列出 Microsoft Entra 角色定义

  • 项目

角色定义是可执行特权的集合,例如读取、写入和删除。 它通常直接称为“角色”。 Microsoft Entra ID 具有超过 60 种内置角色,也可以创建自己的自定义角色。 如果你曾经有过“这些角色究竟有什么用?”这样的疑问,可查看每个角色的详细权限列表。

本文介绍如何列出 Microsoft Entra 内置和自定义角色及其权限。

先决条件

  • 使用 PowerShell 时安装的 Microsoft Graph PowerShell SDK
  • 将 Graph 浏览器用于 Microsoft Graph API 时需要管理员同意

有关详细信息,请参阅使用 PowerShell 或 Graph 浏览器的先决条件

Microsoft Entra 管理中心

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 登录 Microsoft Entra 管理中心

  2. 浏览到“标识”>“角色和管理员”>“角色和管理员”

    list of roles in Azure portal

  3. 在右侧选择省略号,然后选择“说明”来查看角色权限的完整列表。

    该页包含相关文档的链接,引导你对角色进行管理。

    Screenshot that shows the

PowerShell

执行以下步骤以使用 PowerShell 列出 Microsoft Entra 角色。

  1. 打开 PowerShell 窗口。 如有必要,使用 Install-Module 安装 Microsoft Graph PowerShell。 有关详细信息,请参阅使用 PowerShell 或 Graph 浏览器的先决条件

    Install-Module Microsoft.Graph -Scope CurrentUser

  2. 在 PowerShell 窗口中,使用 Connect-MgGraph 登录到你的租户。

    Connect-MgGraph -Scopes "RoleManagement.Read.All"

  3. 使用 Get-MgRoleManagementDirectoryRoleDefinition 命令获取所有角色。

    Get-MgRoleManagementDirectoryRoleDefinition

  4. 要查看角色的权限列表,请使用以下 cmdlet。

    # Do this avoid truncation of the list of permissions
$FormatEnumerationLimit = -1

(Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list

Microsoft Graph API

按照以下说明操作,使用 Graph 浏览器中的 Microsoft Graph API 列出 Microsoft Entra 角色。

  1. 登录到 Graph 浏览器

  2. 从下拉列表中选择 GET 作为 HTTP 方法。

  3. 选择 API 版本“v1.0”。

  4. 添加以下查询以使用 List unifiedRoleDefinitions API。

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

  5. 选择“运行查询”以列出角色。

  6. 要查看角色的权限,请使用以下 API。

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions

后续步骤