列出 Microsoft Entra 角色定义

本文介绍如何使用 Microsoft Entra 管理中心、Microsoft Graph PowerShell 或 Microsoft Graph API 列出Microsoft Entra 内置角色定义和自定义角色定义及其权限。

角色定义是可执行特权的集合，例如读取、写入和删除。这通常称为“角色”。 Microsoft Entra ID 具有 100 多个内置角色，也可以创建自己的自定义角色。如果你曾经有过“这些角色究竟有什么用？”这样的疑问，可访问每个角色的详细权限列表。

先决条件

使用 PowerShell 时的 Microsoft Graph PowerShell 模块
将 Graph 浏览器用于 Microsoft Graph API 时需要管理员同意

有关详细信息，请参阅使用 PowerShell 或 Graph 浏览器的先决条件。

列出 Microsoft Entra 角色定义

登录 Microsoft Entra 管理中心。
浏览到 Entra ID>角色与管理员。

Microsoft Entra 管理中心中“角色和管理员”页的
选择角色名称以打开该角色。不要勾选该角色。
选择说明以查看角色权限的摘要和列表。

该页包含相关文档的链接，引导你对角色进行管理。

执行以下步骤，使用 PowerShell 列出 Microsoft Entra 角色。

打开 PowerShell 窗口。如有必要，使用 Install-Module 安装 Microsoft Graph PowerShell。有关详细信息，请参阅使用 PowerShell 或 Graph 浏览器的先决条件。
```
Install-Module Microsoft.Graph -Scope CurrentUser
```
在 PowerShell 窗口中，使用 Connect-MgGraph 登录到你的租户。
```
Connect-MgGraph -Scopes "RoleManagement.Read.All"
```

使用 Get-MgRoleManagementDirectoryRoleDefinition 获取角色。

# Get all role definitions
Get-MgRoleManagementDirectoryRoleDefinition

# Get single role definition by ID
Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId 00000000-0000-0000-0000-000000000000

# Get single role definition by templateId
Get-MgRoleManagementDirectoryRoleDefinition -Filter "TemplateId eq 'c4e39bd9-1100-46d3-8c65-fb160da0071f'"

# Get role definition by displayName
Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

若要查看角色的权限列表，请使用以下 cmdlet。

# Do this avoid truncation of the list of permissions
$FormatEnumerationLimit = -1

(Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list

按照以下说明操作，使用 Graph 浏览器中的 Microsoft Graph API 列出 Microsoft Entra 角色。

登录到 Graph 浏览器。
从下拉列表中选择 GET 作为 HTTP 方法。
选择 API 版本 v1.0。

使用 List unifiedRoleDefinitions API 列出所有角色定义。

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

若要按 displayName 列出特定角色，请使用此格式。

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

选择运行查询以列出角色。

下面是响应的示例。

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

要查看角色的权限，请使用以下 API。

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions

后续步骤

反馈

此页面是否有帮助？

Last updated on 2025-07-04

通过

列出 Microsoft Entra 角色定义

先决条件

列出 Microsoft Entra 角色定义

后续步骤

反馈

其他资源