Attribuer des rôles Microsoft Entra à des groupes

  • Article

Pour simplifier la gestion des rôles, vous pouvez attribuer des rôles Microsoft Entra à un groupe plutôt qu’à des personnes. Cet article décrit comment attribuer des rôles Microsoft Entra à des groupes pouvant faire l’objet d’une attribution de rôle en utilisant le Centre d’administration Microsoft Entra, PowerShell ou l’API Microsoft Graph.

Prérequis

Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou de l’Afficheur Graph.

Centre d’administration Microsoft Entra

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

L’attribution d’un rôle Microsoft Entra à un groupe est similaire à l’attribution d’utilisateurs et de principaux de service, à ceci près que seuls les groupes pouvant faire l’objet d’ attribution de rôle peuvent être utilisés.

Conseil

Ces étapes s’appliquent aux clients qui disposent d’une licence Microsoft Entra ID P1. Si vous disposez d’une licence Microsoft Entra ID P2 dans votre locataire, vous devez plutôt suivre les étapes décrites dans Attribuer des rôles Microsoft Entra dans Privileged Identity Management.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Identité>Rôles et administrateurs>Rôles et administrateurs.

    Capture d'écran de la page Rôles et administrateurs dans Microsoft Entra ID.

  3. Sélectionnez le nom du rôle pour ouvrir le rôle. N’ajoutez pas de coche à côté du rôle.

    Capture d’écran montrant la sélection d’un rôle.

  4. Sélectionnez Ajouter des affectations.

    Si vous voyez quelque chose de différent de la capture d’écran suivante, vous avez peut-être Microsoft Entra ID P2. Pour plus d’informations, consultez Attribuer des rôles Microsoft Entra dans Privileged Identity Management.

    Capture d’écran du volet Ajouter des affectations pour attribuer un rôle à des utilisateurs ou des groupes.

  5. Sélectionnez le groupe auquel vous souhaitez affecter à ce rôle. Seuls les groupes pouvant faire l’objet d’une attribution de rôle s’affichent.

    Si le groupe n’est pas répertorié, vous devez créer un groupe pouvant faire l’objet d’une attribution de rôle. Pour plus d’informations, consultez Créer un groupe pouvant faire l’objet d’une attribution de rôle dans Microsoft Entra ID.

  6. Sélectionnez Ajouter pour attribuer le rôle au groupe.

PowerShell

Créer un groupe pouvant se voir attribuer des rôles

Utilisez la commande New-MgGroup pour créer un groupe pouvant faire l’objet d’une attribution de rôle.

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Obtenir la définition de rôle que vous souhaitez attribuer

Utilisez la commande Get-MgRoleManagementDirectoryRoleDefinition pour obtenir une définition de rôle.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Création d'une affectation de rôle

Utilisez la commande New-MgRoleManagementDirectoryRoleAssignment pour attribuer le rôle.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

API Microsoft Graph

Créer un groupe pouvant se voir attribuer des rôles

Utilisez l’API Créer un groupe pour créer un groupe pouvant faire l’objet d’une attribution de rôle.

Requête

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Réponse

HTTP/1.1 201 Created

Obtenir la définition de rôle que vous souhaitez attribuer

Utilisez l’API List unifiedRoleDefinitions pour obtenir une définition de rôle.

Requête

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Réponse

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

Créer l’attribution de rôle

Utilisez l’API Create unifiedRoleAssignment pour attribuer le rôle.

Requête

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Réponse

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Étapes suivantes