Auflisten von Microsoft Entra-Rollendefinitionen

In diesem Artikel wird beschrieben, wie Sie die integrierten und benutzerdefinierten Rollendefinitionen von Microsoft Entra und deren Berechtigungen mithilfe des Microsoft Entra Admin Centers, der Microsoft Graph PowerShell oder der Microsoft Graph-API auflisten.

Eine Rollendefinition ist eine Sammlung von ausführbaren Berechtigungen wie etwa Lesen, Schreiben und Löschen. Es wird in der Regel als Rolle bezeichnet. Die Microsoft Entra-ID verfügt über mehr als 100 integrierte Rollen, oder Sie können eigene benutzerdefinierte Rollen erstellen. Falls Sie sich jemals gefragt haben, welchen Zweck diese Rollen haben, können Sie für jede der Rollen eine ausführliche Liste mit den Berechtigungen aufrufen.

Voraussetzungen

• Microsoft Graph PowerShell-Modul bei Verwendung von PowerShell
• Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Explorer.

Auflisten von Microsoft Entra-Rollendefinitionen

Admin Center

1. Melden Sie sich beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra IDRollen & Administratoren.

   

3. Wählen Sie einen Rollennamen aus, um die Rolle zu öffnen. Aktivieren Sie das Kontrollkästchen neben der Rolle nicht.

   

4. Wählen Sie "Beschreibung" aus, um die Zusammenfassung und Liste der Berechtigungen für die Rolle anzuzeigen.

   Die Seite enthält Links zu relevanter Dokumentation, die Ihnen bei der Verwaltung von Rollen als Unterstützung dienen soll.

   

PowerShell

Führen Sie diese Schritte aus, um Microsoft Entra-Rollen mit PowerShell aufzulisten.

1. Öffnen Sie ein PowerShell-Fenster. Verwenden Sie bei Bedarf Install-Module , um Microsoft Graph PowerShell zu installieren. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Öffnen Sie ein PowerShell-Fenster und verwenden Sie Connect-MgGraph, um sich bei Ihrem Mandanten anzumelden.

   Connect-MgGraph -Scopes "RoleManagement.Read.All"
   

3. Verwenden Sie Get-MgRoleManagementDirectoryRoleDefinition , um Rollen abzurufen.

   # Get all role definitions
   Get-MgRoleManagementDirectoryRoleDefinition
   
   # Get single role definition by ID
   Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId 00000000-0000-0000-0000-000000000000
   
   # Get single role definition by templateId
   Get-MgRoleManagementDirectoryRoleDefinition -Filter "TemplateId eq 'c4e39bd9-1100-46d3-8c65-fb160da0071f'"
   
   # Get role definition by displayName
   Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"
   

4. Verwenden Sie das folgende Cmdlet, um die Liste der Berechtigungen einer Rolle anzuzeigen.

   # Do this avoid truncation of the list of permissions
   $FormatEnumerationLimit = -1
   
   (Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list
   

Graph-API

Befolgen Sie diese Anweisungen, um Microsoft Entra-Rollen mithilfe der Microsoft Graph-API im Graph-Explorer auflisten.

1. Melden Sie sich beim Graph-Explorer an.

2. Wählen Sie GET als HTTP-Methode aus der Dropdownliste aus.

3. Wählen Sie die API-Version auf v1.0 aus.

4. Verwenden Sie die List unifiedRoleDefinitions-API , um alle Rollendefinitionen auflisten.

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Verwenden Sie dieses Format, um eine bestimmte Rolle nach Anzeigename (displayName) aufzulisten.

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'
   

5. Wählen Sie "Abfrage ausführen" aus, um die Rollen auflisten zu können.

   Hier ist ein Beispiel für die Antwort.

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
       "value": [
           {
               "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
               "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
               "displayName": "Helpdesk Administrator",
               "isBuiltIn": true,
               "isEnabled": true,
               "resourceScopes": [
                   "/"
               ],
   
       ...
   
   

6. Um die Berechtigungen einer Rolle anzuzeigen, verwenden Sie die folgende API.

   GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions
   

Nächste Schritte

• Microsoft Entra-Rollenzuweisungen auflisten
• Zuweisen von Microsoft Entra-Rollen
• Integrierte Microsoft Entra-Rollen