Répertorier les attributions de rôles Microsoft Entra

Article
11/30/2023

Cet article explique comment répertorier les rôles que vous avez attribués dans Microsoft Entra ID. Dans Microsoft Entra ID, les rôles peuvent être attribués au niveau de l’organisation ou avec une seule application comme étendue.

Les attributions de rôles au niveau de l’étendue de l’organisation sont ajoutées à et peuvent être consultées dans la liste des attributions de rôle d’application unique.
Les attributions de rôles au niveau d’une application unique ne sont pas ajoutées à et ne peuvent pas être affichées dans la liste des attributions à l’échelle de l’organisation.

Prérequis

Module Microsoft Graph PowerShell lors de l'utilisation de PowerShell
Consentement administrateur (avec l’Afficheur Graph pour l’API Microsoft Graph)

Pour plus d’informations, consultez Prérequis pour utiliser PowerShell ou de l’Afficheur Graph.

Centre d’administration Microsoft Entra

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Cette procédure décrit comment répertorier les attributions de rôle avec une étendue à l’échelle de l’organisation.

Connectez-vous au Centre d'administration Microsoft 365.
Accédez à Identité>Rôles et administrateurs>Rôles et administrateurs.
Sélectionnez un rôle pour l’ouvrir et afficher ses propriétés.
Sélectionnez Attributions pour répertorier les attributions de rôle.

Répertorier mes attributions de rôle

Il est également facile de répertorier vos propres autorisations. Sélectionnez Votre rôle dans la page Rôles et administrateurs pour afficher les rôles qui sont actuellement attribués.

List my role assignments

Télécharger les attributions de rôle

Pour télécharger toutes les attributions de rôles actives sur tous les rôles, y compris les rôles intégrés et personnalisés, effectuez les étapes suivantes (actuellement en préversion).

Dans la page Rôles et administrateurs, sélectionnez Tous les rôles.
Sélectionnez Télécharger les attributions.

Un fichier CSV qui liste les attributions sur toutes les étendues pour tous les rôles est téléchargé.

Pour télécharger toutes les attributions d’un rôle spécifique, effectuez les étapes suivantes.

Dans la page Rôles et administrateurs, sélectionnez un rôle.
Sélectionnez Télécharger les attributions.

Un fichier CSV qui liste les attributions sur toutes les étendues pour ce rôle est téléchargé.

Répertorier les attributions de rôle à l’échelle d’une seule application

Cette section décrit comment répertorier les attributions de rôle à l’échelle d’une seule application. Cette fonctionnalité est actuellement disponible en préversion publique.

Connectez-vous au centre d’administration Microsoft Entra.
Accédez à Identité>Applications>Inscriptions d’applications.
Sélectionnez l’inscription d’une application pour afficher ses propriétés. Vous devrez peut-être sélectionner Toutes les applications pour afficher la liste complète des inscriptions d’applications dans votre organisation Microsoft Entra.
Lors de l’inscription de l’application, sélectionnez Rôles et administrateurs, puis sélectionnez un rôle pour voir ses propriétés.
Sélectionnez Attributions pour répertorier les attributions de rôle. L’ouverture de la page des attributions dans le cadre de l’inscription de l’application vous montre les attributions de rôle à l’échelle de cette ressource Microsoft Entra.

PowerShell

Cette section décrit l’affichage des attributions d’un rôle avec une étendue à l’échelle de l’organisation. Cet article utilise me module Microsoft Graph PowerShell. Pour afficher les attributions pour une application unique à l’aide de PowerShell, vous pouvez utiliser les applets de commande dans Attribuer des rôles personnalisés avec PowerShell.

Utilisez les commandes Get-MgRoleManagementDirectoryRoleDefinition et Get-MgRoleManagementDirectoryRoleAssignment pour lister les attributions de rôles.

L’exemple suivant montre comment lister les attributions de rôles pour le rôle Administrateur de groupes.

# Fetch list of all directory roles with template ID
Get-MgRoleManagementDirectoryRoleDefinition

# Fetch a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Fetch membership for a role
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 71b3857d-2a23-416d-bd22-a471854ddada 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 fd2d57c7-22ad-42cd-961a-7340fb2eb6b4 62e90394-69f5-4237-9190-012177145e10 /

L’exemple suivant montre comment lister toutes les attributions de rôles actives sur tous les rôles, y compris les rôles intégrés et personnalisés (actuellement en préversion).

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 71b3857d-2a23-416d-bd22-a471854ddada 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 fd2d57c7-22ad-42cd-961a-7340fb2eb6b4 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 c5119b78-25cb-458b-ab9c-772a48f64e40 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 767f5768-89fc-4a8e-b151-631cd5c53787 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 4dc37087-32eb-4e03-9292-bbede3e10e72 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 2859ce0c-8f17-47c1-bac0-3889a693c9a2 d29b2b05-8046-44ba-8758-1e26182fcf32 /

API Microsoft Graph

Cette section décrit comment répertorier les attributions de rôle avec une étendue à l’échelle de l’organisation. Pour répertorier les attributions de rôle à l’échelle d’une seule application à l’aide de l’API Graph, vous pouvez utiliser les opérations dans Attribuer des rôles personnalisés avec l’API Graph.

Utilisez l’API List unifiedRoleAssignments pour obtenir les attributions de rôles pour une définition de rôle spécifique. L’exemple suivant montre comment lister les attributions de rôles pour une définition de rôle spécifique avec l’ID 3671d40a-1aac-426c-a0c1-a3821ebd8218.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’

response

HTTP/1.1 200 OK
{
    "id": "CtRxNqwabEKgwaOCHr2CGJIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "ab2e1023-bddc-4038-9ac1-ad4843e7e539",
    "roleDefinitionId": "3671d40a-1aac-426c-a0c1-a3821ebd8218",
    "directoryScopeId": "/"
}

Étapes suivantes

N’hésitez pas à nous donner votre avis sur le forum des rôles d’administrateur Microsoft Entra.
Pour plus d’informations sur les autorisations de rôle, consultez Rôles intégrés Microsoft Entra.
Pour les autorisations d’utilisateur par défaut, consultez une comparaison des autorisations par défaut d’un utilisateur invité et d’un membre.