Attribuer des rôles Microsoft Entra à des groupes
Pour simplifier la gestion des rôles, vous pouvez attribuer des rôles Microsoft Entra à un groupe plutôt qu’à des personnes. Cet article décrit comment attribuer des rôles Microsoft Entra à des groupes pouvant faire l’objet d’une attribution de rôle en utilisant le Centre d’administration Microsoft Entra, PowerShell ou l’API Microsoft Graph.
Prérequis
- Licence Microsoft Entra ID P1
- Rôle Administrateur de rôle privilégié
- Module Microsoft.Graph en tirant parti de Microsoft Graph PowerShell
- Module Azure AD PowerShell lors de l’utilisation d’Azure AD PowerShell
- Consentement administrateur (avec l’Afficheur Graph pour l’API Microsoft Graph)
Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou de l’Afficheur Graph.
Centre d’administration Microsoft Entra
Conseil
Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.
L’attribution d’un rôle Microsoft Entra à un groupe est similaire à l’attribution d’utilisateurs et de principaux de service, à ceci près que seuls les groupes pouvant faire l’objet d’ attribution de rôle peuvent être utilisés.
Conseil
Ces étapes s’appliquent aux clients qui disposent d’une licence Microsoft Entra ID P1. Si vous disposez d’une licence Microsoft Entra ID P2 dans votre locataire, vous devez plutôt suivre les étapes décrites dans Attribuer des rôles Microsoft Entra dans Privileged Identity Management.
Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
Accédez à Identité>Rôles et administrateurs>Rôles et administrateurs.
Sélectionnez le nom du rôle pour ouvrir le rôle. N’ajoutez pas de coche à côté du rôle.
Sélectionnez Ajouter des affectations.
Si vous voyez quelque chose de différent de la capture d’écran suivante, vous avez peut-être Microsoft Entra ID P2. Pour plus d’informations, consultez Attribuer des rôles Microsoft Entra dans Privileged Identity Management.
Sélectionnez le groupe auquel vous souhaitez affecter à ce rôle. Seuls les groupes pouvant faire l’objet d’une attribution de rôle s’affichent.
Si le groupe n’est pas répertorié, vous devez créer un groupe pouvant faire l’objet d’une attribution de rôle. Pour plus d’informations, consultez Créer un groupe pouvant faire l’objet d’une attribution de rôle dans Microsoft Entra ID.
Sélectionnez Ajouter pour attribuer le rôle au groupe.
PowerShell
Créer un groupe pouvant se voir attribuer des rôles
Utilisez la commande New-MgGroup pour créer un groupe pouvant faire l’objet d’une attribution de rôle.
Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true
Obtenir la définition de rôle que vous souhaitez attribuer
Utilisez la commande Get-MgRoleManagementDirectoryRoleDefinition pour obtenir une définition de rôle.
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"
Création d'une affectation de rôle
Utilisez la commande New-MgRoleManagementDirectoryRoleAssignment pour attribuer le rôle.
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id
API Microsoft Graph
Créer un groupe pouvant se voir attribuer des rôles
Utilisez l’API Créer un groupe pour créer un groupe pouvant faire l’objet d’une attribution de rôle.
Requête
POST https://graph.microsoft.com/v1.0/groups
{
"description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
Réponse
HTTP/1.1 201 Created
Obtenir la définition de rôle que vous souhaitez attribuer
Utilisez l’API List unifiedRoleDefinitions pour obtenir une définition de rôle.
Requête
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'
Réponse
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
"value": [
{
"id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
"description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
"displayName": "Helpdesk Administrator",
"isBuiltIn": true,
"isEnabled": true,
"resourceScopes": [
"/"
],
...
Créer l’attribution de rôle
Utilisez l’API Create unifiedRoleAssignment pour attribuer le rôle.
Requête
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<Object ID of Group>",
"roleDefinitionId": "<ID of role definition>",
"directoryScopeId": "/"
}
Réponse
HTTP/1.1 201 Created
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
"id": "<Role assignment ID>",
"roleDefinitionId": "<ID of role definition>",
"principalId": "<Object ID of Group>",
"directoryScopeId": "/"
}