Partager via


Répertorier les rôles d’annuaire

Espace de noms: microsoft.graph

Remarque

Microsoft vous recommande d’utiliser l’API RBAC unifiée au lieu de cette API. L’API RBAC unifiée offre davantage de fonctionnalités et de flexibilité. Pour plus d’informations, consultez Répertorier roleDefinitions.

Répertorier les rôles d’annuaire qui sont activés dans le client.

Cette opération retourne uniquement les rôles qui ont été activés. Un rôle est activé lorsqu’un administrateur active le rôle à l’aide de l’API Activate directoryRole . Tous les rôles intégrés ne sont pas activés initialement.

Lors de l’attribution d’un rôle à l’aide de la centre d’administration Microsoft Entra, l’étape d’activation du rôle est implicitement effectuée au nom de l’administrateur. Pour obtenir la liste complète des rôles disponibles dans Microsoft Entra ID, utilisez List directoryRoleTemplates.

Cette API est disponible dans les déploiements de cloud national suivants.

Service global Gouvernement des États-Unis L4 Us Government L5 (DOD) Chine gérée par 21Vianet

Autorisations

Choisissez l’autorisation ou les autorisations marquées comme moins privilégiées pour cette API. Utilisez une autorisation ou des autorisations privilégiées plus élevées uniquement si votre application en a besoin. Pour plus d’informations sur les autorisations déléguées et d’application, consultez Types d’autorisations. Pour en savoir plus sur ces autorisations, consultez les informations de référence sur les autorisations.

Type d’autorisation Autorisations avec privilèges minimum Autorisations privilégiées plus élevées
Déléguée (compte professionnel ou scolaire) RoleManagement.Read.Directory RoleManagement.ReadWrite.Directory, Directory.Read.All, Directory.ReadWrite.All
Déléguée (compte Microsoft personnel) Non prise en charge. Non prise en charge.
Application RoleManagement.Read.Directory RoleManagement.ReadWrite.Directory, Directory.Read.All, Directory.ReadWrite.All

Importante

Dans les scénarios délégués avec des comptes professionnels ou scolaires, l’utilisateur connecté doit se voir attribuer un rôle Microsoft Entra pris en charge ou un rôle personnalisé avec une autorisation de rôle prise en charge. Les rôles les moins privilégiés suivants sont pris en charge pour cette opération.

  • Administrateur d’utilisateurs
  • Administrateur du support technique
  • Administrateur du service de prise en charge
  • Administrateur de facturation
  • Utilisateur
  • Administrateur de boîtes aux lettres
  • Lecteurs d’annuaire
  • Rédacteurs d'annuaires
  • Administrateur de l'application
  • Lecteur de sécurité
  • Administrateur de sécurité
  • Administrateur de rôle privilégié
  • Administrateur de l'application cloud
  • Approbateur d’accès Customer LockBox
  • administrateur Dynamics 365
  • Administrateur Power BI
  • Administrateur Information Protection Azure
  • administrateur Analytique de bureau
  • Administrateur de licences
  • Administrateur Microsoft Managed Desktop
  • Administrateur d’authentification
  • Administrateur d’authentification privilégié
  • Administrateur des communications Teams
  • Ingénieur de support des communications Teams
  • Spécialiste du support des communications Teams
  • Administrateur Teams
  • Administrateur d’informations
  • Administrateur de conformité des données
  • Opérateur de sécurité
  • Administrateur Kaizala
  • Lecteur général
  • Utilisateur du Centre de gestion des licences en volume
  • Utilisateur du Centre de gestion des licences en volume
  • Administrateur de commerce moderne
  • utilisateur Microsoft Store pour Entreprises
  • Réviseur d’annuaire

Requête HTTP

GET /directoryRoles

Paramètres facultatifs de la requête

Cette méthode prend en charge les $selectparamètres de requête ,$filter (eq uniquement) et $expand OData pour vous aider à personnaliser la réponse.

En-têtes de demande

Nom Description
Autorisation Porteur {token}. Obligatoire. En savoir plus sur l’authentification et l’autorisation.

Corps de la demande

N’indiquez pas le corps de la demande pour cette méthode.

Réponse

Si elle réussit, cette méthode renvoie un 200 OK code de réponse et une collection d’objets directoryRole dans le corps de la réponse.

Exemple

Demande
GET https://graph.microsoft.com/v1.0/directoryRoles
Réponse

Remarque : l’objet de réponse affiché ici peut être raccourci pour plus de lisibilité.

HTTP/1.1 200 OK
Content-type: application/json

{
  "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#directoryRoles",
  "value": [
    {
      "id": "9ed3a0c4-53e1-498c-ab4d-2473476fde14",
      "deletedDateTime": null,
      "description": "Can manage all aspects of Azure AD and Microsoft services that use Azure AD identities.",
      "displayName": "Global Administrator",
      "roleTemplateId": "62e90394-69f5-4237-9190-012177145e10"
    },
    {
      "id": "f8e85ed8-f66f-4058-b170-3efae8b9c6e5",
      "deletedDateTime": null,
      "description": "Device Administrators",
      "displayName": "Azure AD Joined Device Local Administrator",
      "roleTemplateId": "9f06204d-73c1-4d4c-880a-6edb90606fd8"
    },
    {
      "id": "fe8f10bf-c9c2-47eb-95cb-c26cc85f1830",
      "deletedDateTime": null,
      "description": "Can read basic directory information. Commonly used to grant directory read access to applications and guests.",
      "displayName": "Directory Readers",
      "roleTemplateId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
    }
  ]
}