W tym artykule opisano sposób wyświetlania listy wbudowanych i niestandardowych definicji ról firmy Microsoft oraz ich uprawnień przy użyciu centrum administracyjnego firmy Microsoft Entra, programu Microsoft Graph PowerShell lub interfejsu API programu Microsoft Graph.
Definicja roli to kolekcja uprawnień, które można wykonać, takich jak odczyt, zapis i usuwanie. Zazwyczaj jest określany jako rola. Microsoft Entra ID ma ponad 100 wbudowanych ról lub możesz utworzyć własne role niestandardowe. Jeśli kiedykolwiek zastanawiasz się: "Co naprawdę robią te role?", możesz uzyskać dostęp do szczegółowej listy uprawnień dla każdej z ról.
Wymagania wstępne
- Moduł Microsoft Graph PowerShell podczas korzystania z programu PowerShell
- Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API
Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.
Lista definicji ról Microsoft Entra
Zaloguj się do centrum administracyjnego firmy Microsoft Entra.
Przejdź do Entra ID>Role i administratorzy.
Wybierz nazwę roli, aby otworzyć rolę. Nie dodawaj znacznika wyboru obok roli.
Wybierz pozycję Opis , aby wyświetlić podsumowanie i listę uprawnień dla roli.
Strona zawiera linki do odpowiedniej dokumentacji, które ułatwiają zarządzanie rolami.
Wykonaj następujące kroki, aby wyświetlić listę ról Microsoft Entra za pomocą PowerShell.
Otwórz okno programu PowerShell. W razie potrzeby użyj polecenia Install-Module , aby zainstalować program Microsoft Graph PowerShell. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.
Install-Module Microsoft.Graph -Scope CurrentUser
W oknie programu PowerShell użyj Connect-MgGraph, aby zalogować się do tenant.
Connect-MgGraph -Scopes "RoleManagement.Read.All"
Aby uzyskać role, użyj polecenia Get-MgRoleManagementDirectoryRoleDefinition.
# Get all role definitions
Get-MgRoleManagementDirectoryRoleDefinition
# Get single role definition by ID
Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId 00000000-0000-0000-0000-000000000000
# Get single role definition by templateId
Get-MgRoleManagementDirectoryRoleDefinition -Filter "TemplateId eq 'c4e39bd9-1100-46d3-8c65-fb160da0071f'"
# Get role definition by displayName
Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"
Aby wyświetlić listę uprawnień roli, użyj następującego polecenia cmdlet.
# Do this avoid truncation of the list of permissions
$FormatEnumerationLimit = -1
(Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list
Postępuj zgodnie z tymi instrukcjami, aby wyświetlić listę ról usługi Microsoft Entra przy użyciu interfejsu API programu Microsoft Graph w Eksploratorze programu Graph.
Zaloguj się do Eksploratora programu Graph.
Wybierz pozycję GET jako metodę HTTP z listy rozwijanej.
Wybierz wersję interfejsu API do wersji 1.0.
Użyj interfejsu API List unifiedRoleDefinitions , aby wyświetlić listę wszystkich definicji ról.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Aby wyświetlić określoną rolę według displayName, użyj tego formatu.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'
Wybierz pozycję Uruchom zapytanie , aby wyświetlić listę ról.
Oto przykład odpowiedzi.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
"value": [
{
"id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
"description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
"displayName": "Helpdesk Administrator",
"isBuiltIn": true,
"isEnabled": true,
"resourceScopes": [
"/"
],
...
Aby wyświetlić uprawnienia roli, użyj następującego interfejsu API.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions
Następne kroki
