Enumeración de definiciones de roles de Microsoft Entra

  • Artículo

Una definición de roles es una colección de permisos que se pueden realizar, por ejemplo, de lectura, escritura y eliminación. Suele denominarse un rol. Microsoft Entra ID tiene más de 60 roles integrados, aunque también puede crear sus propios roles personalizados. Si alguna vez se ha preguntado "¿qué es lo que realmente hacen estos roles?", puede ver una lista detallada de los permisos para cada uno de los roles.

En este artículo se describe cómo enumerar los roles integrados y personalizados de Microsoft Entra junto con sus permisos.

Requisitos previos

  • Módulo Microsoft Graph PowerShell SDK instalado al utilizar PowerShell
  • Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API

Para más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.

Centro de administración de Microsoft Entra

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.

  1. Inicie sesión en el centro de administración de Microsoft Entra.

  2. Vaya a Identidad>Roles y administradores>Roles y administradores.

    list of roles in Azure portal

  3. A la derecha, seleccione el botón de puntos suspensivos y, a continuación, Descripción para ver la lista completa de permisos de un rol.

    En la página se incluyen vínculos a documentación relevante que le guiarán a través de la administración de los roles.

    Screenshot that shows the

PowerShell

Siga estos pasos para enumerar roles de Microsoft Entra mediante PowerShell.

  1. Abra una ventana de PowerShell. Si es necesario, use Install-Module para instalar Microsoft Graph PowerShell. Para más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.

    Install-Module Microsoft.Graph -Scope CurrentUser

  2. En una ventana de PowerShell, use Connect-MgGraph para iniciar sesión en el inquilino.

    Connect-MgGraph -Scopes "RoleManagement.Read.All"

  3. Use Get-MgRoleManagementDirectoryRoleDefinition para obtener todos los roles.

    Get-MgRoleManagementDirectoryRoleDefinition

  4. Para ver la lista de permisos de un rol, use el siguiente cmdlet.

    # Do this avoid truncation of the list of permissions
$FormatEnumerationLimit = -1

(Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list

Microsoft Graph API

Siga estas instrucciones para enumerar roles de Microsoft Entra mediante Microsoft Graph API en Graph Explorer.

  1. Inicie sesión en Graph Explorer.

  2. Seleccione GET como método HTTP en el menú desplegable.

  3. Seleccione la versión de API para la versión 1.0.

  4. Agregue la consulta siguiente para usar la List unifiedRoleDefinitions API.

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

  5. Seleccione Ejecutar consulta para enumerar los roles.

  6. Para ver los permisos de un rol, use la API siguiente.

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions

Pasos siguientes