次の方法で共有

Microsoft Entra ロール定義の一覧表示

  • [アーティクル]

ロールの定義は、読み取り、書き込み、削除などの実行できるアクセス許可のコレクションです。 これは通常、ロールと呼ばれます。 Microsoft Entra ID には、60 を超える組み込みロールがあり、独自のカスタム ロールを作成することもできます。 "実際のところ、これらのロールは何を行っているのだろうか?" と疑問に思った場合のために、ロールごとのアクセス許可の詳細なリストにアクセスすることができます。

この記事では、Microsoft Entra 組み込みロールとカスタムロールの一覧を、そのアクセス許可と共に一覧表示する方法について説明します。

前提条件

  • PowerShell を使用する場合はMicrosoft Graph PowerShell SDKのインストール
  • Microsoft Graph API の Graph エクスプローラーを使用する場合の管理者の同意

詳細については、PowerShell または Graph エクスプローラーを使用するための前提条件に関するページを参照してください。

Microsoft Entra 管理センター

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

  1. Microsoft Entra 管理センターにサインインします。

  2. [ID]>[役割と管理者]>[役割と管理者] の順に移動します。

    Azure portal でのロールの一覧

  3. 右側にある省略記号を選択し、 [説明] をクリックすると、ロールのアクセス許可の完全な一覧が表示されます。

    このページには、ロールの管理について説明している関連ドキュメントへのリンクが含まれています。

    [条件付きアクセス管理者 - 説明] ページを示すスクリーンショット。

PowerShell

以下の手順に従って、PowerShell を使用して Microsoft Entra ロールを一覧表示します。

  1. PowerShell ウィンドウを開きます。 必要に応じて、[Install-Module] を使用して Microsoft Graph PowerShell をインストールします。 詳細については、PowerShell または Graph エクスプローラーを使用するための前提条件に関するページを参照してください。

    Install-Module Microsoft.Graph -Scope CurrentUser

  2. PowerShell ウィンドウで、Connect-MgGraph を使用して、自分のテナントにサインインします。

    Connect-MgGraph -Scopes "RoleManagement.Read.All"

  3. Get-MgRoleManagementDirectoryRoleDefinition を使用して、全ロールのを取得します。

    Get-MgRoleManagementDirectoryRoleDefinition

  4. ロールのアクセス許可の一覧を表示するには、次のコマンドレットを使用します。

    # Do this avoid truncation of the list of permissions
$FormatEnumerationLimit = -1

(Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list

Microsoft Graph API

Graph エクスプローラー内で Microsoft Graph API を使用して、Microsoft Entra ロールを一覧表示するには、次の手順を実行します。

  1. Graph エクスプローラーにサインインします。

  2. ドロップダウンから HTTP メソッドとして [GET] を選択します。

  3. API バージョンとして [v1.0] を選択します。

  4. List unifiedRoleDefinitions API を使用するために、次のクエリを追加します。

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

  5. [Run Query](クエリの実行) を選択して、ロールを一覧表示します。

  6. ロールのアクセス許可を表示するには、次の API を使用します。

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions

次のステップ