Auflisten von Azure AD-Rollendefinitionen

Eine Rollendefinition ist eine Sammlung von ausführbaren Berechtigungen wie etwa Lesen, Schreiben und Löschen. Sie wird in der Regel einfach als „Rolle“ bezeichnet. Azure Active Directory enthält über 60 integrierte Rollen. Sie können aber auch eigene benutzerdefinierte Rollen erstellen. Falls Sie sich jemals gefragt haben, welchen Zweck diese Rollen haben, können Sie für jede der Rollen eine ausführliche Liste mit den Berechtigungen anzeigen.

In diesem Artikel wird beschrieben, wie Sie die in Azure AD integrierten und die benutzerdefinierten Rollen zusammen mit ihren Berechtigungen auflisten.

Voraussetzungen

  • AzureADPreview-Modul bei Verwendung von PowerShell
  • Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

Azure-Portal

  1. Melden Sie sich beim Azure-Portal oder Azure AD Admin Center an.

  2. Wählen Sie Azure Active Directory>Rollen und Administratoren aus, um die Liste mit allen verfügbaren Rollen anzuzeigen.

    list of roles in Azure portal

  3. Wählen Sie auf der rechten Seite die Auslassungspunkte und dann Beschreibung aus, um die vollständige Liste der Berechtigungen für eine Rolle anzuzeigen.

    Die Seite enthält Links zu relevanter Dokumentation, die Ihnen bei der Verwaltung von Rollen als Unterstützung dienen soll.

    Screenshot that shows the

PowerShell

Führen Sie diese Schritte aus, um Azure AD-Rollen über PowerShell aufzulisten.

  1. Öffnen Sie ein PowerShell-Fenster, und verwenden Sie Import-Module, um das AzureADPreview-Modul zu importieren. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

    Import-Module -Name AzureADPreview -Force
    
  2. Verwenden Sie in einem PowerShell-Fenster Connect-AzureAD, um sich bei Ihrem Mandanten anzumelden.

    Connect-AzureAD
    
  3. Verwenden Sie Get-AzureADMSRoleDefinition, um alle Rollen abzurufen.

    Get-AzureADMSRoleDefinition
    
  4. Verwenden Sie das folgende Cmdlet, um die Liste der Berechtigungen einer Rolle anzuzeigen.

    # Do this avoid truncation of the list of permissions
    $FormatEnumerationLimit = -1
    
    (Get-AzureADMSRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list
    

Microsoft Graph-API

Befolgen Sie diese Anweisungen, um Azure AD-Rollen mithilfe der Microsoft Graph-API in Graph-Tester aufzulisten.

  1. Melden Sie sich bei Graph-Tester an.

  2. Wählen Sie in der Dropdownliste GET als HTTP-Methode aus.

  3. Wählen Sie v1.0 für die API-Version aus.

  4. Fügen Sie die folgende Abfrage hinzu, um die API unifiedRoleDefinitions auflisten zu verwenden.

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
    
  5. Wählen Sie Abfrage ausführen aus, um die Rollen auflisten.

  6. Um die Berechtigungen einer Rolle anzuzeigen, verwenden Sie die folgende API.

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions
    

Nächste Schritte