Enumeración de definiciones de roles de Microsoft Entra

Artículo
02/04/2025

En este artículo se describe cómo enumerar las definiciones de roles integradas y personalizadas de Microsoft Entra y sus permisos mediante el Centro de administración de Microsoft Entra, Microsoft Graph PowerShell o Microsoft Graph API.

Una definición de roles es una colección de permisos que se pueden realizar, por ejemplo, de lectura, escritura y eliminación. Normalmente se conoce como rol. Microsoft Entra ID tiene más de 100 roles integrados o puede crear sus propios roles personalizados. Si alguna vez se preguntó "¿Qué hacen estos roles realmente?", puede acceder a una lista detallada de permisos para cada uno de los roles.

Requisitos previos

Módulo de Microsoft Graph para PowerShell al usar PowerShell
Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API

Para obtener más información, consulta Requisitos previos para usar PowerShell o Probador de Graph.

Enumeración de definiciones de roles de Microsoft Entra

Inicie sesión en el centro de administración de Microsoft Entra.
Vaya a Identidad>Roles y administradores>Roles y administradores.
Seleccione un nombre de rol para abrir el rol. No agregue una marca de verificación junto al rol.
Seleccione Descripción para ver el resumen y la lista de permisos del rol.

En la página se incluyen vínculos a documentación relevante que le guiarán a través de la administración de los roles.

Siga estos pasos para enumerar los roles de Microsoft Entra con PowerShell.

Abra una ventana de PowerShell. Si es necesario, use Install-Module para instalar Microsoft Graph PowerShell. Para obtener más información, consulta Requisitos previos para usar PowerShell o Probador de Graph.
```
Install-Module Microsoft.Graph -Scope CurrentUser
```
En una ventana de PowerShell, use Connect-MgGraph para iniciar sesión en el inquilino.
```
Connect-MgGraph -Scopes "RoleManagement.Read.All"
```

Utilice Get-MgRoleManagementDirectoryRoleDefinition para obtener roles.

# Get all role definitions
Get-MgRoleManagementDirectoryRoleDefinition

# Get single role definition by ID
Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId 00000000-0000-0000-0000-000000000000

# Get single role definition by templateId
Get-MgRoleManagementDirectoryRoleDefinition -Filter "TemplateId eq 'c4e39bd9-1100-46d3-8c65-fb160da0071f'"

# Get role definition by displayName
Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Para ver la lista de permisos de un rol, use el siguiente cmdlet.

# Do this avoid truncation of the list of permissions
$FormatEnumerationLimit = -1

(Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list

Siga estas instrucciones para enumerar roles de Microsoft Entra mediante Microsoft Graph API en Graph Explorer.

Inicie sesión en Graph Explorer.
Seleccione GET como método HTTP en el menú desplegable.
Seleccione la versión de API para la versión 1.0.

Utilice la API de List unifiedRoleDefinitions para enumerar todas las definiciones de roles.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Para enumerar un rol específico mediante displayName, use este formato.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Seleccione Ejecutar consulta para enumerar los roles.

Este es un ejemplo de la respuesta.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

Para ver los permisos de un rol, use la API siguiente.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions

Pasos siguientes