Vue d’ensemble du contrôle d’accès en fonction du rôle dans Microsoft Entra ID

Cet article explique comment comprendre le contrôle d’accès en fonction du rôle de Microsoft Entra. Les rôles Microsoft Entra vous permettent d’accorder des autorisations précises à vos administrateurs, en respectant le principe du moindre privilège. Les rôles personnalisés et intégrés Microsoft Entra utilisent des concepts similaires à ceux du système de contrôle d’accès en fonction du rôle pour les ressources Azure (rôles Azure). La différence entre ces deux systèmes de contrôle d’accès en fonction du rôle est la suivante :

  • Les rôles Microsoft Entra contrôlent l’accès aux ressources Microsoft Entra telles que les utilisateurs, les groupes et les applications en tirant parti de l’API Microsoft Graph
  • Les rôles Azure contrôlent l’accès aux ressources Azure telles que les machines virtuelles ou le stockage en utilisant Gestion des ressources Azure

Les deux systèmes contiennent des définitions de rôles et des attributions de rôles à l’usage similaire. Toutefois, les autorisations de rôle Microsoft Entra ne peuvent pas être utilisées dans les rôles personnalisés Azure, et vice versa.

Comprendre le contrôle d’accès en fonction du rôle de Microsoft Entra

Microsoft Entra ID prend en charge deux types de définitions de rôles :

Les rôles intégrés sont des rôles prêts à l’emploi qui possèdent un ensemble fixe d’autorisations. Ces définitions de rôles ne peuvent pas être modifiées. Il existe de nombreux rôles intégrés pris en charge par Microsoft Entra ID, et la liste s’agrandit. Pour s’ajuster au mieux et satisfaire vos exigences plus complexes, Microsoft Entra ID prend également en charge les rôles personnalisés. L’octroi d’une autorisation à l’aide de rôles Microsoft Entra personnalisés est un processus en deux étapes qui implique la création d’une définition de rôle personnalisé, puis son affectation à l’aide d’une attribution de rôle. Une définition de rôle personnalisé est une collection d’autorisations que vous ajoutez à partir d’une liste prédéfinie. Il s’agit des mêmes autorisations que celles utilisées dans les rôles intégrés.

Une fois que vous avez créé votre définition de rôle personnalisé (ou à l’aide d’un rôle intégré), affectez-la à un utilisateur en créant une attribution de rôle. Une attribution de rôle accorde à l’utilisateur les autorisations dans une définition de rôle au niveau d’une étendue spécifiée. Ce processus en deux étapes vous permet de créer une définition de rôle unique et de l’attribuer plusieurs fois à différentes étendues. Une étendue définit l’ensemble des ressources Microsoft Entra auxquelles le membre du rôle a accès. L’étendue la plus courante est l’étendue à l’échelle de l’organisation (échelle-org). Un rôle personnalisé peut être attribué à une étendue d’échelle de l’organisation, ce qui signifie que le membre du rôle dispose des autorisations de rôle sur toutes les ressources de l’organisation. Un rôle personnalisé peut également être attribué au niveau de l’étendue d’objet. Un exemple d’étendue d’objet est une application unique. Le même rôle peut être attribué à un utilisateur sur toutes les applications de l’organisation, puis à un autre utilisateur avec une étendue limitée à l’application Contoso Expense Reports.

Comment Microsoft Entra ID détermine si un utilisateur a accès à une ressource

Voici les principales étapes suivies par Microsoft Entra ID pour déterminer si vous avez accès à une ressource de gestion. Utilisez ces informations pour résoudre les problèmes d’accès.

  1. Un utilisateur (ou un principal de service) acquiert un jeton pour le point de terminaison Microsoft Graph.
  2. L’utilisateur effectue un appel d’API à Microsoft Entra ID par le biais de Microsoft Graph à l’aide du jeton émis.
  3. Selon les circonstances, Microsoft Entra ID effectue l'une des actions suivantes :
    • Évalue les appartenances aux rôles de l’utilisateur en fonction de la revendication wids dans le jeton d’accès de l’utilisateur.
    • Récupère toutes les attributions de rôles qui s’appliquent à l’utilisateur, directement ou via l’appartenance à un groupe, à la ressource sur laquelle l’action est effectuée.
  4. Microsoft Entra ID détermine si l’action contenue dans l’appel d’API est incluse dans les rôles dont l’utilisateur dispose pour cette ressource.
  5. Si l’utilisateur n’a aucun rôle avec l’action appropriée dans l’étendue demandée, l’accès n’est pas octroyé. Autrement, l’accès est accordé.

Attribution de rôle

Une attribution de rôle est une ressource Microsoft Entra qui attache une définition de rôle à un principal de sécurité dans une étendue donnée pour accorder l’accès aux ressources Microsoft Entra. La création d’une attribution de rôle permet d’accorder un accès, qui peut être révoqué par la suppression d’une attribution de rôle. À son cœur, une attribution de rôle se compose de trois éléments :

  • Principal de sécurité - identité qui obtient les autorisations. Il peut s’agir d’un utilisateur, d’un groupe ou d’un principal de service.
  • Définition de rôle - collection d’autorisations.
  • Étendue - moyen de limiter où ces autorisations peuvent être appliquées.

Vous pouvez créer des attributions de rôles et répertorier les attributions de rôles à l’aide du centre d’administration Microsoft Entra, de Microsoft Graph PowerShell ou de l’API Microsoft Graph. Azure CLI n’est pas pris en charge pour les attributions de rôles Microsoft Entra.

Le diagramme suivant montre un exemple d’attribution de rôle. Dans cet exemple, Chris s’est vu attribuer le rôle personnalisé Administrateur d’inscription d’application dans l’étendue de l’inscription de l’application Contoso Widget Builder. Cette attribution accorde à Chris les autorisations du rôle Administrateur d’inscription d’application sur cette inscription d’application spécifique uniquement.

L’attribution de rôle est le moyen dont les autorisations sont appliquées et comporte trois parties.

Principal de sécurité

Un principal de sécurité représente un utilisateur, un groupe ou un principal de service à qui l’accès aux ressources Microsoft Entra est attribué. Un utilisateur est une personne disposant d’un profil utilisateur dans Microsoft Entra ID. Un groupe est un nouveau groupe Microsoft 365 ou de sécurité qui a été défini en tant que groupe attribuable à un rôle. Un principal de service est une identité créée pour être utilisée avec des applications, des services hébergés et des outils automatisés pour accéder aux ressources Microsoft Entra.

Définition de rôle

Une définition de rôle, ou rôle, est une collection d’autorisations. Une définition de rôle répertorie les opérations qui peuvent être effectuées sur des ressources Microsoft Entra, telles que créer, lire, mettre à jour et supprimer. Il existe deux types de rôles dans Microsoft Entra ID :

  • Les rôles intégrés créés par Microsoft qui ne peuvent pas être modifiés.
  • Rôles personnalisés créés et gérés par votre organisation.

Étendue

Une étendue est un moyen de limiter les actions autorisées à un ensemble spécifique de ressources lors d’une attribution de rôle. Par exemple, si vous souhaitez accorder un rôle personnalisé à un développeur, mais uniquement pour gérer une inscription d’application spécifique, vous pouvez inclure l’inscription d’application spécifique comme étendue dans l’attribution de rôle.

Lorsque vous attribuez un rôle, vous spécifiez l’un des types d’étendue suivants :

Si vous spécifiez une ressource Microsoft Entra comme étendue, cela peut être des :

  • Groupes Microsoft Entra
  • Applications d’entreprise
  • Inscriptions d’applications

Quand vous attribuez un rôle sur une étendue de conteneur, telle que l’Unité administrative ou le Locataire, il accorde des autorisations sur les objets qu’il contient, et non sur le conteneur lui-même. Au contraire, quand vous attribuez un rôle sur une étendue de ressource, il accorde des autorisations sur la ressource elle-même, sans s’étendre au-delà (en particulier, il ne s’étend pas aux membres d’un groupe Microsoft Entra).

Pour plus d’informations, consultez Attribuer des rôles Microsoft Entra à différentes étendues.

Options d’attribution de rôle

Microsoft Entra ID fournit plusieurs options pour l’attribution de rôles :

  • La méthode par défaut d’attribution des rôles, consiste à attribuer des rôles directement aux utilisateurs. Les rôles Microsoft Entra intégrés et personnalisés peuvent être attribués aux utilisateurs en fonction des exigences d’accès. Pour plus d’informations, consultez Attribuer des rôles Microsoft Entra à des utilisateurs.
  • Avec Microsoft Entra ID P1, vous pouvez créer des groupes pouvant faire l’objet d’une attribution de rôle et leur attribuer des rôles. L’attribution de rôles à un groupe plutôt qu’à des individus facilite l’ajout ou la suppression des utilisateurs d’un rôle et crée des autorisations cohérentes pour tous les membres du groupe. Pour plus d’informations, consultez Attribuer des rôles Microsoft Entra à des groupes.
  • Avec Microsoft Entra ID P2, vous pouvez utiliser Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) pour fournir un accès juste-à-temps aux rôles. Cette fonctionnalité vous permet d’accorder un accès limité dans le temps à un rôle aux utilisateurs qui en ont besoin, plutôt que d’accorder un accès permanent. Elle fournit également des fonctionnalités détaillées de création de rapports et d’audit. Pour plus d’informations, consultez Attribuer des rôles Microsoft Entra dans Privileged Identity Management.

Conditions de licence :

L’utilisation de rôles intégrés dans Microsoft Entra ID est gratuite. Utiliser des rôles personnalisés nécessite une licence Microsoft Entra ID P1 pour chaque utilisateur disposant d’une attribution de rôle personnalisée. Pour trouver la licence appropriée à vos besoins, consultez Comparaison des fonctionnalités mises à la disposition générale des éditions Gratuite et Premium.

Étapes suivantes