Attribuer des rôles Microsoft Entra aux utilisateurs

Pour accorder l'accès aux utilisateurs dans Microsoft Entra ID, vous attribuez des rôles Microsoft Entra. Un rôle est une collection d’autorisations. Cet article explique comment attribuer des rôles Microsoft Entra à l'aide du centre d'administration Microsoft Entra et de PowerShell.

Prérequis

  • Administrateur de rôle privilégié. Pour savoir qui est votre administrateur de rôle privilégié, consultez Répertorier les attributions de rôles Microsoft Entra
  • Licence Microsoft Entra ID P2 lors de l'utilisation de Privileged Identity Management (PIM)
  • Module Microsoft Graph PowerShell lors de l'utilisation de PowerShell
  • Consentement administrateur (avec l’Afficheur Graph pour l’API Microsoft Graph)

Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou de l’Afficheur Graph.

Centre d’administration Microsoft Entra

Suivez ces étapes pour attribuer des rôles Microsoft Entra à l’aide du centre d’administration Microsoft Entra. Votre expérience sera différente selon que Microsoft Entra Privileged Identity Management (PIM) est activé ou non.

Attribuer un rôle

Conseil

Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Identité>Rôles et administrateurs>Rôles et administrateurs.

    Capture d'écran de la page Rôles et administrateurs dans Microsoft Entra ID.

  3. Trouvez le rôle dont vous avez besoin. Vous pouvez utiliser la zone de recherche ou Ajouter des filtres pour filtrer les rôles.

  4. Sélectionnez le nom du rôle pour ouvrir le rôle. N’ajoutez pas de coche à côté du rôle.

    Capture d’écran montrant la sélection d’un rôle.

  5. Sélectionnez Ajouter des attributions, puis sélectionnez les utilisateurs que vous souhaitez affecter à ce rôle.

    Si vous voyez un nom différent de celui de l’image suivante, vous pouvez activer PIM. Voir la section suivante.

    Capture d’écran du volet Ajouter des attributions pour le rôle sélectionné.

    Remarque

    Si vous attribuez un rôle intégré Microsoft Entra à un utilisateur invité, cet utilisateur invité est élevé pour avoir les mêmes autorisations qu’un utilisateur membre. Pour obtenir des informations sur les autorisations par défaut des utilisateurs membres et invités , consultez Quelles sont les autorisations utilisateur par défaut dans Microsoft Entra ID ?

  6. Sélectionnez Ajouter pour attribuer le rôle.

Affecter un rôle à l’aide de PIM

Si Microsoft Entra Privileged Identity Management (PIM) est activé, vous disposez de fonctionnalités d'attribution de rôle supplémentaires. Par exemple, vous pouvez rendre un utilisateur éligible à un rôle ou définir la durée. Lorsque le PIM est activé, il y a deux façons d’assigner des rôles en utilisant le centre d’administration Microsoft Entra. Vous pouvez utiliser la page Rôles et administrateurs ou l’expérience PIM. Les deux utilisent le même service PIM.

Pour affecter des rôles à l’aide de la page Rôles et administrateurs, procédez comme suit. Si vous souhaitez attribuer des rôles à l'aide de Privileged Identity Management, consultez Attribuer des rôles Microsoft Entra dans Privileged Identity Management.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Identité>Rôles et administrateurs>Rôles et administrateurs.

    Capture d'écran de la page Rôles et administrateurs dans Microsoft Entra ID lorsque PIM est activé.

  3. Trouvez le rôle dont vous avez besoin. Vous pouvez utiliser la zone de recherche ou Ajouter des filtres pour filtrer les rôles.

  4. Sélectionnez le nom du rôle pour ouvrir le rôle et voir ses attributions de rôle éligibles, actives et expirées. N’ajoutez pas de coche à côté du rôle.

    Capture d’écran montrant la sélection d’un rôle.

  5. Sélectionnez Ajouter des affectations.

  6. Sélectionnez Aucun membre sélectionné, puis sélectionnez les utilisateurs que vous souhaitez attribuer à ce rôle.

    Capture d’écran de la page Ajoutez des attributions et sélectionnez un volet de membre avec PIM activé.

  7. Sélectionnez Suivant.

  8. Dans l’onglet Paramètre, indiquez si vous souhaitez que cette attribution de rôle soit Éligible ou Active.

    Une attribution de rôle éligible signifie que l’utilisateur doit effectuer une ou plusieurs actions pour utiliser le rôle. Une attribution de rôle active signifie que l’utilisateur n’a pas à effectuer d’action pour utiliser le rôle. Pour plus d’informations sur la signification de ces paramètres, consultez Terminologie PIM.

    Capture d’écran de la page Ajouter des attributions et de l’onglet Paramètre avec PIM activé.

  9. Utilisez les options restantes pour définir la durée de l’affectation.

  10. Sélectionnez Attribuer pour attribuer le rôle.

PowerShell

Suivez ces étapes pour attribuer des rôles Microsoft Entra à l’aide de PowerShell.

Programme d’installation

  1. Ouvrez une fenêtre PowerShell et utilisez Import-Module pour importer le module Microsoft Graph PowerShell. Pour plus d'informations, consultez Prérequis pour utiliser PowerShell ou de l'Afficheur Graph.

    Import-Module -Name Microsoft.Graph.Identity.Governance -Force
    
  2. Dans une fenêtre PowerShell, utilisez Connect-McGraph pour vous connecter à votre locataire.

    Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
    
  3. Utilisez Get-MgUser pour obtenir l’utilisateur auquel vous souhaitez attribuer un rôle.

    $user = Get-MgUser -Filter "userPrincipalName eq 'johndoe@contoso.com'"
    

Attribuer un rôle

  1. Utiliser Get-MgRoleManagementDirectoryRoleDefinition pour obtenir le rôle que vous souhaitez attribuer.

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
    
  2. Utilisez la commande New-MgRoleManagementDirectoryRoleAssignment pour attribuer le rôle.

    $roleassignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id
    

Attribuer un rôle comme éligible à l’aide de PIM

Si PIM est activé, vous disposez de fonctionnalités supplémentaires, telles que la création d’un utilisateur éligible pour une attribution de rôle ou la définition de l’heure de début et l’heure de fin d’une attribution de rôle. Ces fonctionnalités utilisent un autre ensemble de commandes PowerShell. Pour plus d'informations sur l'utilisation de PowerShell et PIM, consultez PowerShell pour les rôles Microsoft Entra dans Privileged Identity Management.

  1. Utiliser Get-MgRoleManagementDirectoryRoleDefinition pour obtenir le rôle que vous souhaitez attribuer.

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
    
  2. Utilisez la commande suivante pour créer une table de hachage afin de stocker tous les attributs nécessaires à l’attribution du rôle à l’utilisateur. L’ID du principal est l’ID de l’utilisateur auquel vous souhaitez attribuer le rôle. Dans cet exemple, l’affectation ne va être valide que pendant 10 heures.

    $params = @{
      "PrincipalId" = "aaaaaaaa-bbbb-cccc-1111-222222222222"
      "RoleDefinitionId" = "b0f54661-2d74-4c50-afa3-1ec803f12efe"
      "Justification" = "Add eligible assignment"
      "DirectoryScopeId" = "/"
      "Action" = "AdminAssign"
      "ScheduleInfo" = @{
        "StartDateTime" = Get-Date
        "Expiration" = @{
          "Type" = "AfterDuration"
          "Duration" = "PT10H"
          }
        }
      }
    
  3. Utilisez New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest pour attribuer le rôle comme éligible. Une fois le rôle attribué, il apparaîtra dans le centre d'administration Microsoft Entra sous la section Gouvernance>des identités Gestion des identités privilégiées>Affectations>des rôles Microsoft Entra>Attributions éligibles.

    New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest -BodyParameter $params | Format-List Id, Status, Action, AppScopeId, DirectoryScopeId, RoleDefinitionId, IsValidationOnly, Justification, PrincipalId, CompletedDateTime, CreatedDateTime
    

    API Microsoft Graph

    Suivez ces instructions pour attribuer un rôle à l’aide de l’API Microsoft Graph.

    Attribuer un rôle

    Dans cet exemple, un principal de sécurité avec objectID aaaaaaaa-bbbb-cccc-1111-222222222222 se voit recevoir le rôle d’administrateur de facturation (ID de définition de rôle b0f54661-2d74-4c50-afa3-1ec803f12efe) au niveau de l’étendue du locataire. Pour voir la liste des ID de modèle de rôle immuables de tous les rôles intégrés, consultez Rôles intégrés Microsoft Entra.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    Content-type: application/json
    
    { 
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "directoryScopeId": "/"
    }
    

    Affecter un rôle à l’aide de PIM

    Affecter une attribution de rôle éligible limitée dans le temps

    Dans cet exemple, un principal de sécurité avec objectID aaaaaaaa-bbbb-cccc-1111-222222222222 se voit recevoir une attribution de rôle éligible en fonction du temps pour l’administrateur de facturation (ID b0f54661-2d74-4c50-afa3-1ec803f12efe de définition de rôle) pendant 180 jours.

    POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
    Content-type: application/json
    
    {
        "action": "adminAssign",
        "justification": "for managing admin tasks",
        "directoryScopeId": "/",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "scheduleInfo": {
            "startDateTime": "2021-07-15T19:15:08.941Z",
            "expiration": {
                "type": "afterDuration",
                "duration": "PT180D"
            }
        }
    }
    

    Affecter une attribution de rôle permanente éligible

    Dans l’exemple suivant, un principal de sécurité reçoit une attribution de rôle permanente éligible à l’administrateur de facturation.

    POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
    Content-type: application/json
    
    {
        "action": "adminAssign",
        "justification": "for managing admin tasks",
        "directoryScopeId": "/",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "scheduleInfo": {
            "startDateTime": "2021-07-15T19:15:08.941Z",
            "expiration": {
                "type": "noExpiration"
            }
        }
    }
    

    Activer une attribution de rôle

    Pour activer l’attribution de rôle, utilisez l’API Create roleAssignmentScheduleRequests.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
    Content-type: application/json
    
    {
        "action": "selfActivate",
        "justification": "activating role assignment for admin privileges",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "directoryScopeId": "/",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222"
    }
    

    Pour plus d’informations sur la gestion des rôles Microsoft Entra via l’API PIM dans Microsoft Graph, consultez Présentation de la gestion des rôles via l’API de gestion des identités privilégiées (PIM).