In diesem Artikel wird beschrieben, wie Sie die integrierten und benutzerdefinierten Rollendefinitionen von Microsoft Entra und deren Berechtigungen mithilfe des Microsoft Entra Admin Centers, der Microsoft Graph PowerShell oder der Microsoft Graph-API auflisten.
Eine Rollendefinition ist eine Sammlung von ausführbaren Berechtigungen wie etwa Lesen, Schreiben und Löschen. Sie wird normalerweise als Rolle bezeichnet. Die Microsoft Entra-ID verfügt über mehr als 100 integrierte Rollen, oder Sie können eigene benutzerdefinierte Rollen erstellen. Falls Sie sich jemals gefragt haben, welchen Zweck diese Rollen haben, können Sie für jede der Rollen auf eine ausführliche Liste mit den Berechtigungen zugreifen.
Voraussetzungen
Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Explorer.
Auflisten von Microsoft Entra-Rollendefinitionen
Melden Sie sich beim Microsoft Entra Admin Center an.
Navigieren Sie zu Entra IDRollen & Administratoren.
Wählen Sie einen Rollennamen aus, um die Rolle zu öffnen. Aktivieren Sie das Kontrollkästchen neben der Rolle nicht.
Wählen Sie "Beschreibung" aus, um die Zusammenfassung und Liste der Berechtigungen für die Rolle anzuzeigen.
Die Seite enthält Links zu relevanter Dokumentation, die Ihnen bei der Verwaltung von Rollen als Unterstützung dienen soll.
Führen Sie diese Schritte aus, um Microsoft Entra-Rollen über PowerShell aufzulisten.
Öffnen Sie ein PowerShell-Fenster. Verwenden Sie bei Bedarf Install-Module , um Microsoft Graph PowerShell zu installieren. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Explorer.
Install-Module Microsoft.Graph -Scope CurrentUser
Öffnen Sie ein PowerShell-Fenster und verwenden Sie Connect-MgGraph, um sich bei Ihrem Mandanten anzumelden.
Connect-MgGraph -Scopes "RoleManagement.Read.All"
Verwenden Sie Get-MgRoleManagementDirectoryRoleDefinition , um Rollen abzurufen.
# Get all role definitions
Get-MgRoleManagementDirectoryRoleDefinition
# Get single role definition by ID
Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId 00000000-0000-0000-0000-000000000000
# Get single role definition by templateId
Get-MgRoleManagementDirectoryRoleDefinition -Filter "TemplateId eq 'c4e39bd9-1100-46d3-8c65-fb160da0071f'"
# Get role definition by displayName
Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"
Verwenden Sie das folgende Cmdlet, um die Liste der Berechtigungen einer Rolle anzuzeigen.
# Do this avoid truncation of the list of permissions
$FormatEnumerationLimit = -1
(Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list
Befolgen Sie diese Anweisungen, um Microsoft Entra-Rollen mithilfe der Microsoft Graph-API im Graph-Explorer auflisten.
Melden Sie sich beim Graph-Explorer an.
Wählen Sie GET als HTTP-Methode aus der Dropdownliste aus.
Wählen Sie die API-Version auf v1.0 aus.
Verwenden Sie die List unifiedRoleDefinitions-API , um alle Rollendefinitionen auflisten.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Um eine bestimmte Rolle nach „displayName“ aufzulisten, verwenden Sie dieses Format.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'
Wählen Sie "Abfrage ausführen" aus, um die Rollen auflisten zu können.
Hier ist ein Beispiel für die Antwort.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
"value": [
{
"id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
"description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
"displayName": "Helpdesk Administrator",
"isBuiltIn": true,
"isEnabled": true,
"resourceScopes": [
"/"
],
...
Um die Berechtigungen einer Rolle anzuzeigen, verwenden Sie die folgende API.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions
Nächste Schritte
