Wyświetlanie listy definicji ról entra firmy Microsoft

W tym artykule opisano sposób wyświetlania listy wbudowanych i niestandardowych definicji ról firmy Microsoft oraz ich uprawnień przy użyciu centrum administracyjnego firmy Microsoft Entra, programu Microsoft Graph PowerShell lub interfejsu API programu Microsoft Graph.

Definicja roli to kolekcja uprawnień, które można wykonać, takich jak odczyt, zapis i usuwanie. Zazwyczaj jest określany jako rola. Microsoft Entra ID ma ponad 100 wbudowanych ról lub możesz utworzyć własne role niestandardowe. Jeśli kiedykolwiek zastanawiasz się: "Co naprawdę robią te role?", możesz uzyskać dostęp do szczegółowej listy uprawnień dla każdej z ról.

Wymagania wstępne

• moduł programu Microsoft Graph PowerShell podczas korzystania z programu PowerShell
• Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Wyświetlanie listy definicji ról entra firmy Microsoft

centrum administracyjne

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

2. Przejdź do >>

   

3. Wybierz nazwę roli, aby otworzyć rolę. Nie dodawaj znacznika wyboru obok roli.

   

4. Wybierz Opis, aby wyświetlić podsumowanie i listę uprawnień dla tej roli.

   Strona zawiera linki do odpowiedniej dokumentacji, które ułatwiają zarządzanie rolami.

   

PowerShell

Wykonaj następujące kroki, aby wyświetlić listę ról firmy Microsoft w programie PowerShell.

1. Otwórz okno programu PowerShell. W razie potrzeby użyj polecenia Install-Module , aby zainstalować program Microsoft Graph PowerShell. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. W oknie programu PowerShell użyj polecenia Connect-MgGraph , aby zalogować się do dzierżawy.

   Connect-MgGraph -Scopes "RoleManagement.Read.All"
   

3. Aby uzyskać role, użyj Get-MgRoleManagementDirectoryRoleDefinition.

   # Get all role definitions
   Get-MgRoleManagementDirectoryRoleDefinition
   
   # Get single role definition by ID
   Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId 00000000-0000-0000-0000-000000000000
   
   # Get single role definition by templateId
   Get-MgRoleManagementDirectoryRoleDefinition -Filter "TemplateId eq 'c4e39bd9-1100-46d3-8c65-fb160da0071f'"
   
   # Get role definition by displayName
   Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"
   

4. Aby wyświetlić listę uprawnień roli, użyj następującego polecenia cmdlet.

   # Do this avoid truncation of the list of permissions
   $FormatEnumerationLimit = -1
   
   (Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list
   

Graph

Postępuj zgodnie z tymi instrukcjami, aby wyświetlić listę ról usługi Microsoft Entra przy użyciu interfejsu API programu Microsoft Graph w Eksploratorze programu Graph.

1. Zaloguj się do Eksploratora programu Graph.

2. Wybierz pozycję GET jako metodę HTTP z listy rozwijanej.

3. Wybierz wersję interfejsu API do wersji 1.0.

4. Użyj interfejsu API List unifiedRoleDefinitions, aby wyświetlić listę wszystkich definicji ról.

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Aby wyświetlić określoną rolę według displayName, użyj tego formatu.

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'
   

5. Wybierz pozycję Uruchom zapytanie , aby wyświetlić listę ról.

   Oto przykład odpowiedzi.

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
       "value": [
           {
               "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
               "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
               "displayName": "Helpdesk Administrator",
               "isBuiltIn": true,
               "isEnabled": true,
               "resourceScopes": [
                   "/"
               ],
   
       ...
   
   

6. Aby wyświetlić uprawnienia roli, użyj następującego interfejsu API.

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions
   

Następne kroki

• Listy przypisań ról Microsoft Entra
• Przypisz role Microsoft Entra
• wbudowane role Microsoft Entra