Výpis definic rolí Microsoft Entra

Článek
01/03/2025

Tento článek popisuje, jak vypsat předdefinované a vlastní definice rolí Microsoft Entra a jejich oprávnění pomocí Centra pro správu Microsoft Entra, Microsoft Graph PowerShellu nebo rozhraní Microsoft Graph API.

Definice role je kolekce oprávnění, která je možné provádět, například čtení, zápis a odstranění. Obvykle se označuje jako role. Id Microsoft Entra má více než 100 předdefinovaných rolí nebo můžete vytvořit vlastní role. Pokud jste se někdy zajímali o to, co tyto role skutečně dělají, můžete získat přístup k podrobnému seznamu oprávnění pro každou z rolí.

Požadavky

modul Microsoft Graph PowerShell při použití PowerShellu
Souhlas správce při použití nástroje Graph explorer pro Microsoft Graph API

Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

Výpis definic rolí Microsoft Entra

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Přihlaste se do Centra pro správu Microsoft Entra.
Přejděte k rolím identit>>
Výběrem názvu role otevřete roli. Nepřidávejte značku zaškrtnutí vedle role.
Výběrem Popis zobrazíte souhrn a seznam oprávnění pro roli.

Tato stránka obsahuje odkazy na příslušnou dokumentaci, která vás provede správou rolí.

Podle těchto kroků vypíšete role Microsoft Entra pomocí PowerShellu.

Otevřete okno PowerShellu. V případě potřeby nainstalujte Microsoft Graph PowerShell pomocí modulu Install-Module . Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.
```
Install-Module Microsoft.Graph -Scope CurrentUser
```
V okně PowerShellu se přihlaste ke svému tenantovi pomocí Connect-MgGraph .
```
Connect-MgGraph -Scopes "RoleManagement.Read.All"
```

K získání rolí použijte Get-MgRoleManagementDirectoryRoleDefinition.

# Get all role definitions
Get-MgRoleManagementDirectoryRoleDefinition

# Get single role definition by ID
Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId 00000000-0000-0000-0000-000000000000

# Get single role definition by templateId
Get-MgRoleManagementDirectoryRoleDefinition -Filter "TemplateId eq 'c4e39bd9-1100-46d3-8c65-fb160da0071f'"

# Get role definition by displayName
Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Pokud chcete zobrazit seznam oprávnění role, použijte následující rutinu.

# Do this avoid truncation of the list of permissions
$FormatEnumerationLimit = -1

(Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list

Podle těchto pokynů zobrazte seznam rolí Microsoft Entra pomocí rozhraní Microsoft Graph API v Graph Exploreru.

Přihlaste se k Graph Exploreru.
V rozevíracím seznamu vyberte metodu GET jako metodu HTTP.
Vyberte verzi rozhraní API pro verzi 1.0.

K výpisu všech definic rolí použijte rozhraní API List unifiedRoleDefinitions.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Pokud chcete zobrazit konkrétní roli podle displayName, použijte tento formát.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Výběrem možnosti Spustit dotaz zobrazíte seznam rolí.

Tady je příklad odpovědi.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

Pokud chcete zobrazit oprávnění role, použijte následující rozhraní API.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions

Další kroky