Répertorier les définitions de rôle Microsoft Entra

Cet article explique comment répertorier les fichiers de définitions de rôles intégrés et personnalisés Microsoft Entra et leurs autorisations à l’aide du Centre d’administration Microsoft Entra, de Microsoft Graph PowerShell ou de Microsoft API Graph.

Une définition de rôle est une collection d’autorisations qui peuvent être effectuées, comme lire, écrire et supprimer. Il est habituellement appelé un rôle. Microsoft Entra ID possède plus de 100 rôles intégrés ou vous pouvez créer vos propres rôles personnalisés. Si vous vous êtes déjà demandé « À quoi ces rôles servent-ils vraiment ? », vous pouvez accéder à une liste détaillée des autorisations pour chacun des rôles.

Prérequis

• Module Microsoft Graph PowerShell lors de l’utilisation de PowerShell
• Consentement administrateur (avec l’Afficheur Graph pour l’API Microsoft Graph)

Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou de l’Afficheur Graph.

Répertorier les définitions de rôle Microsoft Entra

Centre d’administration

1. Connectez-vous au centre d’administration Microsoft Entra.

2. Accédez à Identité>Rôles et administrateurs>Rôles et administrateurs.

   

3. Sélectionnez un nom de rôle pour ouvrir le rôle. N’ajoutez pas de coche à côté du rôle.

   

4. Sélectionnez Description pour afficher le résumé et la liste des autorisations pour le rôle.

   Cette page inclut des liens vers la documentation correspondante pour vous guider tout au long de la gestion des rôles.

   

PowerShell

Suivez ces étapes pour répertorier les rôles Microsoft Entra avec PowerShell.

1. Ouvrez une fenêtre PowerShell. Si nécessaire, utilisez Install-Module pour installer Microsoft Graph PowerShell. Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou de l’Afficheur Graph.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Dans une fenêtre PowerShell, utilisez Connect-McGraph pour vous connecter à votre locataire.

   Connect-MgGraph -Scopes "RoleManagement.Read.All"
   

3. Utiliser Get-MgRoleManagementDirectoryRoleDefinition pour obtenir les rôles.

   # Get all role definitions
   Get-MgRoleManagementDirectoryRoleDefinition
   
   # Get single role definition by ID
   Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId 00000000-0000-0000-0000-000000000000
   
   # Get single role definition by templateId
   Get-MgRoleManagementDirectoryRoleDefinition -Filter "TemplateId eq 'c4e39bd9-1100-46d3-8c65-fb160da0071f'"
   
   # Get role definition by displayName
   Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"
   

4. Pour afficher la liste des autorisations d’un rôle, utilisez la cmdlet suivante.

   # Do this avoid truncation of the list of permissions
   $FormatEnumerationLimit = -1
   
   (Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list
   

API Graph

Suivez ces instructions pour répertorier les rôles Microsoft Entra à l'aide de l'API Microsoft Graph dans Graph Explorer.

1. Connectez-vous à l’Afficheur Graph.

2. Sélectionnez GET en tant que méthode HTTP dans la liste déroulante.

3. Sélectionnez la version de l’API sur v1.0.

4. Utilisez l’API List unifiedRoleDefinitions pour répertorier tous les fichiers de définitions de rôle.

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Pour répertorier un rôle spécifique par displayName, utilisez ce format.

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'
   

5. Sélectionnez Exécuter la requête pour répertorier les rôles.

   Voici un exemple de réponse.

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
       "value": [
           {
               "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
               "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
               "displayName": "Helpdesk Administrator",
               "isBuiltIn": true,
               "isEnabled": true,
               "resourceScopes": [
                   "/"
               ],
   
       ...
   
   

6. Pour afficher les autorisations d’un rôle, utilisez l’API suivante.

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions
   

Étapes suivantes

• Répertorier les attributions de rôle Microsoft Entra
• Attribuer des rôles Microsoft Entra
• Rôles intégrés Microsoft Entra