列出 Microsoft Entra 角色定義

發行項
01/03/2025

本文說明如何使用 Microsoft Entra 系統管理中心、Microsoft Graph PowerShell 或 Microsoft Graph API 列出Microsoft Entra 內建和自定義角色定義及其許可權。

角色定義是可以執行的許可權限集合，例如讀取、寫入和刪除。它通常稱為角色。 Microsoft Entra 識別碼有超過 100 個內建角色，或者您可以建立自己的自定義角色。如果您曾經想過「這些角色真的做什麼？」，您可以存取每個角色的詳細許可權清單。

必要條件

使用 PowerShell 時，Microsoft Graph PowerShell 模組
針對 Microsoft Graph API 使用 Graph 總管時的管理員同意

如需詳細資訊，請參閱使用 PowerShell 或 Graph 總管的必要條件。

列出 Microsoft Entra 角色定義

登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]> [角色與系統管理員]> [角色與系統管理員]。
選取角色名稱以開啟角色。請勿在角色旁邊新增核取記號。
選取 [[描述] 以查看角色的摘要和許可權清單。

此頁面包括相關文件的連結，協助引導您管理角色。

請遵循下列步驟，使用 PowerShell 列出Microsoft Entra 角色。

開啟 PowerShell 視窗。如有必要，請使用 Install-Module 來安裝 Microsoft Graph PowerShell。如需詳細資訊，請參閱使用 PowerShell 或 Graph 總管的必要條件。
```
Install-Module Microsoft.Graph -Scope CurrentUser
```
在 PowerShell 視窗中，使用 Connect-MgGraph 登入您的租用戶。
```
Connect-MgGraph -Scopes "RoleManagement.Read.All"
```

使用 Get-MgRoleManagementDirectoryRoleDefinition 來取得角色。

# Get all role definitions
Get-MgRoleManagementDirectoryRoleDefinition

# Get single role definition by ID
Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId 00000000-0000-0000-0000-000000000000

# Get single role definition by templateId
Get-MgRoleManagementDirectoryRoleDefinition -Filter "TemplateId eq 'c4e39bd9-1100-46d3-8c65-fb160da0071f'"

# Get role definition by displayName
Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

若要查看角色的許可權清單，請使用下列 Cmdlet。

# Do this avoid truncation of the list of permissions
$FormatEnumerationLimit = -1

(Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list

按照以下指示在 [Graph 總管] 中，使用 Microsoft Graph API 列出 Microsoft Entra 角色。

登入 [Graph 總管]。
從下拉式清單中選取 [GET] 作為 HTTP 方法。
將 API 版本選取為 v1.0。

使用 List unifiedRoleDefinitions API 來列出所有角色定義。

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

若要依 displayName 列出特定角色，請使用此格式。

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

選取 [執行查詢] 以列出角色。

以下是回應的範例。

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

若要檢視角色的權限，請使用下列 API。

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions

共用方式為

列出 Microsoft Entra 角色定義

必要條件

列出 Microsoft Entra 角色定義

下一步

意見反應

其他資源