Elencare le definizioni dei ruoli di Microsoft Entra

Questo articolo descrive come elencare le definizioni dei ruoli predefiniti e personalizzati di Microsoft Entra e le relative autorizzazioni usando l'interfaccia di amministrazione di Microsoft Entra, Microsoft Graph PowerShell o l'API Microsoft Graph.

Una definizione di ruolo è una raccolta di autorizzazioni che possono essere eseguite, ad esempio lettura, scrittura ed eliminazione. Viene in genere definito ruolo. Microsoft Entra ID ha oltre 100 ruoli predefiniti oppure è possibile creare ruoli personalizzati. Se ci si è mai chiesti "Cosa fanno davvero questi ruoli?", è possibile accedere a un elenco dettagliato di autorizzazioni per ognuno dei ruoli.

Prerequisiti

• modulo di PowerShell di Microsoft Graph PowerShell quando si usa PowerShell
• Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Elencare le definizioni dei ruoli di Microsoft Entra

Centro di amministrazione

1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

2. Passare a Identità>Ruoli e amministratori>Ruoli e amministratori.

   

3. Selezionare il nome del ruolo per aprire il ruolo. Non aggiungere un segno di spunta accanto al ruolo.

   

4. Selezionare Descrizione per visualizzare il riepilogo e l'elenco delle autorizzazioni per il ruolo.

   La pagina include collegamenti alla documentazione pertinente, che contiene indicazioni utili per la gestione dei ruoli.

   

PowerShell

Seguire questa procedura per elencare i ruoli di Microsoft Entra con PowerShell.

1. Aprire una finestra di PowerShell. Se necessario, usare Install-Module per installare Microsoft Graph PowerShell. Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. In una finestra di PowerShell usare Connect-MgGraph per accedere al tenant.

   Connect-MgGraph -Scopes "RoleManagement.Read.All"
   

3. Usare Get-MgRoleManagementDirectoryRoleDefinition per ottenere i ruoli.

   # Get all role definitions
   Get-MgRoleManagementDirectoryRoleDefinition
   
   # Get single role definition by ID
   Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId 00000000-0000-0000-0000-000000000000
   
   # Get single role definition by templateId
   Get-MgRoleManagementDirectoryRoleDefinition -Filter "TemplateId eq 'c4e39bd9-1100-46d3-8c65-fb160da0071f'"
   
   # Get role definition by displayName
   Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"
   

4. Per visualizzare l'elenco delle autorizzazioni di un ruolo, usare il cmdlet seguente.

   # Do this avoid truncation of the list of permissions
   $FormatEnumerationLimit = -1
   
   (Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list
   

Graph API

Seguire queste istruzioni per elencare i ruoli di Microsoft Entra usando l'API Microsoft Graph in Graph Explorer.

1. Accedere a Graph Explorer.

2. Selezionare GET come metodo HTTP dall'elenco a discesa.

3. Selezionare la versione dell'API per v1.0.

4. Usare List unifiedRoleDefinitions API per elencare tutte le definizioni di ruolo.

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Per elencare un ruolo specifico in base a displayName, usare questo formato.

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'
   

5. Selezionare Esegui query per elencare i ruoli.

   Ecco un esempio della risposta.

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
       "value": [
           {
               "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
               "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
               "displayName": "Helpdesk Administrator",
               "isBuiltIn": true,
               "isEnabled": true,
               "resourceScopes": [
                   "/"
               ],
   
       ...
   
   

6. Per visualizzare le autorizzazioni di un ruolo, usare l'API seguente.

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions
   

Passaggi successivi

• Elencare le assegnazioni di ruolo di Microsoft Entra
• Assegnare ruoli di Microsoft Entra
• ruoli predefiniti di Microsoft Entra