Перечисление определений ролей Microsoft Entra

В этой статье описывается, как вывести список встроенных и настраиваемых определений ролей Microsoft Entra и их разрешений с помощью Центра администрирования Microsoft Entra, Microsoft Graph PowerShell или API Microsoft Graph.

Определение роли — это коллекция разрешений на доступные операции, например чтение, запись и удаление. Обычно это называется ролью. Идентификатор Microsoft Entra имеет более 100 встроенных ролей или вы можете создать собственные пользовательские роли. Если вы когда-либо задавались вопросом "Что действительно делают эти роли?", вы можете получить подробный список разрешений для каждой из ролей.

Предпосылки

• модуль Microsoft Graph PowerShell при использовании PowerShell
• Согласие администратора при использовании Graph Explorer для API Microsoft Graph.

Для получения дополнительной информации см. Предварительные требования для использования PowerShell или Graph Explorer.

Перечисление определений ролей Microsoft Entra

Центр администрирования

1. Войдите в центр администрирования Microsoft Entra.

2. Перейдите к Удостоверение>Роли и администраторы>Роли и администраторы.

   

3. Выберите имя роли, чтобы открыть роль. Не добавляйте флажок рядом с ролью.

   

4. Выберите Описание, чтобы просмотреть сводку и список разрешений для этой роли.

   Страница содержит ссылки на релевантную документацию, чтобы помочь вам в управлении ролями.

   

PowerShell

Выполните следующие действия, чтобы перечислить роли Microsoft Entra с помощью PowerShell.

1. Откройте окно PowerShell. При необходимости используйте install-Module для установки Microsoft Graph PowerShell. Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. В окне PowerShell используйте Connect-MgGraph для входа в клиент.

   Connect-MgGraph -Scopes "RoleManagement.Read.All"
   

3. Используйте Get-MgRoleManagementDirectoryRoleDefinition, чтобы получить роли.

   # Get all role definitions
   Get-MgRoleManagementDirectoryRoleDefinition
   
   # Get single role definition by ID
   Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId 00000000-0000-0000-0000-000000000000
   
   # Get single role definition by templateId
   Get-MgRoleManagementDirectoryRoleDefinition -Filter "TemplateId eq 'c4e39bd9-1100-46d3-8c65-fb160da0071f'"
   
   # Get role definition by displayName
   Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"
   

4. Чтобы ознакомиться со списком разрешений роли, выполните следующий командлет.

   # Do this avoid truncation of the list of permissions
   $FormatEnumerationLimit = -1
   
   (Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list
   

Graph API

Следуйте этим инструкциям, чтобы перечислить роли Microsoft Entra с помощью API Microsoft Graph в обозревателе Graph.

1. Войдите в Graph Explorer.

2. Выберите метод HTTP GET в раскрывающемся списке.

3. Выберите для API версию 1.0.

4. Используйте List unifiedRoleDefinitions API для перечисления всех определений ролей.

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Чтобы перечислить определенную роль по displayName, используйте этот формат.

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'
   

5. Щелкните Выполнить запрос, чтобы получить список ролей.

   Ниже приведен пример ответа.

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
       "value": [
           {
               "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
               "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
               "displayName": "Helpdesk Administrator",
               "isBuiltIn": true,
               "isEnabled": true,
               "resourceScopes": [
                   "/"
               ],
   
       ...
   
   

6. Чтобы просмотреть разрешения роли, используйте следующие API.

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions
   

Следующие шаги

• Список назначений ролей Microsoft Entra
• Назначить роли Microsoft Entra
• встроенные роли Microsoft Entra