Перечисление определений ролей Microsoft Entra

  • Статья

Определение роли — это коллекция разрешений на доступные операции, например чтение, запись и удаление. Обычно это называется ролью. Идентификатор Microsoft Entra имеет более 60 встроенных ролей или вы можете создавать собственные пользовательские роли. Если вы когда-нибудь задумывались, для чего нужны все эти роли, просмотрите подробный список разрешений для каждой роли.

В этой статье описывается, как перечислить встроенные и настраиваемые роли Microsoft Entra вместе с их разрешениями.

Необходимые компоненты

  • Пакет SDK Для Microsoft Graph PowerShell, установленный при использовании PowerShell
  • Согласие администратора при использовании песочницы Graph для API Microsoft Graph.

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

Центр администрирования Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите к ролям удостоверений>и администраторам.>

    list of roles in Azure portal

  3. Справа нажмите на многоточие и выберите Описание, чтобы просмотреть полный список разрешений для роли.

    Страница содержит ссылки на соответствующую документацию со сведениями об управлении ролями.

    Screenshot that shows the

PowerShell

Выполните следующие действия, чтобы перечислить роли Microsoft Entra с помощью PowerShell.

  1. Откройте окно PowerShell. При необходимости используйте install-Module для установки Microsoft Graph PowerShell. Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

    Install-Module Microsoft.Graph -Scope CurrentUser

  2. В окне PowerShell используйте Подключение-MgGraph для входа в клиент.

    Connect-MgGraph -Scopes "RoleManagement.Read.All"

  3. Чтобы получить все роли, используйте Get-MgRoleManagementDirectoryRoleDefinition .

    Get-MgRoleManagementDirectoryRoleDefinition

  4. Чтобы просмотреть список разрешений роли, выполните следующий командлет.

    # Do this avoid truncation of the list of permissions
$FormatEnumerationLimit = -1

(Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list

API Microsoft Graph

Следуйте этим инструкциям, чтобы перечислить роли Microsoft Entra с помощью API Microsoft Graph в Graph Обозреватель.

  1. Войдите в песочницу Graph.

  2. Выберите метод HTTP GET в раскрывающемся списке.

  3. Выберите для API версию 1.0.

  4. Добавьте следующий запрос, который использует API List unifiedRoleDefinitions.

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

  5. Щелкните Выполнить запрос, чтобы получить список ролей.

  6. Чтобы просмотреть разрешения роли, используйте следующие API.

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter=DisplayName eq 'Conditional Access Administrator'&$select=rolePermissions

Следующие шаги