution de rôle à cet utilisateur.

    Ajouter une attribution pour le rôle personnalisé à l’utilisateur

Conseils relatifs aux attributions

  • Pour octroyer des autorisations aux destinataires afin de gérer les utilisateurs et l’accès au groupe pour toutes les applications d’entreprise à l’échelle de l’organisation, commencez par la liste Roles et administrateurs de la page Vue d’ensemble Microsoft Entra ID de votre organisation.

  • Pour octroyer des autorisations aux destinataires afin de gérer les utilisateurs et l’accès au groupe pour une application d’entreprise spécifique, accédez à cette application dans Microsoft Entra ID et ouvrez la liste Rôles et administrateurs de cette application. Sélectionnez le nouveau rôle personnalisé et terminez l’attribution d’utilisateurs ou de groupe. Les destinataires peuvent uniquement gérer l’accès des utilisateurs et des groupes pour l’application spécifique.

  • Pour tester l’attribution de votre rôle personnalisé, connectez-vous en tant que destinataire et ouvrez la page Utilisateurs et groupes de l’application afin de vérifier que l’option Ajouter un utilisateur est activée.

    Vérifier les autorisations des utilisateurs

PowerShell

Pour plus d’informations, consultez Créer et attribuer un rôle personnalisé dans Microsoft Entra ID et Affecter des rôles personnalisés avec une étendue de ressources à l’aide de PowerShell.

Créer un rôle personnalisé

Créez un nouveau rôle à l’aide du script PowerShell suivant :

# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
   -DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled

Attribuer le rôle personnalisé

Attribuez le rôle à l’aide de ce script PowerShell.

# Get the user and role definition you want to link
$user =  Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"

# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

API Microsoft Graph

Utilisez l’API Create unifiedRoleDefinition pour créer un rôle personnalisé. Pour plus d’informations, consultez Créer et attribuer un rôle personnalisé dans Microsoft Entra ID et Attribuer des rôles d’administrateur personnalisés à l’aide de l’API Microsoft Graph.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

{
    "description": "Can manage user and group assignments for Applications.",
    "displayName": "Manage user and group assignments",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Assigner le rôle personnalisé à l’aide de l’API Microsoft Graph

Utilisez l’API Create unifiedRoleAssignment pour affecter le rôle personnalisé. L’attribution de rôle combine un ID de principal de sécurité (qui peut être un utilisateur ou un principal de service), un ID de définition de rôle et une étendue de ressource Microsoft Entra. Pour plus d’informations sur les éléments d’une attribution de rôle, consultez Vue d’ensemble des rôles personnalisés

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Étapes suivantes