В этой статье описывается, как вывести список встроенных и настраиваемых определений ролей Microsoft Entra и их разрешений с помощью Центра администрирования Microsoft Entra, Microsoft Graph PowerShell или API Microsoft Graph.
Определение роли — это коллекция разрешений на доступные операции, например чтение, запись и удаление. Обычно это называется ролью. Идентификатор Microsoft Entra имеет более 100 встроенных ролей или вы можете создать собственные пользовательские роли. Если вы когда-либо задавались вопросом "Что действительно делают эти роли?", вы можете получить подробный список разрешений для каждой из ролей.
Предпосылки
Дополнительные сведения см. в разделе "Предварительные требования" для использования PowerShell или обозревателя Graph.
Перечисление определений ролей Microsoft Entra
Войдите в Центр администрирования Microsoft Entra.
Перейдите к Entra ID>Роли и администраторы.
Выберите имя роли, чтобы открыть роль. Не добавляйте флажок рядом с ролью.
Выберите описание , чтобы просмотреть сводку и список разрешений для роли.
Страница содержит ссылки на релевантную документацию, чтобы помочь вам в управлении ролями.
Выполните следующие действия, чтобы перечислить роли Microsoft Entra с помощью PowerShell.
Откройте окно PowerShell. При необходимости используйте install-Module для установки Microsoft Graph PowerShell. Дополнительные сведения см. в разделе "Предварительные требования" для использования PowerShell или обозревателя Graph.
Install-Module Microsoft.Graph -Scope CurrentUser
В окне PowerShell используйте Connect-MgGraph для входа в клиент.
Connect-MgGraph -Scopes "RoleManagement.Read.All"
Используйте Get-MgRoleManagementDirectoryRoleDefinition, чтобы получить роли.
# Get all role definitions
Get-MgRoleManagementDirectoryRoleDefinition
# Get single role definition by ID
Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId 00000000-0000-0000-0000-000000000000
# Get single role definition by templateId
Get-MgRoleManagementDirectoryRoleDefinition -Filter "TemplateId eq 'c4e39bd9-1100-46d3-8c65-fb160da0071f'"
# Get role definition by displayName
Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"
Чтобы ознакомиться со списком разрешений роли, выполните следующий командлет.
# Do this avoid truncation of the list of permissions
$FormatEnumerationLimit = -1
(Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list
Следуйте этим инструкциям, чтобы перечислить роли Microsoft Entra с помощью API Microsoft Graph в обозревателе Graph.
Войдите в обозреватель Graph.
Выберите GET в качестве метода HTTP из раскрывающегося списка.
Выберите версию API 1.0.
Используйте API list unifiedRoleDefinitions для перечисления всех определений ролей.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Чтобы перечислить определенную роль по displayName, используйте этот формат.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'
Выберите "Выполнить запрос" , чтобы перечислить роли.
Ниже приведен пример ответа.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
"value": [
{
"id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
"description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
"displayName": "Helpdesk Administrator",
"isBuiltIn": true,
"isEnabled": true,
"resourceScopes": [
"/"
],
...
Чтобы просмотреть разрешения роли, используйте следующие API.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions
Следующие шаги
