roleDefinitions auflisten
Namespace: microsoft.graph
Wichtig
Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Ruft eine Liste der unifiedRoleDefinition-Objekte für einen RBAC-Anbieter ab.
Die folgenden RBAC-Anbieter werden derzeit unterstützt:
- Cloud-PC
- Geräteverwaltung (Intune)
- Verzeichnis (Microsoft Entra ID)
- Berechtigungsverwaltung (Microsoft Entra ID)
- Exchange Online:
Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.
| Globaler Dienst | US Government L4 | US Government L5 (DOD) | China, betrieben von 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Berechtigungen
Wählen Sie abhängig vom RBAC-Anbieter und dem erforderlichen Berechtigungstyp (delegiert oder Anwendung) aus den folgenden Tabellen die Berechtigung mit den geringsten Berechtigungen aus, die zum Aufrufen dieser API erforderlich sind. Weitere Informationen, einschließlich Vorsicht vor der Auswahl von privilegierteren Berechtigungen, finden Sie unter Berechtigungen.
Für einen Cloud-PC-Anbieter
| Berechtigungstyp | Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten) |
|---|---|
| Delegiert (Geschäfts-, Schul- oder Unikonto) | RoleManagement.Read.CloudPC, CloudPC.Read.All, RoleManagement.ReadWrite.CloudPC, CloudPC.ReadWrite.All, RoleManagement.Read.All |
| Delegiert (persönliches Microsoft-Konto) | Nicht unterstützt |
| Anwendung | RoleManagement.Read.CloudPC, CloudPC.Read.All, RoleManagement.ReadWrite.CloudPC, CloudPC.ReadWrite.All, RoleManagement.Read.All |
Für einen Geräteverwaltungsanbieter (Intune)
| Berechtigungstyp | Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten) |
|---|---|
| Delegiert (Geschäfts-, Schul- oder Unikonto) | DeviceManagementRBAC.Read.All, DeviceManagementRBAC.ReadWrite.All |
| Delegiert (persönliches Microsoft-Konto) | Nicht unterstützt |
| Anwendung | DeviceManagementRBAC.Read.All, DeviceManagementRBAC.ReadWrite.All |
Für einen Verzeichnisanbieter (Microsoft Entra ID)
| Berechtigungstyp | Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten) |
|---|---|
| Delegiert (Geschäfts-, Schul- oder Unikonto) | RoleManagement.Read.Directory, Directory.Read.All, RoleManagement.ReadWrite.Directory, Directory.ReadWrite.All |
| Delegiert (persönliches Microsoft-Konto) | Nicht unterstützt |
| Anwendung | RoleManagement.Read.Directory, Directory.Read.All, RoleManagement.ReadWrite.Directory, Directory.ReadWrite.All |
Für einen Berechtigungsverwaltungsanbieter
| Berechtigungstyp | Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten) |
|---|---|
| Delegiert (Geschäfts-, Schul- oder Unikonto) | EntitlementManagement.Read.All, EntitlementManagement.ReadWrite.All |
| Delegiert (persönliches Microsoft-Konto) | Nicht unterstützt |
| Anwendung | Nicht unterstützt |
Für einen Exchange Online anbieter
| Berechtigungstyp | Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten) |
|---|---|
| Delegiert (Geschäfts-, Schul- oder Unikonto) | RoleManagement.Read.Exchange, RoleManagement.Read.All, RoleManagement.ReadWrite.Exchange |
| Delegiert (persönliches Microsoft-Konto) | Nicht unterstützt |
| Anwendung | RoleManagement.Read.Exchange, RoleManagement.Read.All, RoleManagement.ReadWrite.Exchange |
HTTP-Anforderung
So listen Sie Rollendefinitionen für einen Cloud-PC-Anbieter auf:
GET /roleManagement/cloudPC/roleDefinitions
So listen Sie Rollendefinitionen für einen Geräteverwaltungsanbieter auf:
GET /roleManagement/deviceManagement/roleDefinitions
So listen Sie Rollendefinitionen für einen Verzeichnisanbieter auf:
GET /roleManagement/directory/roleDefinitions
So listen Sie Rollendefinitionen für den Berechtigungsverwaltungsanbieter auf:
GET /roleManagement/entitlementManagement/roleDefinitions
So listen Sie Rollendefinitionen für den Exchange Online-Anbieter auf:
GET /roleManagement/exchange/roleDefinitions
Optionale Abfrageparameter
Diese Methode unterstützt den $filter Abfrageparameter, um die Antwort anzupassen. Allgemeine Informationen finden Sie unter OData-Abfrageparameter.
Anforderungsheader
| Name | Beschreibung |
|---|---|
| Authorization | Bearer {token}. Erforderlich. Erfahren Sie mehr über die Authentifizierung und Autorisierung. |
Anforderungstext
Geben Sie keinen Anforderungstext für diese Methode an.
Antwort
Bei erfolgreicher Ausführung gibt die Methode den 200 OK Antwortcode und eine Sammlung von unifiedRoleDefinition-Objekten im Antworttext zurück.
Beispiele
Beispiel 1: Auflisten von Rollendefinitionen für einen Verzeichnisanbieter
Anforderung
Das folgende Beispiel zeigt eine Anfrage.
GET https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions
Antwort
Das folgende Beispiel zeigt die Antwort.
Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions",
"value": [
{
"id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
"description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
"displayName": "Helpdesk Administrator",
"isBuiltIn": true,
"isEnabled": true,
"isPrivileged": true,
"templateId": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
"version": "1",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/users/invalidateAllRefreshTokens",
"microsoft.directory/users/bitLockerRecoveryKeys/read",
"microsoft.directory/users/password/update",
"microsoft.azure.serviceHealth/allEntities/allTasks",
"microsoft.azure.supportTickets/allEntities/allTasks",
"microsoft.office365.webPortal/allEntities/standard/read",
"microsoft.office365.serviceHealth/allEntities/allTasks",
"microsoft.office365.supportTickets/allEntities/allTasks"
],
"condition": null
}
],
"inheritsPermissionsFrom": [
{
"id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}
]
},
{
"id": "f023fd81-a637-4b56-95fd-791ac0226033",
"description": "Can read service health information and manage support tickets.",
"displayName": "Service Support Administrator",
"isBuiltIn": true,
"isEnabled": true,
"isPrivileged": false,
"templateId": "f023fd81-a637-4b56-95fd-791ac0226033",
"version": "1",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.azure.serviceHealth/allEntities/allTasks",
"microsoft.azure.supportTickets/allEntities/allTasks",
"microsoft.office365.webPortal/allEntities/standard/read",
"microsoft.office365.serviceHealth/allEntities/allTasks",
"microsoft.office365.supportTickets/allEntities/allTasks"
],
"condition": null
}
],
"inheritsPermissionsFrom": [
{
"id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}
]
},
{
"id": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
"description": "Can perform common billing related tasks like updating payment information.",
"displayName": "Billing Administrator",
"isBuiltIn": true,
"isEnabled": true,
"isPrivileged": false,
"templateId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
"version": "1",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/organization/basic/update",
"microsoft.azure.serviceHealth/allEntities/allTasks",
"microsoft.azure.supportTickets/allEntities/allTasks",
"microsoft.commerce.billing/allEntities/allTasks",
"microsoft.office365.webPortal/allEntities/standard/read",
"microsoft.office365.serviceHealth/allEntities/allTasks",
"microsoft.office365.supportTickets/allEntities/allTasks"
],
"condition": null
}
],
"inheritsPermissionsFrom": [
{
"id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}
]
}
]
}
Beispiel 2: Auflisten von Rollendefinitionen für einen Cloud-PC-Anbieter
Anforderung
Das folgende Beispiel zeigt eine Anfrage.
GET https://graph.microsoft.com/beta/roleManagement/cloudPC/roleDefinitions
Antwort
Das folgende Beispiel zeigt die Antwort.
Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/cloudPC/roleDefinitions",
"value": [
{
"id": "b5c08161-a7af-481c-ace2-a20a69a48fb1",
"description": "Cloud PC Administrator has read and write access to all Cloud PC features located within the Cloud PC blade.",
"displayName": "Cloud PC Administrator",
"isBuiltIn": true,
"isEnabled": true,
"resourceScopes": [
"/"
],
"templateId": "b5c08161-a7af-481c-ace2-a20a69a48fb1",
"version": null,
"rolePermissions": [
{
"allowedResourceActions": [
"Microsoft.CloudPC/CloudPCs/Read",
"Microsoft.CloudPC/CloudPCs/Reprovision",
"Microsoft.CloudPC/DeviceImages/Create",
"Microsoft.CloudPC/DeviceImages/Delete",
"Microsoft.CloudPC/DeviceImages/Read",
"Microsoft.CloudPC/OnPremisesConnections/Create",
"Microsoft.CloudPC/OnPremisesConnections/Delete",
"Microsoft.CloudPC/OnPremisesConnections/Read",
"Microsoft.CloudPC/OnPremisesConnections/Update",
"Microsoft.CloudPC/OnPremisesConnections/RunHealthChecks",
"Microsoft.CloudPC/OnPremisesConnections/UpdateAdDomainPassword",
"Microsoft.CloudPC/ProvisioningPolicies/Assign",
"Microsoft.CloudPC/ProvisioningPolicies/Create",
"Microsoft.CloudPC/ProvisioningPolicies/Delete",
"Microsoft.CloudPC/ProvisioningPolicies/Read",
"Microsoft.CloudPC/ProvisioningPolicies/Update",
"Microsoft.CloudPC/RoleAssignments/Create",
"Microsoft.CloudPC/RoleAssignments/Update",
"Microsoft.CloudPC/RoleAssignments/Delete",
"Microsoft.CloudPC/Roles/Read"
],
"condition": null
}
]
},
{
"id": "d40368cb-fbf4-4965-bbc1-f17b3a78e510",
"description": "Cloud PC Reader has read access to all Cloud PC features located within the Cloud PC blade.",
"displayName": "Cloud PC Reader",
"isBuiltIn": true,
"isEnabled": true,
"resourceScopes": [
"/"
],
"templateId": "d40368cb-fbf4-4965-bbc1-f17b3a78e510",
"version": null,
"rolePermissions": [
{
"allowedResourceActions": [
"Microsoft.CloudPC/CloudPCs/Read",
"Microsoft.CloudPC/DeviceImages/Read",
"Microsoft.CloudPC/OnPremisesConnections/Read",
"Microsoft.CloudPC/ProvisioningPolicies/Read",
"Microsoft.CloudPC/Roles/Read"
],
"condition": null
}
]
}
]
}
Beispiel 3: Auflisten von Rollendefinitionen für den Berechtigungsverwaltungsanbieter
Anforderung
Das folgende Beispiel zeigt eine Anfrage.
GET https://graph.microsoft.com/beta/roleManagement/entitlementManagement/roleDefinitions
Antwort
Das folgende Beispiel zeigt die Antwort.
Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/entitlementManagement/roleDefinitions",
"value": [
{
"id": "ae79f266-94d4-4dab-b730-feca7e132178",
"displayName": "Catalog owner",
"description": "Catalog owner",
"isBuiltIn": true,
"isEnabled": true,
"templateId": "ae79f266-94d4-4dab-b730-feca7e132178",
"version": "1.0",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.entitlementManagement/allEntities/allTasks"
]
}
]
},
{
"id": "44272f93-9762-48e8-af59-1b5351b1d6b3",
"displayName": "Catalog reader",
"description": "Catalog reader",
"isBuiltIn": true,
"isEnabled": true,
"templateId": "44272f93-9762-48e8-af59-1b5351b1d6b3",
"version": "1.0",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.entitlementManagement/allEntities/Read"
]
}
]
}
]
}
Beispiel 4: Auflisten von Rollendefinitionen für den Exchange Online anbieter
Anforderung
Das folgende Beispiel zeigt eine Anfrage.
GET https://graph.microsoft.com/beta/roleManagement/exchange/roleDefinitions
Antwort
Das folgende Beispiel zeigt die Antwort.
Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/exchange/roleDefinitions",
"value": [
{
"id": "7224da60-d8e2-4f45-9380-8e4fda64e133",
"description": "This role enables administrators to manage address lists, global address lists, and offline address lists in an organization.",
"displayName": "Address Lists",
"isEnabled": true,
"version": "0.12 (14.0.451.0)",
"isBuiltIn": true,
"templateId": null,
"allowedPrincipalTypes": "user,group",
"rolePermissions": [
{
"allowedResourceActions": [
"(Microsoft.Exchange.Management.PowerShell.E2010) Get-AddressBookPolicy -ErrorAction -ErrorVariable -Identity -OutBuffer -OutVariable -WarningAction -WarningVariable"
],
"excludedResourceActions": [],
"condition": null
}
]
},
{
"id": "435bdc29-5ab0-454e-906e-afb7d563bd98",
"description": "This role enables applications to impersonate users in an organization in order to perform tasks on behalf of the user.",
"displayName": "ApplicationImpersonation",
"isEnabled": true,
"version": "0.12 (14.0.451.0)",
"isBuiltIn": true,
"templateId": null,
"allowedPrincipalTypes": "user,group",
"rolePermissions": [
{
"allowedResourceActions": [
"Impersonate-ExchangeUser"
],
"excludedResourceActions": [],
"condition": null
}
]
}
]
}
Beispiel 5: Auflisten privilegierter Rollendefinitionen
Anforderung
Das folgende Beispiel zeigt eine Anfrage.
GET https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions?$filter=isPrivileged eq true
Antwort
Das folgende Beispiel zeigt die Antwort.
Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions",
"value": [
{
"id": "aaf43236-0c0d-4d5f-883a-6955382ac081",
"description": "Can manage secrets for federation and encryption in the Identity Experience Framework (IEF).",
"displayName": "B2C IEF Keyset Administrator",
"isBuiltIn": true,
"isEnabled": true,
"isPrivileged": true,
"resourceScopes": [
"/"
],
"templateId": "aaf43236-0c0d-4d5f-883a-6955382ac081",
"version": "1",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks"
],
"condition": null
}
],
"inheritsPermissionsFrom@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions('aaf43236-0c0d-4d5f-883a-6955382ac081')/inheritsPermissionsFrom",
"inheritsPermissionsFrom": [
{
"id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}
]
},
{
"id": "be2f45a1-457d-42af-a067-6ec1fa63bc45",
"description": "Can configure identity providers for use in direct federation.",
"displayName": "External Identity Provider Administrator",
"isBuiltIn": true,
"isEnabled": true,
"isPrivileged": true,
"resourceScopes": [
"/"
],
"templateId": "be2f45a1-457d-42af-a067-6ec1fa63bc45",
"version": "1",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/domains/federation/update",
"microsoft.directory/identityProviders/allProperties/allTasks"
],
"condition": null
}
],
"inheritsPermissionsFrom@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions('be2f45a1-457d-42af-a067-6ec1fa63bc45')/inheritsPermissionsFrom",
"inheritsPermissionsFrom": [
{
"id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
}
]
}
]
}
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für