本文介绍如何使用 Microsoft Entra 管理中心或 Microsoft Graph PowerShell 列出 Microsoft Entra 内置角色定义和自定义角色定义及其权限。
角色定义是可执行特权的集合,例如读取、写入和删除。 这通常称为“角色”。 Microsoft Entra ID 具有 100 多个内置角色,也可以创建自己的自定义角色。 如果曾经有过“这些角色究竟有什么用?”这样的疑问,可访问每个角色的详细权限列表。
先决条件
有关详细信息,请参阅使用 PowerShell 的先决条件。
列出 Microsoft Entra 角色定义
登录到 Microsoft Entra 管理中心。
浏览到“标识”>“角色和管理员”>“角色和管理员”。
选择角色名称以打开该角色。 不要勾选该角色。
选择 说明 以查看角色权限的摘要和列表。
该页包含相关文档的链接,引导你对角色进行管理。
执行以下步骤以使用 PowerShell 列出 Microsoft Entra 角色。
打开 PowerShell 窗口。 如有必要,使用 Install-Module 安装 Microsoft Graph PowerShell。 有关详细信息,请参阅使用 PowerShell 的先决条件。
Install-Module Microsoft.Graph -Scope CurrentUser
在 PowerShell 窗口中,使用 Connect-MgGraph 登录到你的租户。
Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "RoleManagement.Read.All"
使用 Get-MgRoleManagementDirectoryRoleDefinition 获取角色。
# Get all role definitions
Get-MgRoleManagementDirectoryRoleDefinition
# Get single role definition by ID
Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId 00000000-0000-0000-0000-000000000000
# Get single role definition by templateId
Get-MgRoleManagementDirectoryRoleDefinition -Filter "TemplateId eq 'c4e39bd9-1100-46d3-8c65-fb160da0071f'"
# Get role definition by displayName
Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"
若要查看角色的权限列表,请使用以下 cmdlet。
# Do this avoid truncation of the list of permissions
$FormatEnumerationLimit = -1
(Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list
后续步骤
