Enumeración de definiciones de roles de Microsoft Entra
Una definición de roles es una colección de permisos que se pueden realizar, por ejemplo, de lectura, escritura y eliminación. Normalmente se conoce como rol. Microsoft Entra ID tiene más de 60 roles integrados, aunque también puede crear sus propios roles personalizados. Si alguna vez se preguntó "¿Qué hacen estos roles realmente?", puede acceder a una lista detallada de permisos para cada uno de los roles.
En este artículo se describe cómo enumerar los roles integrados y personalizados de Microsoft Entra junto con sus permisos.
Requisitos previos
- Módulo Microsoft Graph PowerShell SDK instalado al utilizar PowerShell
- Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API
Para obtener más información, consulta Requisitos previos para usar PowerShell o Probador de Graph.
Centro de administración Microsoft Entra
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.
Inicie sesión en el centro de administración de Microsoft Entra.
Vaya a Identidad>Roles y administradores>Roles y administradores.
A la derecha, seleccione el botón de puntos suspensivos y, a continuación, Descripción para ver la lista completa de permisos de un rol.
En la página se incluyen vínculos a documentación relevante que le guiarán a través de la administración de los roles.
PowerShell
Siga estos pasos para enumerar los roles de Microsoft Entra con PowerShell.
Abra una ventana de PowerShell. Si es necesario, use Install-Module para instalar Microsoft Graph PowerShell. Para más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.
Install-Module Microsoft.Graph -Scope CurrentUser
En una ventana de PowerShell, use Connect-MgGraph para iniciar sesión en el inquilino.
Connect-MgGraph -Scopes "RoleManagement.Read.All"
Use Get-MgRoleManagementDirectoryRoleDefinition para obtener todos los roles.
Get-MgRoleManagementDirectoryRoleDefinition
Para ver la lista de permisos de un rol, use el siguiente cmdlet.
# Do this avoid truncation of the list of permissions $FormatEnumerationLimit = -1 (Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list
Microsoft Graph API
Siga estas instrucciones para enumerar roles de Microsoft Entra mediante Microsoft Graph API en Graph Explorer.
Inicie sesión en Graph Explorer.
Seleccione GET como método HTTP en el menú desplegable.
Seleccione la versión de API para la versión 1.0.
Agregue la consulta siguiente para usar la List unifiedRoleDefinitions API.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Seleccione Ejecutar consulta para enumerar los roles.
Para ver los permisos de un rol, use la API siguiente.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions