Elencare le assegnazioni di ruolo di Microsoft Entra

  • Articolo

Questo articolo descrive come elencare i ruoli assegnati in Microsoft Entra ID. In Microsoft Entra ID i ruoli possono essere assegnati a un ambito a livello di organizzazione o con un ambito a applicazione singola.

  • Le assegnazioni di ruolo nell'ambito dell'organizzazione vengono aggiunte a e possono essere visualizzate nell'elenco delle singole assegnazioni di ruolo dell'applicazione.
  • Le assegnazioni di ruolo nell'ambito dell'applicazione singola non vengono aggiunte a e non possono essere visualizzate nell'elenco delle assegnazioni con ambito a livello di organizzazione.

Prerequisiti

  • Modulo di Microsoft Graph PowerShell quando si usa PowerShell
  • Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Interfaccia di amministrazione di Microsoft Entra

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Questa procedura descrive come elencare le assegnazioni di ruolo con ambito a livello di organizzazione.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

  2. Passare a Ruoli di identità>e ruoli amministratori e amministratori.>

  3. Selezionare un ruolo per aprirlo e visualizzarne le proprietà.

  4. Selezionare Assegnazioni per elencare le assegnazioni di ruolo.

    List role assignments and permissions when you open a role from the list

Elencare le assegnazioni di ruolo

È facile elencare anche le proprie autorizzazioni. Selezionare Your Role (Ruolo dell'utente) sulla pagina Roles and administrators (Ruoli e amministratori) per visualizzare i ruoli attualmente assegnati all'utente.

List my role assignments

Scarica assegnazioni di ruolo

Per scaricare tutte le assegnazioni di ruolo attive in tutti i ruoli, inclusi i ruoli predefiniti e personalizzati, seguire questa procedura (attualmente in anteprima).

  1. Nella pagina Ruoli e amministratori selezionare Tutti i ruoli.

  2. Selezionare Scarica assegnazioni.

    Viene scaricato un file CSV che elenca le assegnazioni in tutti gli ambiti per tutti i ruoli.

    Screenshot showing download all role assignments.

Per scaricare tutte le assegnazioni per un ruolo specifico, seguire questa procedura.

  1. Nella pagina Ruoli e amministratori selezionare un ruolo.

  2. Selezionare Scarica assegnazioni.

    Un file CSV che elenca le assegnazioni in tutti gli ambiti per tale ruolo viene scaricato.

    Screenshot showing download all assignments for a specific role.

Elencare le assegnazioni di ruolo con ambito applicazione singola

Questa sezione descrive come elencare le assegnazioni di ruolo con ambito applicazione singola. Questa funzionalità è attualmente in anteprima pubblica.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

  2. Passare a Applicazioni> di identità>Registrazioni app.

  3. Selezionare la registrazione dell'app per visualizzarne le proprietà. Potrebbe essere necessario selezionare Tutte le applicazioni per visualizzare l'elenco completo delle registrazioni delle app nell'organizzazione Microsoft Entra.

    Create or edit app registrations from the App registrations page

  4. Nella registrazione dell'app selezionare Ruoli e amministratori e quindi selezionare un ruolo per visualizzarne le proprietà.

    List app registration role assignments from the App registrations page

  5. Selezionare Assegnazioni per elencare le assegnazioni di ruolo. L'apertura della pagina assegnazioni dall'interno della registrazione dell'app mostra le assegnazioni di ruolo che hanno come ambito questa risorsa Microsoft Entra.

    List app registration role assignments from the properties of an app registration

PowerShell

Questa sezione descrive la visualizzazione delle assegnazioni di un ruolo con ambito a livello di organizzazione. Questo articolo usa il modulo PowerShell di Microsoft Graph. Per visualizzare le assegnazioni di ambito a applicazione singola tramite PowerShell, è possibile usare i cmdlet in Assegnare ruoli personalizzati con PowerShell.

Usare i comandi Get-MgRoleManagementDirectoryRoleDefinition e Get-MgRoleManagementDirectoryRoleAssignment per elencare le assegnazioni di ruolo.

Nell'esempio seguente viene illustrato come elencare le assegnazioni di ruolo per il ruolo Gruppi Amministrazione istrator.

# Fetch list of all directory roles with template ID
Get-MgRoleManagementDirectoryRoleDefinition

# Fetch a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Fetch membership for a role
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 71b3857d-2a23-416d-bd22-a471854ddada 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 fd2d57c7-22ad-42cd-961a-7340fb2eb6b4 62e90394-69f5-4237-9190-012177145e10 /

Nell'esempio seguente viene illustrato come elencare tutte le assegnazioni di ruolo attive in tutti i ruoli, inclusi i ruoli predefiniti e personalizzati (attualmente in anteprima).

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 71b3857d-2a23-416d-bd22-a471854ddada 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 fd2d57c7-22ad-42cd-961a-7340fb2eb6b4 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 c5119b78-25cb-458b-ab9c-772a48f64e40 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 767f5768-89fc-4a8e-b151-631cd5c53787 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 4dc37087-32eb-4e03-9292-bbede3e10e72 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 2859ce0c-8f17-47c1-bac0-3889a693c9a2 d29b2b05-8046-44ba-8758-1e26182fcf32 /

API di Microsoft Graph

Questa sezione descrive come elencare le assegnazioni di ruolo con ambito a livello di organizzazione. Per elencare le assegnazioni di ruolo con ambito applicazione singola usando l'API Graph, è possibile usare le operazioni in Assegnare ruoli personalizzati con l'API Graph.

Usare l'API List unifiedRoleAssignments per ottenere le assegnazioni di ruolo per una definizione di ruolo specifica. Nell'esempio seguente viene illustrato come elencare le assegnazioni di ruolo per una definizione di ruolo specifica con l'ID 3671d40a-1aac-426c-a0c1-a3821ebd8218.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’

Response

HTTP/1.1 200 OK
{
    "id": "CtRxNqwabEKgwaOCHr2CGJIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "ab2e1023-bddc-4038-9ac1-ad4843e7e539",
    "roleDefinitionId": "3671d40a-1aac-426c-a0c1-a3821ebd8218",
    "directoryScopeId": "/"
}

Passaggi successivi