En este artículo se describe cómo enumerar las definiciones de roles integradas y personalizadas de Microsoft Entra y sus permisos mediante el Centro de administración de Microsoft Entra, Microsoft Graph PowerShell o Microsoft Graph API.
Una definición de roles es una colección de permisos que se pueden realizar, por ejemplo, de lectura, escritura y eliminación. Normalmente se conoce como rol. Microsoft Entra ID tiene más de 100 roles integrados o puede crear sus propios roles personalizados. Si alguna vez se ha preguntado "¿qué es lo que realmente hacen estos roles?", puede acceder a una lista detallada de los permisos para cada uno de los roles.
Requisitos previos
- Módulo Microsoft Graph PowerShell al usar PowerShell
- Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API
Para obtener más información, consulte Requisitos previos para usar PowerShell o el Explorador de Graph.
Enumeración de definiciones de roles de Microsoft Entra
Inicie sesión en el Centro de administración de Microsoft Entra.
Vaya a Entra ID>Roles & administradores.
Seleccione un nombre de rol para abrir el rol. No agregue una marca de verificación junto al rol.
Seleccione Descripción para ver el resumen y la lista de permisos del rol.
En la página se incluyen vínculos a documentación relevante que le guiarán a través de la administración de los roles.
Siga estos pasos para obtener una lista de los roles de Microsoft Entra con PowerShell.
Abra una ventana de PowerShell. Si es necesario, use Install-Module para instalar Microsoft Graph PowerShell. Para obtener más información, consulte Requisitos previos para usar PowerShell o el Explorador de Graph.
Install-Module Microsoft.Graph -Scope CurrentUser
En una ventana de PowerShell, use Connect-MgGraph para iniciar sesión en el inquilino.
Connect-MgGraph -Scopes "RoleManagement.Read.All"
Utilice Get-MgRoleManagementDirectoryRoleDefinition para obtener roles.
# Get all role definitions
Get-MgRoleManagementDirectoryRoleDefinition
# Get single role definition by ID
Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId 00000000-0000-0000-0000-000000000000
# Get single role definition by templateId
Get-MgRoleManagementDirectoryRoleDefinition -Filter "TemplateId eq 'c4e39bd9-1100-46d3-8c65-fb160da0071f'"
# Get role definition by displayName
Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"
Para ver la lista de permisos de un rol, use el siguiente cmdlet.
# Do this avoid truncation of the list of permissions
$FormatEnumerationLimit = -1
(Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list
Siga estas instrucciones para enumerar los roles de Microsoft Entra mediante Microsoft Graph API en el Explorador de Graph.
Inicie sesión en el Explorador de Graph.
Seleccione GET como método HTTP en la lista desplegable.
Seleccione la versión de la API en v1.0.
Use la API List unifiedRoleDefinitions para enumerar todas las definiciones de roles.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Para enumerar un rol específico mediante displayName, use este formato.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'
Seleccione Ejecutar consulta para enumerar los roles.
Este es un ejemplo de la respuesta.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
"value": [
{
"id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
"description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
"displayName": "Helpdesk Administrator",
"isBuiltIn": true,
"isEnabled": true,
"resourceScopes": [
"/"
],
...
Para ver los permisos de un rol, use la API siguiente.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions
Pasos siguientes