列出 Microsoft Entra 角色定义

本文介绍如何使用 Microsoft Entra 管理中心、Microsoft Graph PowerShell 或 Microsoft Graph API 列出Microsoft Entra 内置角色定义和自定义角色定义及其权限。

角色定义是可执行特权的集合，例如读取、写入和删除。 这通常称为“角色”。 Microsoft Entra ID 具有 100 多个内置角色，也可以创建自己的自定义角色。 如果曾经有过“这些角色究竟有什么用？”这样的疑问，可访问每个角色的详细权限列表。

先决条件

• 使用 PowerShell 时的 Microsoft Graph PowerShell 模块
• 将 Graph 浏览器用于 Microsoft Graph API 时需要管理员同意

有关详细信息，请参阅使用 PowerShell 或 Graph 浏览器的先决条件。

列出 Microsoft Entra 角色定义

管理中心

1. 登录 Microsoft Entra 管理中心。

2. 浏览到“标识”>“角色和管理员”>“角色和管理员”。

   Microsoft Entra 管理中心中“角色和管理员”页的

3. 选择角色名称以打开该角色。 不要勾选该角色。

   

4. 选择 说明 以查看角色权限的摘要和列表。

   该页包含相关文档的链接，引导你对角色进行管理。

   

PowerShell

执行以下步骤以使用 PowerShell 列出 Microsoft Entra 角色。

1. 打开 PowerShell 窗口。 如有必要，使用 Install-Module 安装 Microsoft Graph PowerShell。 有关详细信息，请参阅使用 PowerShell 或 Graph 浏览器的先决条件。

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. 在 PowerShell 窗口中，使用 Connect-MgGraph 登录到你的租户。

   Connect-MgGraph -Scopes "RoleManagement.Read.All"
   

3. 使用 Get-MgRoleManagementDirectoryRoleDefinition 获取角色。

   # Get all role definitions
   Get-MgRoleManagementDirectoryRoleDefinition
   
   # Get single role definition by ID
   Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId 00000000-0000-0000-0000-000000000000
   
   # Get single role definition by templateId
   Get-MgRoleManagementDirectoryRoleDefinition -Filter "TemplateId eq 'c4e39bd9-1100-46d3-8c65-fb160da0071f'"
   
   # Get role definition by displayName
   Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"
   

4. 若要查看角色的权限列表，请使用以下 cmdlet。

   # Do this avoid truncation of the list of permissions
   $FormatEnumerationLimit = -1
   
   (Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list
   

Graph API

按照以下说明操作，使用 Graph 浏览器中的 Microsoft Graph API 列出 Microsoft Entra 角色。

1. 登录到 Graph 浏览器。

2. 从下拉列表中选择 GET 作为 HTTP 方法。

3. 选择 API 版本“v1.0”。

4. 使用 List unifiedRoleDefinitions API 列出所有角色定义。

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   若要按 displayName 列出特定角色，请使用此格式。

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'
   

5. 选择“运行查询”以列出角色。

   下面是响应的示例。

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
       "value": [
           {
               "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
               "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
               "displayName": "Helpdesk Administrator",
               "isBuiltIn": true,
               "isEnabled": true,
               "resourceScopes": [
                   "/"
               ],
   
       ...
   
   

6. 要查看角色的权限，请使用以下 API。

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions
   

后续步骤

• 列出 Microsoft Entra 角色分配
• 分配 Microsoft Entra 角色
• Microsoft Entra 内置角色