Перечисление определений ролей Microsoft Entra
Определение роли — это коллекция разрешений на доступные операции, например чтение, запись и удаление. Обычно это называется ролью. Идентификатор Microsoft Entra имеет более 60 встроенных ролей или вы можете создавать собственные пользовательские роли. Если вы когда-нибудь задумывались, для чего нужны все эти роли, просмотрите подробный список разрешений для каждой роли.
В этой статье описывается, как перечислить встроенные и настраиваемые роли Microsoft Entra вместе с их разрешениями.
Необходимые компоненты
- Пакет SDK Для Microsoft Graph PowerShell, установленный при использовании PowerShell
- Согласие администратора при использовании песочницы Graph для API Microsoft Graph.
Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.
Центр администрирования Microsoft Entra
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в центр администрирования Microsoft Entra.
Перейдите к ролям удостоверений>и администраторам.>
Справа нажмите на многоточие и выберите Описание, чтобы просмотреть полный список разрешений для роли.
Страница содержит ссылки на соответствующую документацию со сведениями об управлении ролями.
PowerShell
Выполните следующие действия, чтобы перечислить роли Microsoft Entra с помощью PowerShell.
Откройте окно PowerShell. При необходимости используйте install-Module для установки Microsoft Graph PowerShell. Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.
Install-Module Microsoft.Graph -Scope CurrentUser
В окне PowerShell используйте Подключение-MgGraph для входа в клиент.
Connect-MgGraph -Scopes "RoleManagement.Read.All"
Чтобы получить все роли, используйте Get-MgRoleManagementDirectoryRoleDefinition .
Get-MgRoleManagementDirectoryRoleDefinition
Чтобы просмотреть список разрешений роли, выполните следующий командлет.
# Do this avoid truncation of the list of permissions $FormatEnumerationLimit = -1 (Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list
API Microsoft Graph
Следуйте этим инструкциям, чтобы перечислить роли Microsoft Entra с помощью API Microsoft Graph в Graph Обозреватель.
Войдите в песочницу Graph.
Выберите метод HTTP GET в раскрывающемся списке.
Выберите для API версию 1.0.
Добавьте следующий запрос, который использует API List unifiedRoleDefinitions.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Щелкните Выполнить запрос, чтобы получить список ролей.
Чтобы просмотреть разрешения роли, используйте следующие API.
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions
Следующие шаги
- Вывод списка назначений ролей Microsoft Entra.
- Назначение ролей Microsoft Entra пользователям.
- Встроенные роли Microsoft Entra.