Get-AzRoleAssignment
Listet Azure RBAC-Rollenzuweisungen im angegebenen Bereich auf. Standardmäßig werden alle Rollenzuweisungen im ausgewählten Azure-Abonnement aufgelistet. Verwenden Sie die entsprechenden Parameter zum Auflisten von Zuordnungen zu einem bestimmten Benutzer oder zum Auflisten von Zuordnungen zu einer bestimmten Ressourcengruppe oder Ressource.
Das Cmdlet kann unter der Microsoft Graph-API gemäß eingabeparametern aufgerufen werden:
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
- POST /directoryObjects/getByIds
Beachten Sie, dass dieses Cmdlet als Unknown
Ausgabe markiert ObjectType
wird, wenn das Objekt der Rollenzuweisung nicht gefunden wird oder das aktuelle Konto über unzureichende Berechtigungen zum Abrufen des Objekttyps verfügt.
Syntax
Get-AzRoleAssignment
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
[-RoleDefinitionName <String>]
[-ExpandPrincipalGroups]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
[-ObjectId <String>]
-RoleDefinitionId <Guid>
[-Scope <String>]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
[-RoleDefinitionName <String>]
[-ExpandPrincipalGroups]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Beschreibung
Verwenden Sie den Befehl "Get-AzRoleAssignment", um alle Rollenzuweisungen auflisten, die für einen Bereich wirksam sind. Ohne einschränkende Parameter gibt dieser Befehl alle Rollenzuweisungen zurück, die in diesem Abonnement erstellt wurden. Diese Liste kann mithilfe von Filterparametern für Prinzipal, Rolle und Bereich gefiltert werden. Der Betreff der Zuordnung muss angegeben werden. Verwenden Sie zum Angeben eines Benutzers die Parameter "SignInName" oder "Microsoft Entra ObjectId". Verwenden Sie zum Angeben einer Sicherheitsgruppe den Parameter "Microsoft Entra ObjectId". Verwenden Sie zum Angeben einer Microsoft Entra-Anwendung die Parameter ServicePrincipalName oder ObjectId. Die zugewiesene Rolle muss mithilfe des RoleDefinitionName-Parameters angegeben werden. Der Bereich, in dem der Zugriff gewährt wird, kann angegeben werden. Standardmäßig wird das ausgewählte Abonnement verwendet. Der Bereich der Zuordnung kann mithilfe einer der folgenden Parameterkombinationen angegeben werden: Bereich – Dies ist der vollqualifizierte Bereich, der mit /subscriptions/<subscriptionId> beginnt. Dadurch werden Zuordnungen gefiltert, die in diesem bestimmten Bereich wirksam sind, d. h. alle Zuordnungen in diesem Bereich und höher. b. ResourceGroupName – Name einer beliebigen Ressourcengruppe unter dem Abonnement. Dadurch werden Zuordnungen gefiltert, die bei der angegebenen Ressourcengruppe c wirksam sind. ResourceName, ResourceType, ResourceGroupName und (optional) ParentResource – Identifiziert eine bestimmte Ressource unter dem Abonnement und filtert Zuordnungen, die in diesem Ressourcenbereich wirksam sind. Verwenden Sie die Option "ExpandPrincipalGroups", um zu bestimmen, über welchen Zugriff ein bestimmter Benutzer im Abonnement verfügt. Dadurch werden alle Rollen aufgelistet, die dem Benutzer zugewiesen sind, und den Gruppen, in denen der Benutzer Mitglied ist. Verwenden Sie die Option IncludeClassicAdministrators, um auch die Abonnementadministratoren und Co-Administratoren anzuzeigen.
Beispiele
Beispiel 1
Get-AzRoleAssignment
Auflisten aller Rollenzuweisungen im Abonnement
Beispiel 2
Get-AzRoleAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.com
Ruft alle Rollenzuweisungen an den Benutzer john.doe@contoso.comund die Gruppen ab, deren Mitglied er ist, im TestRG-Bereich oder höher.
Beispiel 3
Get-AzRoleAssignment -ServicePrincipalName "http://testapp1.com"
Ruft alle Rollenzuweisungen des angegebenen Dienstprinzipals ab.
Beispiel 4
Get-AzRoleAssignment -Scope "/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"
Ruft Rollenzuweisungen im Bereich der Website "site1" ab.
Parameter
-DefaultProfile
Anmeldeinformationen, Konto, Mandant und Abonnement für die Kommunikation mit Azure
Type: | IAzureContextContainer |
Aliases: | AzContext, AzureRmContext, AzureCredential |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ExpandPrincipalGroups
Wenn angegeben, werden dem Benutzer direkt zugewiesene Rollen und gruppen zurückgegeben, deren Mitglied der Benutzer ist (transitiv). Wird nur für einen Benutzerprinzipal unterstützt.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-IncludeClassicAdministrators
Wenn angegeben, werden auch klassische Abonnementadministratoren (Co-Administratoren, Dienstadministratoren usw.) Rollenzuweisungen aufgeführt.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ObjectId
Die Microsoft Entra-Objekt-ID des Benutzers, der Gruppe oder des Dienstprinzipals. Filtert alle Zuordnungen, die an den angegebenen Prinzipal vorgenommen werden.
Type: | String |
Aliases: | Id, PrincipalId |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ParentResource
Die übergeordnete Ressource in der Hierarchie der ressource, die mit dem Parameter ResourceName angegeben wurde. Muss in Verbindung mit den Parametern ResourceGroupName, ResourceType und ResourceName verwendet werden.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceGroupName
Der Name der Ressourcengruppe. Listet Rollenzuweisungen auf, die bei der angegebenen Ressourcengruppe wirksam sind. Bei Verwendung in Verbindung mit den Parametern "ResourceName", "ResourceType" und "ParentResource" listet der Befehl Zuordnungen auf, die für Ressourcen innerhalb der Ressourcengruppe wirksam sind.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceName
Der Name der Ressource. Für z.B. storageaccountprod. Muss in Verbindung mit den Parametern ResourceGroupName, ResourceType und (optional)ParentResource verwendet werden.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceType
Der Ressurcentyp. Für z.B. Microsoft.Network/virtualNetworks. Muss in Verbindung mit den Parametern ResourceGroupName, ResourceName und (optional)ParentResource verwendet werden.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-RoleDefinitionId
ID der Rolle, die dem Prinzipal zugewiesen ist.
Type: | Guid |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-RoleDefinitionName
Rolle, die dem Prinzipal zugewiesen ist, z. B. Leser, Mitwirkender, Virtueller Netzwerkadministrator usw.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-Scope
Der Bereich der Rollenzuweisung. Im Format des relativen URI. Zum Beispiel /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Er muss mit "/subscriptions/{id}" beginnen. Der Befehl filtert alle Zuordnungen, die in diesem Bereich wirksam sind.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ServicePrincipalName
Der ServicePrincipalName des Dienstprinzipals. Filtert alle Zuordnungen, die an der angegebenen Microsoft Entra-Anwendung vorgenommen werden.
Type: | String |
Aliases: | SPN |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-SignInName
Die E-Mail-Adresse oder der Benutzerprinzipalname des Benutzers. Filtert alle Zuordnungen, die an den angegebenen Benutzer vorgenommen werden.
Type: | String |
Aliases: | Email, UserPrincipalName |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-SkipClientSideScopeValidation
Wenn angegeben, überspringen Sie die clientseitige Bereichsüberprüfung.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Eingaben
Ausgaben
Hinweise
Schlüsselwörter: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment
Ähnliche Themen
Azure PowerShell
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für