Listar definições de função do Microsoft Entra

Este artigo descreve como listar as definições de função internas e personalizadas do Microsoft Entra e suas permissões usando o centro de administração do Microsoft Entra, o Microsoft Graph PowerShell ou a API do Microsoft Graph.

Uma definição de função é uma coleção de permissões que podem ser executadas, como leitura, gravação e exclusão. É normalmente referido como um papel. O Microsoft Entra ID tem mais de 100 funções internas ou você pode criar suas próprias funções personalizadas. Se você já se perguntou "O que essas funções realmente fazem?", você pode acessar uma lista detalhada de permissões para cada uma das funções.

Pré-requisitos

• módulo de do Microsoft Graph PowerShell ao usar o PowerShell
• Consentimento do administrador ao utilizar os Testes de API do Graph para a Microsoft Graph API

Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.

Listar definições de função do Microsoft Entra

Centro de administração

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

1. Inicie sessão no centro de administração do Microsoft Entra.

2. Navegue até >Roles & admins.

   

3. Selecione um nome de função para abri-la. Não adicione uma marca de seleção ao lado da função.

   

4. Selecione Descrição para ver o resumo e a lista de permissões para a função.

   A página inclui links para documentação relevante para ajudar a guiá-lo pelo gerenciamento de funções.

   

PowerShell

Siga estas etapas para listar as funções do Microsoft Entra com o PowerShell.

1. Abra uma janela do PowerShell. Se necessário, use o Install-Module para instalar o Microsoft Graph PowerShell. Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Em uma janela do PowerShell, use o Connect-MgGraph para entrar no seu locatário.

   Connect-MgGraph -Scopes "RoleManagement.Read.All"
   

3. Utilize Get-MgRoleManagementDirectoryRoleDefinition para obter funções.

   # Get all role definitions
   Get-MgRoleManagementDirectoryRoleDefinition
   
   # Get single role definition by ID
   Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId 00000000-0000-0000-0000-000000000000
   
   # Get single role definition by templateId
   Get-MgRoleManagementDirectoryRoleDefinition -Filter "TemplateId eq 'c4e39bd9-1100-46d3-8c65-fb160da0071f'"
   
   # Get role definition by displayName
   Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"
   

4. Para exibir a lista de permissões de uma função, use o cmdlet a seguir.

   # Do this avoid truncation of the list of permissions
   $FormatEnumerationLimit = -1
   
   (Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list
   

Graph API

Siga estas instruções para listar funções do Microsoft Entra usando a API do Microsoft Graph no Graph Explorer.

1. Inicie sessão no Graph Explorer.

2. Selecione GET como o método HTTP na lista suspensa.

3. Selecione a versão da API para v1.0.

4. Utilize a List unifiedRoleDefinitions API para listar todas as definições de funções.

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Para listar uma função específica por displayName, use este formato.

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'
   

5. Selecione Executar consulta para listar as funções.

   Aqui está um exemplo da resposta.

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
       "value": [
           {
               "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
               "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
               "displayName": "Helpdesk Administrator",
               "isBuiltIn": true,
               "isEnabled": true,
               "resourceScopes": [
                   "/"
               ],
   
       ...
   
   

6. Para exibir as permissões de uma função, use a seguinte API.

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions
   

Próximos passos

• Lista de atribuições de função do Microsoft Entra
• Atribuir funções do Microsoft Entra
• funções internas do Microsoft Entra