本文介绍如何使用 Microsoft Entra 管理中心或 Microsoft Graph PowerShell 列出 Microsoft Entra 内置角色定义和自定义角色定义及其权限。
角色定义是可执行特权的集合,例如读取、写入和删除。 这通常称为“角色”。 Microsoft Entra ID 具有 100 多个内置角色,也可以创建自己的自定义角色。 如果曾经有过“这些角色究竟有什么用?”这样的疑问,可访问每个角色的详细权限列表。
有关详细信息,请参阅使用 PowerShell 的先决条件。
登录到 Microsoft Entra 管理中心。
浏览到“标识”>“角色和管理员”>“角色和管理员”。
选择角色名称以打开该角色。 不要勾选该角色。
选择 说明 以查看角色权限的摘要和列表。
该页包含相关文档的链接,引导你对角色进行管理。
执行以下步骤以使用 PowerShell 列出 Microsoft Entra 角色。
打开 PowerShell 窗口。 如有必要,使用 Install-Module 安装 Microsoft Graph PowerShell。 有关详细信息,请参阅使用 PowerShell 的先决条件。
Install-Module Microsoft.Graph -Scope CurrentUser
在 PowerShell 窗口中,使用 Connect-MgGraph 登录到你的租户。
Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "RoleManagement.Read.All"
使用 Get-MgRoleManagementDirectoryRoleDefinition 获取角色。
# Get all role definitions
Get-MgRoleManagementDirectoryRoleDefinition
# Get single role definition by ID
Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId 00000000-0000-0000-0000-000000000000
# Get single role definition by templateId
Get-MgRoleManagementDirectoryRoleDefinition -Filter "TemplateId eq 'c4e39bd9-1100-46d3-8c65-fb160da0071f'"
# Get role definition by displayName
Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"
若要查看角色的权限列表,请使用以下 cmdlet。
# Do this avoid truncation of the list of permissions
$FormatEnumerationLimit = -1
(Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Conditional Access Administrator'").RolePermissions | Format-list