列出 Microsoft Entra 角色定義

發行項
11/19/2024

角色定義是可以執行的許可權限集合，例如讀取、寫入和刪除。它通常稱為角色。 Microsoft Entra ID 有超過 60 個內建角色，或您可以建立自己的自訂角色。如果您曾經想過「這些角色真的做什麼？」，您可以存取每個角色的詳細許可權清單。

本文說明如何列出 Microsoft Entra 內建和自訂角色，以及其權限。

必要條件

使用 PowerShell 時安裝的 Microsoft Graph PowerShell SDK
針對 Microsoft Graph API 使用 Graph 總管時的管理員同意

如需詳細資訊，請參閱使用 PowerShell 或 Graph 總管的必要條件。

Microsoft Entra 系統管理中心

提示

根據您開始使用的入口網站，本文中的步驟可能略有不同。

登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [角色與系統管理員] > [角色與系統管理員]。
選取右側的省略號，然後選取 [描述]，以查看角色的完整許可權清單。

此頁面包括相關文件的連結，協助引導您管理角色。

PowerShell

請遵循下列步驟，使用 PowerShell 列出Microsoft Entra 角色。

開啟 PowerShell 視窗。如有必要，請使用 Install-Module 來安裝 Microsoft Graph PowerShell。如需詳細資訊，請參閱使用 PowerShell 或 Graph 總管的必要條件。
```
Install-Module Microsoft.Graph -Scope CurrentUser
```
在 PowerShell 視窗中，使用 Connect-MgGraph 登入您的租用戶。
```
Connect-MgGraph -Scopes "RoleManagement.Read.All"
```
使用 Get-MgRoleManagementDirectoryRoleDefinition 來取得所有角色。
```
Get-MgRoleManagementDirectoryRoleDefinition
```

若要查看角色的許可權清單，請使用下列 Cmdlet。

# Do this avoid truncation of the list of permissions
$FormatEnumerationLimit = -1

(Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list

Microsoft Graph API

按照以下指示在 [Graph 總管] 中，使用 Microsoft Graph API 列出 Microsoft Entra 角色。

登入 [Graph 總管]。
從下拉式清單中選取 [GET] 作為 HTTP 方法。
將 API 版本選取為 v1.0。

新增下列查詢以使用 List unifiedRoleDefinitions API。

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

選取 [執行查詢] 以列出角色。

若要檢視角色的權限，請使用下列 API。

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions

下一步