List directoryRoles
Espacio de nombres: microsoft.graph
Importante
Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Nota:
Microsoft recomienda usar la API de RBAC unificada en lugar de esta API. La API de RBAC unificada proporciona más funcionalidad y flexibilidad. Para obtener más información, vea Enumerar roleDefinitions.
Enumera los roles de directorio que están activados en el inquilino.
Esta operación solo devuelve los roles que se han activado. Un rol se activa cuando un administrador activa el rol mediante la API Activate directoryRole . No todos los roles integrados se activan inicialmente.
Al asignar un rol mediante el Centro de administración Microsoft Entra, el paso de activación del rol se realiza implícitamente en nombre del administrador. Para obtener la lista completa de roles que están disponibles en Microsoft Entra, use List directoryRoleTemplates.
Esta API está disponible en las siguientes implementaciones nacionales de nube.
| Servicio global | Gobierno de EE. UU. L4 | Us Government L5 (DOD) | China operada por 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Permissions
Elija el permiso o los permisos marcados como con privilegios mínimos para esta API. Use un permiso o permisos con privilegios superiores solo si la aplicación lo requiere. Para obtener más información sobre los permisos delegados y de aplicación, consulte Tipos de permisos. Para obtener más información sobre estos permisos, consulte la referencia de permisos.
| Tipo de permiso | Permisos con privilegios mínimos | Permisos con privilegios más altos |
|---|---|---|
| Delegado (cuenta profesional o educativa) | RoleManagement.Read.Directory | RoleManagement.ReadWrite.Directory, Directory.Read.All, Directory.ReadWrite.All |
| Delegado (cuenta personal de Microsoft) | No admitida. | No admitida. |
| Aplicación | RoleManagement.Read.Directory | RoleManagement.ReadWrite.Directory, Directory.Read.All, Directory.ReadWrite.All |
Importante
En escenarios delegados con cuentas profesionales o educativas, al usuario que ha iniciado sesión se le debe asignar un rol de Microsoft Entra compatible o un rol personalizado con un permiso de rol admitido. Se admiten los siguientes roles con privilegios mínimos para esta operación.
- Administrador de usuarios
- Administrador del servicio de asistencia
- Administrador de soporte técnico de servicio
- Administrador de facturación
- Usuario
- Administrador de buzones
- Lectores de directorio
- Escritores de directorios
- Administrador de la aplicación
- Lector de seguridad
- Administrador de seguridad
- Administrador de roles con privilegios
- Administrador de aplicaciones en la nube
- Aprobador de acceso de caja de seguridad del cliente
- Administrador de Dynamics 365
- Administrador de Power BI
- Administrador de Azure Information Protection
- Administrador de Análisis de escritorio
- Administrador de licencias
- Administrador de Escritorio administrado de Microsoft
- Administrador de autenticación
- Administrador de autenticación con privilegios
- Administrador de comunicaciones de Teams
- Ingeniero de soporte en comunicaciones de Teams
- Especialista de soporte en comunicaciones de Teams
- Administrador de Teams
- Administrador de Insights
- Administrador de datos de cumplimiento
- Operador de seguridad
- Administrador de Kaizala
- Lector global
- Usuario del Centro de negocios de licencias por volumen
- Usuario del Centro de servicios de licencias por volumen
- Administrador de comercio moderno
- Microsoft Store para Empresas usuario
- Revisor de directorios
Solicitud HTTP
GET /directoryRoles
Parámetros de consulta opcionales
Este método admite los $selectparámetros de consulta , $filter (eq solo) y $expand OData para ayudar a personalizar la respuesta.
Encabezados de solicitud
| Nombre | Descripción |
|---|---|
| Authorization | {token} de portador. Obligatorio. Obtenga más información sobre la autenticación y la autorización. |
Cuerpo de la solicitud
No proporcione un cuerpo de solicitud para este método.
Respuesta
Si se ejecuta correctamente, este método devuelve un código de respuesta 200 OK y la colección de objetos directoryRole en el cuerpo de la respuesta.
Ejemplo
Solicitud
En el ejemplo siguiente se muestra la solicitud.
GET https://graph.microsoft.com/beta/directoryRoles
Respuesta
En el ejemplo siguiente se muestra la respuesta. Nota: el objeto de respuesta que se muestra aquí puede haberse acortado para mejorar la legibilidad.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#directoryRoles",
"value": [
{
"id": "9ed3a0c4-53e1-498c-ab4d-2473476fde14",
"deletedDateTime": null,
"description": "Can manage all aspects of Azure AD and Microsoft services that use Azure AD identities.",
"displayName": "Global Administrator",
"roleTemplateId": "62e90394-69f5-4237-9190-012177145e10"
},
{
"id": "f8e85ed8-f66f-4058-b170-3efae8b9c6e5",
"deletedDateTime": null,
"description": "Device Administrators",
"displayName": "Azure AD Joined Device Local Administrator",
"roleTemplateId": "9f06204d-73c1-4d4c-880a-6edb90606fd8"
},
{
"id": "fe8f10bf-c9c2-47eb-95cb-c26cc85f1830",
"deletedDateTime": null,
"description": "Can read basic directory information. Commonly used to grant directory read access to applications and guests.",
"displayName": "Directory Readers",
"roleTemplateId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}
]
}