列出 Microsoft Entra 角色定义

角色定义是可执行特权的集合,例如读取、写入和删除。 它通常直接称为“角色”。 Microsoft Entra ID 具有超过 60 种内置角色,也可以创建自己的自定义角色。 如果你曾经有过“这些角色究竟有什么用?”这样的疑问,可查看每个角色的详细权限列表。

本文介绍如何列出 Microsoft Entra 内置和自定义角色及其权限。

先决条件

  • 使用 PowerShell 时安装的 Microsoft Graph PowerShell SDK

有关详细信息,请参阅使用 PowerShell 的先决条件

Microsoft Entra 管理中心

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“角色和管理员”>“角色和管理员”

    Azure 门户中的角色列表

  3. 在右侧选择省略号,然后选择“说明”来查看角色权限的完整列表。

    该页包含相关文档的链接,引导你对角色进行管理。

    显示“条件访问管理员 - 说明”页的屏幕截图。

PowerShell

执行以下步骤以使用 PowerShell 列出 Microsoft Entra 角色。

  1. 打开 PowerShell 窗口。 如有必要,使用 Install-Module 安装 Microsoft Graph PowerShell。 有关详细信息,请参阅使用 PowerShell 的先决条件

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. 在 PowerShell 窗口中,使用 Connect-MgGraph 登录到你的租户。

    Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "RoleManagement.Read.All"
    
  3. 使用 Get-MgRoleManagementDirectoryRoleDefinition 命令获取所有角色。

    Get-MgRoleManagementDirectoryRoleDefinition
    
  4. 若要查看角色的权限列表,请使用以下 cmdlet。

    # Do this avoid truncation of the list of permissions
    $FormatEnumerationLimit = -1
    
    (Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list
    

后续步骤