Créer des rôles personnalisés pour gérer les applications d’entreprise dans Microsoft Entra ID
Cet article explique comment créer un rôle personnalisé avec des autorisations pour gérer les attributions d’applications d’entreprise pour les utilisateurs et groupes dans AMicrosoft Entra ID. Pour connaître les éléments des attributions de rôles et la signification des termes tels que le sous-type, l’autorisation et le jeu de propriétés, consultez Vue d’ensemble des rôles personnalisés.
Prérequis
- Licence Microsoft Entra ID P1 ou P2
- Administrateur de rôle privilégié
- Microsoft Graph PowerShell SDK installé lors de l'utilisation de PowerShell
- Consentement administrateur (avec l’Afficheur Graph pour l’API Microsoft Graph)
Pour plus d’informations, consultez Configuration requise pour l’utilisation de PowerShell ou de l’Explorateur graphique.
Autorisations des rôles des applications d’entreprise
Deux autorisations d’applications d’entreprise sont décrites dans cet article. Tous les exemples utilisent l’autorisation de mise à jour.
- Pour lire les attributions d’utilisateurs et de groupes au niveau de l’étendue, accordez l’autorisation
microsoft.directory/servicePrincipals/appRoleAssignedTo/read
- Pour gérer les attributions d’utilisateurs et de groupes au niveau de l’étendue, accordez l’autorisation
microsoft.directory/servicePrincipals/appRoleAssignedTo/update
L’octroi de l’autorisation de mise à jour permet au destinataire de gérer les attributions d’utilisateurs et de groupes aux applications d’entreprise. L’étendue des attributions d’utilisateurs et/ou de groupes peut être accordée pour une seule application ou pour toutes les applications. Si elle est accordée au niveau de l’organisation, le destinataire peut gérer les attributions pour toutes les applications. Si elle est accordée au niveau de l’application, le destinataire peut uniquement gérer les attributions pour l’application spécifiée.
L’octroi de l’autorisation de mise à jour s’effectue en deux étapes :
- Créer un rôle personnalisé avec l’autorisation
microsoft.directory/servicePrincipals/appRoleAssignedTo/update
- Octroyez aux utilisateurs ou groupes des autorisations pour gérer les attributions d’utilisateurs et de groupes aux applications d’entreprise. Vous pouvez alors définir l’étendue au niveau de l’organisation ou d’une application unique.
Centre d'administration Microsoft Entra
Créer un rôle personnalisé
Conseil
Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.
Dans le centre d'administration de Microsoft Entra, vous pouvez créer et gérer des rôles personnalisés pour contrôler l'accès et les permissions pour les applications d'entreprise.
Remarque
Les rôles personnalisés sont créés et gérés au niveau de l’organisation, et sont uniquement disponibles à partir de la page Vue d’ensemble de l’organisation.
Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
Accédez à Identité>Rôles et administrateurs>Rôles et administrateurs.
Sélectionnez Nouveau rôle personnalisé.
Sous l’onglet De base, indiquez « Gérer les attributions d’utilisateurs et de groupes » pour le nom du rôle et « Octroyer des autorisations pour gérer les attributions d’utilisateurs et de groupes » pour la description de rôle, puis sélectionnez Suivant.
Sous l'onglet Autorisations, entrez « microsoft.directory/servicePrincipals/appRoleAssignedTo/update » dans la zone de recherche, activez les cases à cocher en regard des autorisations souhaitées, puis sélectionnez Suivant.
Sur l’onglet Vérifier + Créer, vérifiez les permissions, puis sélectionnez Créer.
Attribuez le rôle à un utilisateur à l'aide du centre d'administration Microsoft Entra
Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
Accédez à Identité>Rôles et administrateurs>Rôles et administrateurs.
Sélectionnez le rôle Gérer les attributions d’utilisateurs et de groupes.
Sélectionnez Ajouter une attribution, sélectionnez l’utilisateur souhaité, puis cliquez sur Sélectionner pour ajouter une attribution de rôle à cet utilisateur.
Conseils relatifs aux attributions
Pour octroyer des autorisations aux destinataires afin de gérer les utilisateurs et l’accès au groupe pour toutes les applications d’entreprise à l’échelle de l’organisation, commencez par la liste Roles et administrateurs de la page Vue d’ensemble Microsoft Entra ID de votre organisation.
Pour octroyer des autorisations aux destinataires afin de gérer les utilisateurs et l’accès au groupe pour une application d’entreprise spécifique, accédez à cette application dans Microsoft Entra ID et ouvrez la liste Rôles et administrateurs de cette application. Sélectionnez le nouveau rôle personnalisé et terminez l’attribution d’utilisateurs ou de groupe. Les destinataires peuvent uniquement gérer l’accès des utilisateurs et des groupes pour l’application spécifique.
Pour tester l’attribution de votre rôle personnalisé, connectez-vous en tant que destinataire et ouvrez la page Utilisateurs et groupes de l’application afin de vérifier que l’option Ajouter un utilisateur est activée.
PowerShell
Pour plus d’informations, consultez Créer et attribuer un rôle personnalisé dans Microsoft Entra ID et Affecter des rôles personnalisés avec une étendue de ressources à l’aide de PowerShell.
Créer un rôle personnalisé
Créez un nouveau rôle à l’aide du script PowerShell suivant :
# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission
# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
-DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled
Attribuer le rôle personnalisé
Attribuez le rôle à l’aide de ce script PowerShell.
# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"
# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id
# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
-PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id
API Microsoft Graph
Utilisez l’API Create unifiedRoleDefinition pour créer un rôle personnalisé. Pour plus d’informations, consultez Créer et attribuer un rôle personnalisé dans Microsoft Entra ID et Attribuer des rôles d’administrateur personnalisés à l’aide de l’API Microsoft Graph.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
{
"description": "Can manage user and group assignments for Applications.",
"displayName": "Manage user and group assignments",
"isEnabled": true,
"rolePermissions":
[
{
"allowedResourceActions":
[
"microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
]
}
],
"templateId": "<PROVIDE NEW GUID HERE>",
"version": "1"
}
Assigner le rôle personnalisé à l’aide de l’API Microsoft Graph
Utilisez l’API Create unifiedRoleAssignment pour affecter le rôle personnalisé. L’attribution de rôle combine un ID de principal de sécurité (qui peut être un utilisateur ou un principal de service), un ID de définition de rôle et une étendue de ressource Microsoft Entra. Pour plus d’informations sur les éléments d’une attribution de rôle, consultez Vue d’ensemble des rôles personnalisés
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
"roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
"directoryScopeId": "/"
}